非公開スペース
非公開スペースは、アプリケーションを実行する CloudHub 2.0 の仮想、非公開、および分離論理スペースです。 同じリージョンまたは異なるリージョンに複数の非公開スペースを作成できます。
非公開イントラネットを非公開スペースに接続して、1 つの非公開ネットワークとして機能させます。
各非公開スペースで、次の情報を定義します。
-
この非公開スペースにデプロイされたアプリケーションが実行される仮想クラウドである非公開ネットワーク。
-
Anypoint VPN またはトランジットゲートウェイを介した、非公開ネットワークから外部ネットワークへの 1 つ以上の接続。
-
アプリケーションを非公開スペースにデプロイするときに使用できるドメインを定義し、必要に応じて相互 TLS を有効にする TLS コンテキスト。
-
非公開スペースへのインバウンドおよびアウトバウンドトラフィックを許可およびブロックするファイアウォールルール。
-
非公開スペースへのデプロイを許可する環境とビジネスグループ。
非公開スペースを作成すると、Mule Runtime のライセンスが自動的に挿入され、MuleSoft によって管理されます。
非公開ネットワーク
非公開ネットワークを作成するときは、非公開スペース内のアプリケーションで使用する IP アドレスの範囲、アプリケーションが実行されるリージョン、および必要に応じて内部 DNS サーバーを関連付けて、カスタムドメインへの要求を解決します。
1 つのリージョンで複数の非公開スペースを設定できるため、開発環境やステージング環境など、本番環境と本番以外の環境用に分離された個別のネットワークをセットアップできます。
リージョンについての詳細は、「非公開ネットワークリージョン」を参照してください。
TLS コンテキスト
CloudHub 2.0 では、Transport Layer Security (TLS) コンテキストの使用により、クライアントがカスタムドメインとパスを使用して、非公開スペースにデプロイされたアプリケーションに到達できます。
非公開スペースをセットアップする場合、アプリケーションを非公開スペースにデプロイするときに使用可能なドメインを定義する Transport Layer Security (TLS) コンテキストを設定し、必要に応じて相互 TLS を有効にします。
アプリケーションを非公開スペースにデプロイする場合、TLS コンテキストのドメインを使用して、クライアントがインターネットからアプリケーションに到達するために使用する複数の公開エンドポイントを設定できます。 TLS コンテキストのドメインにワイルドカードが含まれる場合、アプリケーション名や組織などの省略可能なサブドメインを設定できます。 必要な数のエンドポイントを作成できます。
ファイアウォールルール
非公開スペースとの間のトラフィックを制御します。
- Inbound (インバウンド)
-
デフォルトでは、CloudHub 2.0 はポート 80 (HTTP) および 443 (HTTPS) 上の非公開スペースへのトラフィックを任意の場所 (0.0.0.0/0) から許可します。指定したポートを介した接続を許可したり、ポートを削除したり、ポート 80 と 443 を使用して非公開スペースへのトラフィックを制御したりするように、ファイアウォールルールを設定します。
非公開スペースでは負荷分散が提供され、アプリケーションへのインバウンドトラフィックが複数のレプリカに分散されます。
- Outbound (アウトバウンド)
-
デフォルトでは、CloudHub 2.0 は非公開スペースから非公開スペース外部へのすべてのトラフィックを許可します。このルールを削除し、指定されたポートでのみトラフィックを許可するようにファイアウォールルールを設定します。
ファイアウォールルールと TLS コンテキスト設定を組み合わせることで、アプリケーショントラフィックのイングレスとエグレスを微調整できます。