非公開スペース
非公開スペースは、アプリケーションを実行する CloudHub 2.0 の仮想、非公開、および分離領域です。 同じリージョンまたは異なるリージョンに複数の非公開スペースを作成できます。
非公開イントラネットを非公開スペースに接続して、1 つの非公開ネットワークとして機能させます。
各非公開スペースで、次の情報を定義します。
-
この非公開スペースにデプロイされたアプリケーションが実行される仮想クラウドである非公開ネットワーク。
-
Anypoint VPN またはトランジットゲートウェイ接続を介した、非公開ネットワークから外部ネットワークへの接続。
-
アプリケーションを非公開スペースにデプロイするときに使用できるドメインを定義する TLS コンテキスト。
-
非公開スペースへのインバウンドおよびアウトバウンドトラフィックを許可およびブロックするファイアウォールルール。
-
非公開スペースへのデプロイを許可する環境とビジネスグループ。
-
ログの転送先 (Anypoint Monitoring または Splunk などの外部サービス)。
非公開ネットワーク
非公開ネットワークを作成するときは、非公開スペース内のアプリケーションで使用する IP アドレスの範囲、アプリケーションが実行されるリージョン、および必要に応じて内部 DNS サーバーを関連付けて、カスタムドメインへの要求を解決します。
非公開スペースでは、Amazon リージョンがサポートされています。 1 つの Amazon リージョンで複数の非公開スペースを設定できるため、QA 環境やステージング環境など、本番環境と本番以外の環境用に分離された個別のネットワークをセットアップできます。
非公開ネットワーク接続
次の方法を使用して、非公開スペースを非公開ネットワークに接続できます。
| ルーティングを設定する前に、ネットワークを統合して接続数を可能な限り少なく抑えてください。 接続の数には関係なく、非公開スペースごとに最大 95 件のルートテーブルエントリが許可されます。 |
TLS コンテキスト
CloudHub 2.0 では、Transport Layer Security (TLS) コンテキストの使用により、クライアントがカスタムドメインを使用して、非公開スペースにデプロイされたアプリケーションに到達できます。
非公開スペースをセットアップする場合、アプリケーションを非公開スペースにデプロイするときに使用可能なドメインを定義する Transport Layer Security (TLS) コンテキストを設定します。
アプリケーションを非公開スペースにデプロイする場合、TLS コンテキストのドメインを使用して、クライアントがインターネットからアプリケーションに到達するために使用する複数のエンドポイントを設定します。 TLS コンテキストのドメインにワイルドカードが含まれる場合、アプリケーション名や組織などの省略可能なサブドメインを設定できます。 必要な数のエンドポイントを作成できます。
カスタムドメインに加えて、アプリケーションがリスンするベースパスとは異なるパスからアクセスできるように、アプリケーションを設定できます。
ファイアウォールルール
非公開スペースとの間のトラフィックを制御します。 デフォルトでは、CloudHub 2.0 は非公開スペースへのすべてのトラフィックをブロックし、指定されたポートを介した接続を許可するファイアウォールルールを提供します。 追加のファイアウォールルールを設定して、非公開スペースへのトラフィックを制御し、カスタムポートを公開またはブロックし、アプリケーションへの要求をブロックできます。
非公開スペースでは負荷分散が提供され、アプリケーションへのインバウンドトラフィックが複数のレプリカに分散されます。
ファイアウォールルールと TLS コンテキスト設定を組み合わせることで、外部サービスがアプリケーションに到達する方法を微調整できます。