Documentation

VPNインテグレーションの概要

Liferay Cloudでは、ポートフォワーディングと冗長トンネルをサポートしたクライアントからサイトへのVPN接続を提供しています。 この機能は、通常、Liferay Cloud上のサブスクライバーの本番環境を内部ネットワークに接続するために使用されます。 セキュリティと信頼性のために、これらのVPN接続は環境ごと(本番環境、ステージング、または開発)に分離されています。

トポロジー1 - Liferay Cloud VPN クライアント-サイト間トポロジー

Liferay Cloudサービス間の接続を、対応するVPNサーバーのIPアドレスにマッピングすることで、冗長なVPNトンネルを使用することができます。 冗長性はさまざまなアベイラビリティーゾーンに配置され、回復力を提供します。 クライアントからサイトへのアプローチには、企業ネットワークで実行されているサービスへの接続が含まれます。 このモデルは、コンテナ化されたアーキテクチャとKubernetesのネットワークレイヤーが提供されるため、推奨されています。

VPN接続が設定されると、環境のログページで、ドロップダウンリストから [VPN Logs] を選択することで、VPNサーバーからのログメッセージを表示することができます。

[VPN Logs]を選択すると、自分の環境での最近のVPNアクティビティが表示されます。

詳細は、 VPNサーバーの制限 のセクションを参照してください。

設定

クライアントからサイトへのVPN機能は、次のプロトコルをサポートしています。

  • IPsec (IKEv2)

  • OpenVPN

サブスクライバーは、プロトコル(IPSecまたはOpenVPN)のいずれかを選択して、目的の環境のLiferay Cloudコンソール設定ページから接続を実行できます。 コンソールUIでは、接続に任意の数の転送ポートを設定できます。

注釈

IPsecサーバで IKEv2 プロトコルを使用すると、MSCHAPv2 または TLS 認証プロトコルを使用することができます。 詳しくは、 IPsecサーバーの基本設定 をご覧ください。

詳しくは Liferay CloudへのVPNサーバーの接続 をご覧ください。

Liferay CloudとIPSec VPNサーバーの接続

この使用例では、Liferay Cloud 内で動作する DXP Portal インスタンスがあり、内部ネットワーク内で動作する HTTP サービスにアクセスする必要があると仮定します。

トポロジー2 - お客様の社内ネットワーク内のHTTPサービスにアクセスするポータル インスタンス

次のことに注意してください。

  • お客様の内部ネットワーク内で実行されている 192.168.100.30:8080 のHello Worldサービスは、サーバーアドレス vpn:33000介してDXPポータルサービスからアクセスできます。

  • クライアントからサーバーへの接続は、 18.188.145.101:500実行されている顧客のVPNサーバーを介して行われます。

  • ポート転送ルールは、ローカルポート 33000 を公開し、 192.168.100.30:8080上で実行されているアプリケーションにマップします。

接続とポート転送ルールが設定 された後、Hello Worldサービスへのリクエストは、任意のLiferay Cloudサービスから行うことができます。

curl vpn:33000

<body><h1>Hello world!</h1></body></html>

共有クラスターのLiferay Cloud IP範囲

Liferay Cloudは、VPNサーバーにマッピングできる幅広い利用可能なIPアドレスを使用します。 デフォルトでは、Liferay Cloudサービスのすべての発信外部IPアドレスは固定されていません。

安定した発信用外部IPアドレスを得るには、DXPクラウド・プライベートクラスター機能を利用するのが最適です。

プライベートクラスタのLiferay Cloud IP範囲

Liferay Cloudは、各加入者のサービスを独自の専用クラスターに分離するオプションのプライベートクラスターを提供します。 各クラスターは、サブスクライバーのクラスターからのすべての送信インターネットトラフィック専用のゲートウェイで設定され、静的外部IPが割り当てられます。

次のステップ