VPNインテグレーションの概要¶
Liferay DXP Cloudでは、ポートフォワーディングと冗長トンネルをサポートしたクライアントからサイトへのVPN接続を提供しています。 この機能は、通常、DXP Cloud上のサブスクライバーの本番環境を内部ネットワークに接続するために使用されます。 セキュリティと信頼性のために、これらのVPN接続は環境ごと(本番環境、ステージング、または開発)に分離されています。
加入者は、DXP Cloudサービス間の接続を対応するVPNサーバーのIPアドレスにマッピングすることにより、冗長VPNトンネルを使用できます。 冗長性はさまざまなアベイラビリティーゾーンに配置され、回復力を提供します。 クライアントからサイトへのアプローチには、企業ネットワークで実行されているサービスへの接続が含まれます。 このモデルは、コンテナ化されたアーキテクチャーと、提供されるKubernetesネットワークレイヤーに推奨されます。
VPN接続が設定されると、環境のログページで、ドロップダウンリストから [VPN Logs] を選択することで、VPNサーバーからのログメッセージを表示することができます。
詳細は、 VPNサーバーの制限 のセクションを参照してください。
設定¶
クライアントからサイトへのVPN機能は、次のプロトコルをサポートしています。
IPsec (IKEv2)
OpenVPN
サブスクライバーは、プロトコル(IPSecまたはOpenVPN)のいずれかを選択して、目的の環境のDXP Cloudコンソール設定ページから接続を実行できます。 コンソールUIでは、接続に任意の数の転送ポートを設定できます。
注釈
IPsecサーバーで [IKEv2]プロトコルを使用する場合、認証プロトコルとして[MSCHAPv2]または[TLS]を使用することができます。 詳しくは、[Basic Setup for an IPsec Server <./configuring-a-vpn-server.html#basic-setup-for-an-ipsec-server>]__を参照してください。
詳しくは DXP CloudへのVPNサーバーの接続 をご覧ください。
DXP CloudとIPSec VPNサーバーの接続¶
この使用例では、DXP Cloud内で実行されているDXPポータルインスタンスがあり、内部ネットワーク内で実行されているHTTPサービスにアクセスする必要があると想定します。
次のことに注意してください。
お客様の内部ネットワーク内で実行されている
192.168.100.30:8080
のHello Worldサービスは、サーバーアドレスvpn:33000
介してDXPポータルサービスからアクセスできます。クライアントからサーバーへの接続は、
18.188.145.101:500
実行されている顧客のVPNサーバーを介して行われます。ポート転送ルールは、ローカルポート 33000 を公開し、
192.168.100.30:8080
上で実行されているアプリケーションにマップします。
接続とポート転送ルールが構成された後、Hello Worldサービスへのリクエストは、任意のDXP Cloudサービスから行うことができます。
curl vpn:33000
<body><h1>Hello world!</h1></body></html>
共有クラスターのDXP Cloud IP範囲¶
DXP Cloudは、VPNサーバーにマッピングできる幅広い利用可能なIPアドレスを使用します。 デフォルトでは、DXP Cloudサービスのすべての発信外部IPアドレスは固定されていません。
安定した発信外部IPアドレスを取得する最良の方法は、DXP Cloudプライベートクラスター機能を使用することです。
プライベートクラスタのDXP Cloud IP範囲¶
Liferay DXP Cloudは、各加入者のサービスを独自の専用クラスターに分離するオプションのプライベートクラスターを提供します。 各クラスターは、サブスクライバーのクラスターからのすべての送信インターネットトラフィック専用のゲートウェイで設定され、静的外部IPが割り当てられます。