Documentation

クライアントからサイトへのVPN

Liferay DXP Cloudは、ポート転送と冗長トンネルサポートを備えたVPNクライアントからサイトへの接続を提供します。 この機能は、通常、DXP Cloud上のサブスクライバーの本番環境を内部ネットワークに接続するために使用されます。 セキュリティと信頼性のために、これらのVPN接続は環境ごと(運用、ステージング、または開発)に分離されています。

トポロジー1 - DXP Cloud VPNクライアントからサイトへのトポロジーについて

加入者は、DXP Cloudサービス間の接続を対応するVPNサーバーのIPアドレスにマッピングすることにより、冗長VPNトンネルを使用できます。 冗長性はさまざまなアベイラビリティーゾーンに配置され、回復力を提供します。 クライアントからサイトへのアプローチには、企業ネットワークで実行されているサービスへの接続が含まれます。 このモデルは、コンテナ化されたアーキテクチャーと、提供されるKubernetesネットワークレイヤーに推奨されます。

設定

クライアントからサイトへのVPN機能は、次のプロトコルをサポートしています。

  • IPsec(IKEv2)

  • オープンVPN

サブスクライバーは、プロトコル(IPSecまたはOpenVPN)のいずれかを選択して、目的の環境のDXP Cloudコンソール設定ページから接続を実行できます。 詳細は、「 VPNをDXP Cloud 接続する」を参照してください。

VPN設定

以下の画像は、VPNサーバーとDXP Cloud間でアドレスとポートがどのようにマッピングされるかを示しています。

転送ポート

DXP CloudをIPSec VPNサーバーに接続する

この使用例では、DXP Cloud内で実行されているDXPポータルインスタンスがあり、内部ネットワーク内で実行されているHTTPサービスにアクセスする必要があると想定します。

トポロジ2-顧客の企業ネットワーク内のHTTPサービスにアクセスするポータルインスタンス

次の点に注意してください。

  • お客様の内部ネットワーク内で実行されている 192.168.100.30:8080 のHello Worldサービスは、サーバーアドレス vpn:33000介してDXPポータルサービスからアクセスできます。

  • クライアントからサーバーへの接続は、 18.188.145.101:500実行されている顧客のVPNサーバーを介して行われます。

  • ポート転送ルールは、ローカルポート 33000 を公開し、 192.168.100.30:8080上で実行されているアプリケーションにマップします。

接続とポート転送ルールが設定された後、Hello Worldサービスへのリクエストは、任意のDXP Cloudサービスから行うことができます。

curl vpn:33000

<body><h1>Hello world!</h1></body></html>

共有クラスターのDXP CloudIP範囲

DXP Cloudは、VPNサーバーにマッピングできる幅広い利用可能なIPアドレスを使用します。 デフォルトでは、DXP Cloudサービスのすべての発信外部IPアドレスは固定されていません。

安定した発信外部IPアドレスを取得する最良の方法は、DXP Cloudプライベートクラスター機能を使用することです。

プライベートクラスタのDXP CloudIP範囲

Liferay DXP Cloudは、各加入者のサービスを独自の専用クラスターに分離するオプションのプライベートクラスターを提供します。 各クラスターは、サブスクライバーのクラスターからのすべての送信インターネットトラフィック専用のゲートウェイで設定され、静的外部IPが割り当てられます。