翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ユースケース: VPN 接続ワークフォース
<a name="vpn-workforce"></a>

このユースケースでは、Megaport ロケーションの仮想 VPN コンセントレータをオンランプとして使用するシナリオについて説明します Direct Connect。このシナリオでは、VPN コンセントレータに接続するsite-to-siteを持つリモートブランチオフィスまたはワーカーがいます。 VPNs 

サードパーティーの仮想ファイアウォールで Megaport MVE を使用し、リモートワーカーに Salesforce Hyperforce へのプライベート接続 Direct Connect を提供します。リモートワーカーは、ブランチオフィスのインターネットに接続されたルーターまたはデバイスで実行されている VPN クライアントから VPN コンセントレータに接続します。その後、リモートワーカーは Megaport の場所 Direct Connect を使用して にランプします。

![ファイアウォールと で Megaport MVE Direct Connect を使用して Salesforce Hyperforce に接続します。](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/salesforce-hyperforce-connectivity-dx-megaport/images/hyperforce-mve.png)


## 要件
<a name="vpn-workforce-req"></a>
+ リモートワーカーは、プライベートネットワーク接続を介して Salesforce にアクセスします。
+ リモートワーカーまたはブランチオフィスのユーザーは、インターネット経由で Megaport 対応の場所へのsite-to-site接続が可能です。
+ Megaport との Direct Connect ホスト接続を管理する AWS アカウント を所有している。

## VXC を使用した Megaport MVE の設定
<a name="vpn-workforce-vxc"></a>

VXC で設定された Megaport MVE は、プライベート Layer 2 ネットワークセグメントを提供します AWS。MVE は仮想ソリューションであり、ポートは必要ありません。 ただし、デプロイするサードパーティーの仮想ネットワークアプライアンスを指定する必要があります。VXC のデプロイプロセスと機能は、ポート、MVE、MCR のいずれを使用する場合でも同じです。 はホスト接続としてプロビジョニングし、パブリック VIF にアタッチ Direct Connect する必要があります。

概要とstep-by-step手順については、以下の Megaport ドキュメントを参照してください。
+ [MVE の紹介](https://docs.megaport.com/mve/)
+ [AWS ホスト接続の設定と維持](https://docs.megaport.com/cloud/megaport/aws/hosted-connection/)

## VNF アプリケーションの設定
<a name="vpn-workforce-vnf"></a>

MVE は、Aruba、Cisco、Fortinet、Palo Alto Networks、" Networks、VMware などのベンダーのサードパーティー仮想ネットワーク機能 (VNF) アプライアンスをサポートしています。MVE のルーティング、セキュリティ、SSL VPN 関数を処理するベンダーを選択できます。MVE 統合パートナーの完全なリストについては、[Megaport ドキュメント](https://docs.megaport.com/mve/#sd-wan-and-next-generation-firewall-partners)を参照してください。

例えば、このユースケースでは、Megaport MVE がリージョンのブランチオフィスや SSL VPN 接続を持つリモートユーザーからの VPN/SD-WAN 接続をサポートする高レベルのアーキテクチャについて説明します。この MVE は とピア接続 AWS し、これらの接続を Hyperforce にプライベートにルーティングします Direct Connect。

このアーキテクチャの主な要素は次のとおりです。
+ 関連する Hyperforce インスタンスの AWS プレフィックスを制限するルートフィルター
+ Hyperforce 完全修飾ドメイン名 (FQDN) と IP アドレス範囲に基づく SSL VPN ポリシー
+ が直面する単一のパブリック IP アドレスの背後にある Hyperforce ユーザー向けの NAT ポリシー AWS

## ルートフィルターの設定
<a name="vpn-workforce-filters"></a>

VNF が AWS パブリック VIF との BGP ピアリングを確立すると、ルートテーブルにすべての AWS パブリックサービスと Hyperforce のプレフィックスが入力されます。IP リストまたは BGP コミュニティタグを使用してルートフィルタリングを適用できます。 で、Hyperforce インスタンスの範囲を含むプレフィックスのルートマップを設定する ことをお勧めします AWS リージョン。

**注記:**  
ルーターから にアドバタイズされる BGP プレフィックス AWS は、パブリック VIF を作成する AWS マネジメントコンソール ときに で設定されます。
によってアドバタイズされるプレフィックスは、接続のネットワーク境界を超えてアドバタイズ Direct Connect してはいけません。たとえば、これらのプレフィックスは、任意のパブリックインターネットルーティングテーブルに含めることはできません。詳細については、 ドキュメントの Direct Connect [「パブリック仮想インターフェイスルーティングポリシー](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#routing-policies)」を参照してください。

## の設定 Direct Connect
<a name="vpn-workforce-dx"></a>

**ホスト接続を受け入れる**

で AWS アカウント、以前にホスト接続として作成された VXC を受け入れます。手順については、[Direct Connect ドキュメント](https://docs.aws.amazon.com/directconnect/latest/UserGuide/hosted_connection.html#accept-hosted-connection)を参照してください。 

**パブリック VIF を作成する**

アカウントで、Megaport から承諾した接続でパブリック VIF をプロビジョニングします。この VIF を作成する前に、以下を取得する必要があります。
+ VNF アプライアンスの BGP ASN。
+ ピアリング用のパブリック IPv4 アドレス (通常は `/31` CIDR)。これらを所有することも、 にリクエストすることもできます サポート。詳細については、 ドキュメントの[「仮想インターフェイスの前提条件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#vif-prerequisites)」セクションの*「ピア IP アドレス* Direct Connect 」を参照してください。

パブリック VIF を作成するには、 [Direct Connect ドキュメント](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-vif.html#create-public-vif)の手順に従ってください。

パブリック VIF を作成したら、ピアリング状態が利用可能になるように、BGP 認証キーが BGP ピアの両端と一致することを確認する必要があります。

**注記**  
パブリック VIF を使用してオンプレミス環境 AWS から に接続すると、トラフィックのオンプレミスロケーションへのルーティング方法が変わります AWS。プレフィックスフィルター (ルートマップ) を使用して、受け入れられる Amazon プレフィックスが Hyperforce インフラストラクチャやその他の必要な AWS リソースに制限されていることを確認することをお勧めします。詳細については、 ドキュメントの Direct Connect [「パブリック仮想インターフェイスプレフィックスアドバタイズルール](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html#advertise-prefixes)」を参照してください。

## SEC を使用した Megaport MVE の設定
<a name="vpn-workforce-sec"></a>

場合によっては、Hyperforce ログインリクエストは Salesforce が管理するデータセンターにリダイレクトされます。このトラフィックをプライベートネットワークに保持 するには、SEC を使用して Megaport VXC を Salesforce に追加できます。Salesforce ログイン FQDN を使用して、 ルールで VNF セキュリティポリシーを設定できます。これは、このガイドで前述した Direct Connect アーキテクチャと似ています。

step-by-stepの手順については、Megaport ドキュメントの[「Salesforce Express Connect への接続](https://docs.megaport.com/cloud/megaport/salesforce/)」を参照してください。

## Salesforce Hyperforce の設定
<a name="vpn-workforce-hyperforce"></a>

企業ネットワークから Salesforce へのインバウンド接続を有効にするには、セキュリティ対策として Hyperforce へのインバウンドアクセスを設定する必要があります。[必要なドメインを許可する](https://help.salesforce.com/s/articleView?id=sf.setup_domains.htm)には、Salesforce ドキュメントの[「Salesforce Classic で Salesforce コンソールのドメインを許可する](https://help.salesforce.com/s/articleView?id=sf.console2_allowed_domains.htm)」の手順に従います。IP アドレスは使用しないでください。