VPNインテグレーションの概要
Liferay Cloud は、ポート転送と冗長トンネルをサポートする VPN クライアントとサイト間の接続を提供します。 この機能は、通常、Liferay Cloud 上の加入者の実稼働環境を内部ネットワークに接続するために使用されます。 セキュリティと信頼性のために、これらのVPN接続は環境ごと(本番環境、ステージング、または開発)に分離されています。
加入者は、Liferay Cloud サービス間の接続を対応する VPN サーバーの IP アドレスにマッピングすることで、冗長 VPN トンネルを使用できます。 冗長性はさまざまなアベイラビリティーゾーンに配置され、回復力を提供します。 クライアントからサイトへのアプローチには、企業ネットワークで実行されているサービスへの接続が含まれます。 このモデルは、コンテナ化されたアーキテクチャと提供される Kubernetes ネットワーク層に推奨されます。
VPN 接続が設定されると、ドロップダウン リストから [VPN ログ] を選択して、環境のログ ページから VPN サーバーからのログ メッセージを表示できます。
![[VPN Logs]を選択すると、自分の環境での最近のVPNアクティビティが表示されます。](https://resources.learn.liferay.com/images/dxp/latest/en/cloud/configuring-the-cloud-network/vpn-integration-overview/images/02.png)
詳細については、 VPN サーバーの制限 セクションを参照してください。
設定
クライアントからサイトへのVPN機能は、次のプロトコルをサポートしています。
- IPsec (IKEv2)
- OpenVPN
- 右ID
サブスクライバーは、Liferay Cloud コンソールの設定ページから、希望する環境への接続を実行するためのプロトコル (IPSec または OpenVPN) を 1 つ選択できます。 コンソールUIでは、接続に任意の数の転送ポートを設定できます。
IPsec サーバーで IKEv2 プロトコルを使用する場合、 MSCHAPv2 または TLS 認証プロトコルのいずれかを使用できます。 詳細については、「 IPsec サーバーの基本設定_」を参照してください。
詳細については、「 VPN サーバーを Liferay Cloud に接続する 」を参照してください。
Liferay CloudをIPSec VPNサーバーに接続する
このユースケースでは、Liferay Cloud 内で実行されている Liferay Portal インスタンスがあり、内部ネットワーク内で実行されている HTTP サービスにアクセスする必要があると想定します。
次の構成に注意してください。
-
顧客の内部ネットワーク内で実行されている
192.168.100.30:8080上の Hello World サービスは、サーバー アドレスvpn:33000を介して Liferay Portal サービスからアクセスできます。 -
クライアントからサーバーへの接続は、
18.188.145.101:500で実行されている顧客の VPN サーバーを介して行われます。 -
ポート転送ルールは、ローカルポート 33000 を公開し、
192.168.100.30:8080上で実行されているアプリケーションにマップします。
接続とポート転送ルールが設定されると、どの Liferay Cloud サービスからでも Hello World サービスへのリクエストができるようになります。
curl vpn:33000
<body><h1>Hello world!</h1></body></html>
Liferay Cloud 共有クラスタのIP範囲
Liferay Cloud は、VPN サーバーにマッピングできる幅広い IP アドレスを使用します。 デフォルトでは、Liferay Cloud サービスのすべての送信外部 IP アドレスは固定されていません。
安定した送信外部 IP アドレスを取得する最善の方法は、Liferay Cloud プライベート クラスター機能を使用することです。
Liferay Cloud プライベートクラスターの IP 範囲
Liferay Cloud は、各加入者のサービスを独自の専用クラスターに分離するオプションのプライベートクラスターを提供しています。 各クラスターには、加入者のクラスターからのすべての送信インターネット トラフィック用の専用ゲートウェイが構成され、静的な外部 IP が割り当てられます。