View a markdown version of this page

使用案例:VPN 連線的人力資源 - AWS 方案指引
要求使用 VXC 設定 Megaport MVE設定 VNF 應用程式設定路由篩選條件設定 Direct Connect使用 SEC 設定 Megaport MVE設定 Salesforce Hyperforce

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用案例:VPN 連線的人力資源

此使用案例涵蓋的情況是,您在 Megaport 位置使用虛擬 VPN 集中器做為向內緩衝 Direct Connect。在此案例中,您有遠端分支辦公室或工作者,其具有連線至 VPNs 集中器site-to-site VPN。

使用 Megaport MVE 搭配第三方虛擬防火牆,為您的遠端工作者 Direct Connect 提供 Salesforce Hyperforce 的私有連線。遠端工作者從分支辦公室的網際網路連線路由器,或從在其裝置上執行的 VPN 用戶端連接到 VPN 集中器。然後,遠端工作者會使用 Megaport 位置 Direct Connect 向 緩衝。

搭配防火牆使用 Megaport MVE Direct Connect 並連線至 Salesforce Hyperforce。

要求

  • 您的遠端工作者會透過私有網路連線存取 Salesforce。

  • 您在分支辦公室的遠端工作者或使用者可透過網際網路與啟用 Megaport 的 據點進行site-to-site VPN 連線。

  • 您擁有 AWS 帳戶 來管理與 Megaport 的 Direct Connect 託管連線。

使用 VXC 設定 Megaport MVE

使用 VXC 設定的 Megaport MVE 提供私有第 2 層網路區段 AWS。MVE 是一種虛擬解決方案,不需要連接埠。 不過,您必須指定要部署的第三方虛擬網路設備。無論您使用連接埠、MVE 或 MCR,VXC 部署程序和功能都相同。 Direct Connect 應該佈建為託管連線並連接到公有 VIF。

如需概觀和step-by-step說明,請參閱下列 Megaport 文件:

設定 VNF 應用程式

MVE 支援來自 Aruba、Cisco、Fortinet、Palo Alto Networks、Versa Networks 和 VMware 等廠商的第三方虛擬網路函數 (VNF) 設備。您可以選擇廠商來處理 MVE 的路由、安全性和 SSL VPN 函數。如需 MVE 整合合作夥伴的完整清單,請參閱 Megaport 文件

例如,此使用案例描述了一個高階架構,其中 Megaport MVE 支援來自區域分支辦公室的 VPN/SD-WAN 連線,以及具有 SSL VPN 連線的遠端使用者。此 MVE 與 對等, AWS 並私下將這些連線路由至 Hyperforce Direct Connect。

此架構的關鍵元素包括:

  • 限制相關 Hyperforce 執行個體字 AWS 首的路由篩選條件

  • 以 Hyperforce 完整網域名稱 (FQDN) 和 IP 地址範圍為基礎的 SSL VPN 政策

  • 面向單一公有 IP 地址後方 Hyperforce 使用者的 NAT 政策 AWS

設定路由篩選條件

當 VNF 已與 AWS 公有 VIF 建立 BGP 對等互連時,路由表應填入所有 AWS 公有服務和 Hyperforce 的字首。 您可以使用 IP 清單或 BGP 社群標籤來套用路由篩選。 我們建議您設定包含 中 Hyperforce 執行個體範圍的字首路由對應 AWS 區域。

備註:

  • 當您建立公 AWS 有 VIF AWS 管理主控台 時,會在 中設定從路由器公告至 的 BGP 字首。

  • 公告的字首 Direct Connect 不得超出連線的網路邊界。例如,這類字首不得納入到任何的公有網際網路路由表。如需詳細資訊,請參閱 文件中的 Direct Connect 公有虛擬介面路由政策

設定 Direct Connect

接受託管連線

在 中 AWS 帳戶,接受先前建立的 VXC 做為託管連線。如需說明,請參閱 Direct Connect 文件。 

建立公有 VIF

在您的帳戶中,在您從 Megaport 接受的連線下佈建公有 VIF。建立此 VIF 之前,您需要取得下列項目:

  • VNF 設備的 BGP ASN。

  • 用於對等互連的公有 IPv4 地址 (通常是 /31 CIDR)。您可以擁有這些項目或從中請求。 支援如需詳細資訊,請參閱 文件中虛擬介面的先決條件一節中的對等 IP 地址。 Direct Connect

若要建立公有 VIF,請遵循 Direct Connect 文件中的步驟。

建立公有 VIF 之後,您需要確保 BGP 身分驗證金鑰與 BGP 對等的兩端相符,才能讓對等狀態變成可用。

注意

使用公有 VIF AWS 從內部部署環境連線至 會變更流量路由到內部部署位置的方式 AWS。我們建議您使用字首篩選條件 (路由對應),以確保接受的 Amazon 字首僅限於 Hyperforce 基礎設施和任何其他必要的 AWS 資源。如需詳細資訊,請參閱 文件中的 Direct Connect 公有虛擬界面字首公告規則

使用 SEC 設定 Megaport MVE

在某些情況下,Hyperforce 登入請求會重新導向至 Salesforce 管理的資料中心。 若要在私有網路上保留此流量,您可以使用 SEC 將 Megaport VXC 新增至 Salesforce。您可以使用 Salesforce 登入 FQDN,以規則設定 VNF 安全政策。這與本指南先前所述的 Direct Connect 架構類似。

如需step-by-step說明,請參閱 Megaport 文件中的連線至 Salesforce Express Connect

設定 Salesforce Hyperforce

若要啟用從公司網路到 Salesforce 的傳入連線,您需要設定 Hyperforce 的傳入存取作為安全措施。若要允許必要的網域,請遵循 Salesforce 文件中的允許 Salesforce Classic 中 Salesforce 主控台的網域中的指示。請勿使用 IP 地址。