View a markdown version of this page

ユースケース: VPN 接続ワークフォース - AWS 規範ガイダンス
要件VXC を使用した Megaport MVE の設定VNF アプリケーションの設定ルートフィルターの設定の設定 Direct ConnectSEC を使用した Megaport MVE の設定Salesforce Hyperforce の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ユースケース: VPN 接続ワークフォース

このユースケースでは、Megaport ロケーションの仮想 VPN コンセントレータをオンランプとして使用するシナリオについて説明します Direct Connect。このシナリオでは、VPN コンセントレータに接続するsite-to-siteを持つリモートブランチオフィスまたはワーカーがいます。 VPNs

サードパーティーの仮想ファイアウォールで Megaport MVE を使用し、リモートワーカーに Salesforce Hyperforce へのプライベート接続 Direct Connect を提供します。リモートワーカーは、ブランチオフィスのインターネットに接続されたルーターまたはデバイスで実行されている VPN クライアントから VPN コンセントレータに接続します。その後、リモートワーカーは Megaport の場所 Direct Connect を使用して にランプします。

ファイアウォールと で Megaport MVE Direct Connect を使用して Salesforce Hyperforce に接続します。

要件

  • リモートワーカーは、プライベートネットワーク接続を介して Salesforce にアクセスします。

  • リモートワーカーまたはブランチオフィスのユーザーは、インターネット経由で Megaport 対応の場所へのsite-to-site接続が可能です。

  • Megaport との Direct Connect ホスト接続を管理する AWS アカウント を所有している。

VXC を使用した Megaport MVE の設定

VXC で設定された Megaport MVE は、プライベート Layer 2 ネットワークセグメントを提供します AWS。MVE は仮想ソリューションであり、ポートは必要ありません。 ただし、デプロイするサードパーティーの仮想ネットワークアプライアンスを指定する必要があります。VXC のデプロイプロセスと機能は、ポート、MVE、MCR のいずれを使用する場合でも同じです。 はホスト接続としてプロビジョニングし、パブリック VIF にアタッチ Direct Connect する必要があります。

概要とstep-by-step手順については、以下の Megaport ドキュメントを参照してください。

VNF アプリケーションの設定

MVE は、Aruba、Cisco、Fortinet、Palo Alto Networks、" Networks、VMware などのベンダーのサードパーティー仮想ネットワーク機能 (VNF) アプライアンスをサポートしています。MVE のルーティング、セキュリティ、SSL VPN 関数を処理するベンダーを選択できます。MVE 統合パートナーの完全なリストについては、Megaport ドキュメントを参照してください。

例えば、このユースケースでは、Megaport MVE がリージョンのブランチオフィスや SSL VPN 接続を持つリモートユーザーからの VPN/SD-WAN 接続をサポートする高レベルのアーキテクチャについて説明します。この MVE は とピア接続 AWS し、これらの接続を Hyperforce にプライベートにルーティングします Direct Connect。

このアーキテクチャの主な要素は次のとおりです。

  • 関連する Hyperforce インスタンスの AWS プレフィックスを制限するルートフィルター

  • Hyperforce 完全修飾ドメイン名 (FQDN) と IP アドレス範囲に基づく SSL VPN ポリシー

  • が直面する単一のパブリック IP アドレスの背後にある Hyperforce ユーザー向けの NAT ポリシー AWS

ルートフィルターの設定

VNF が AWS パブリック VIF との BGP ピアリングを確立すると、ルートテーブルにすべての AWS パブリックサービスと Hyperforce のプレフィックスが入力されます。IP リストまたは BGP コミュニティタグを使用してルートフィルタリングを適用できます。 で、Hyperforce インスタンスの範囲を含むプレフィックスのルートマップを設定する ことをお勧めします AWS リージョン。

注記:

  • ルーターから にアドバタイズされる BGP プレフィックス AWS は、パブリック VIF を作成する AWS マネジメントコンソール ときに で設定されます。

  • によってアドバタイズされるプレフィックスは、接続のネットワーク境界を超えてアドバタイズ Direct Connect してはいけません。たとえば、これらのプレフィックスは、任意のパブリックインターネットルーティングテーブルに含めることはできません。詳細については、 ドキュメントの Direct Connect 「パブリック仮想インターフェイスルーティングポリシー」を参照してください。

の設定 Direct Connect

ホスト接続を受け入れる

で AWS アカウント、以前にホスト接続として作成された VXC を受け入れます。手順については、Direct Connect ドキュメントを参照してください。 

パブリック VIF を作成する

アカウントで、Megaport から承諾した接続でパブリック VIF をプロビジョニングします。この VIF を作成する前に、以下を取得する必要があります。

  • VNF アプライアンスの BGP ASN。

  • ピアリング用のパブリック IPv4 アドレス (通常は /31 CIDR)。これらを所有することも、 にリクエストすることもできます サポート。詳細については、 ドキュメントの「仮想インターフェイスの前提条件」セクションの「ピア IP アドレス Direct Connect 」を参照してください。

パブリック VIF を作成するには、 Direct Connect ドキュメントの手順に従ってください。

パブリック VIF を作成したら、ピアリング状態が利用可能になるように、BGP 認証キーが BGP ピアの両端と一致することを確認する必要があります。

注記

パブリック VIF を使用してオンプレミス環境 AWS から に接続すると、トラフィックのオンプレミスロケーションへのルーティング方法が変わります AWS。プレフィックスフィルター (ルートマップ) を使用して、受け入れられる Amazon プレフィックスが Hyperforce インフラストラクチャやその他の必要な AWS リソースに制限されていることを確認することをお勧めします。詳細については、 ドキュメントの Direct Connect 「パブリック仮想インターフェイスプレフィックスアドバタイズルール」を参照してください。

SEC を使用した Megaport MVE の設定

場合によっては、Hyperforce ログインリクエストは Salesforce が管理するデータセンターにリダイレクトされます。このトラフィックをプライベートネットワークに保持 するには、SEC を使用して Megaport VXC を Salesforce に追加できます。Salesforce ログイン FQDN を使用して、 ルールで VNF セキュリティポリシーを設定できます。これは、このガイドで前述した Direct Connect アーキテクチャと似ています。

step-by-stepの手順については、Megaport ドキュメントの「Salesforce Express Connect への接続」を参照してください。

Salesforce Hyperforce の設定

企業ネットワークから Salesforce へのインバウンド接続を有効にするには、セキュリティ対策として Hyperforce へのインバウンドアクセスを設定する必要があります。必要なドメインを許可するには、Salesforce ドキュメントの「Salesforce Classic で Salesforce コンソールのドメインを許可する」の手順に従います。IP アドレスは使用しないでください。