VPNインテグレーションの概要¶
Liferay DXP Cloudでは、ポートフォワーディングと冗長トンネルをサポートしたクライアントからサイトへのVPN接続を提供しています。 この機能は、通常、DXP Cloud上のサブスクライバーの本番環境を内部ネットワークに接続するために使用されます。 セキュリティと信頼性のために、これらのVPN接続は環境ごと(本番環境、ステージング、または開発)に分離されています。
DXP Cloudサービス間の接続を、対応するVPNサーバーのIPアドレスにマッピングすることで、冗長なVPNトンネルを使用することができます。 冗長性はさまざまなアベイラビリティーゾーンに配置され、回復力を提供します。 クライアントからサイトへのアプローチには、企業ネットワークで実行されているサービスへの接続が含まれます。 このモデルは、コンテナ化されたアーキテクチャとKubernetesのネットワークレイヤーが提供されるため、推奨されています。
VPN接続が設定されると、環境のログページで、ドロップダウンリストから [VPN Logs] を選択することで、VPNサーバーからのログメッセージを表示することができます。
![[VPN Logs]を選択すると、自分の環境での最近のVPNアクティビティが表示されます。](../../_images/0214.png)
詳細は、 VPNサーバーの制限 のセクションを参照してください。
設定¶
クライアントからサイトへのVPN機能は、次のプロトコルをサポートしています。
IPsec (IKEv2)
OpenVPN
サブスクライバーは、プロトコル(IPSecまたはOpenVPN)のいずれかを選択して、目的の環境のDXP Cloudコンソール設定ページから接続を実行できます。 コンソールUIでは、接続に任意の数の転送ポートを設定できます。
注釈
IPsecサーバで IKEv2 プロトコルを使用すると、MSCHAPv2 または TLS 認証プロトコルを使用することができます。 詳しくは、 IPsecサーバーの基本設定 をご覧ください。
詳しくは DXP CloudへのVPNサーバーの接続 をご覧ください。
DXP CloudとIPSec VPNサーバーの接続¶
この使用例では、DXP Cloud 内で動作する DXP Portal インスタンスがあり、内部ネットワーク内で動作する HTTP サービスにアクセスする必要があると仮定します。
次のことに注意してください。
お客様の内部ネットワーク内で実行されている
192.168.100.30:8080のHello Worldサービスは、サーバーアドレスvpn:33000介してDXPポータルサービスからアクセスできます。クライアントからサーバーへの接続は、
18.188.145.101:500実行されている顧客のVPNサーバーを介して行われます。ポート転送ルールは、ローカルポート 33000 を公開し、
192.168.100.30:8080上で実行されているアプリケーションにマップします。
接続とポート転送ルールが設定 された後、Hello Worldサービスへのリクエストは、任意のDXP Cloudサービスから行うことができます。
curl vpn:33000
<body><h1>Hello world!</h1></body></html>
共有クラスターのDXP Cloud IP範囲¶
DXP Cloudは、VPNサーバーにマッピングできる幅広い利用可能なIPアドレスを使用します。 デフォルトでは、DXP Cloudサービスのすべての発信外部IPアドレスは固定されていません。
安定した発信用外部IPアドレスを得るには、DXPクラウド・プライベートクラスター機能を利用するのが最適です。
プライベートクラスタのDXP Cloud IP範囲¶
Liferay DXP Cloudは、各加入者のサービスを独自の専用クラスターに分離するオプションのプライベートクラスターを提供します。 各クラスターは、サブスクライバーのクラスターからのすべての送信インターネットトラフィック専用のゲートウェイで設定され、静的外部IPが割り当てられます。