Flex Gateway新着情報
Governance新着情報
Monitoring API Manager次のセクションを使用して、非公開スペースをセットアップするために必要な情報を収集します。 非公開スペースについての詳細は、「非公開スペース」を参照してください。
この情報にアクセスできない場合は、ネットワーク管理者の支援が必要な可能性があります。 その場合、このセットアップチェックリストを共有してください。
組織のエンタイトルメントに基づいて、Anypoint Platform では、vCore 消費、ネットワーク接続 (VPN とトランジットゲートウェイアタッチメント)、および非公開スペースに対して制限が適用されます。
CloudHub 1.0 と CloudHub 2.0 でエンタイトルメントクォータが共有されます。組織で CloudHub 1.0 と CloudHub 2.0 の両方を使用する場合、この両方を念頭に置いて消費量を割り当てる必要があります。たとえば、組織に 4 つのネットワーク接続のエンタイトルメントがある場合、組織は CloudHub 1.0 の 1 つのトランジットゲートウェイ接続、CloudHub 2.0 の 1 つのトランジットゲートウェイ接続、および 2 つの VPN (またはこれらの任意の組み合わせ) をサポートできます。つまり、ネットワーク接続のエンタイトルメントが 4 の場合、CloudHub の各バージョンでそれぞれ 4 つのネットワーク接続を取得することはできません。ニーズを満たす十分なエンタイトルメントを組織で確保するには、リソースがエンタイトルメントにどのようにマップされるかを理解する必要があります。
Private Cloud クォータには、CloudHub 1.0 の VPC (Virtual Private Cloud) と CloudHub 2.0 の非公開スペースの両方が含まれます。
ネットワーク接続クォータには、CloudHub 1.0 と CloudHub 2.0 の両方の VPN とトランジットゲートウェイアタッチメントが含まれます。
vCore 使用量クォータは、CloudHub 1.0 と CloudHub 2.0 にデプロイされたアプリケーションに適用されます。
Anypoint Platform では、ユーザーは組織の制限を超えるリソースを消費することはできません。また、Anypoint Platform では、ユーザーは既存のリソースの制限を超えている場合にそのリソースを変更することはできません。CloudHub 2.0 での失敗したアプリケーションのデプロイと失敗した非公開スペースの作成も制限に含まれます。
次のリストは、非公開スペースをセットアップするために必要な情報が要約されています。 各要件についての詳細は、その後のセクションを参照してください。
非公開スペース名では、1 ~ 36 文字の英数字 (a-z、A-Z、0-9) とハイフン (-) を使用できます。 Runtime Manager では、非公開スペース名で Unicode 文字がサポートされています。
アプリケーションのデプロイメント対象を選択すると、リストに非公開スペース名が表示されます。
非公開スペースの名前を変更することはできません。
リージョンは、アプリケーションをデプロイする Amazon リージョン (usa-e1
など) です。
サポートされているリージョンの完全なリストを次に示します。
US East (Northern Virginia) US East (Ohio) US West (Northern California) US West (Oregon) Canada (Central) South America (Sao Paulo) Europe (Ireland) Europe (Frankfurt) Europe (London) Asia Pacific (Singapore) Asia Pacific (Sydney) Asia Pacific (Tokyo)
CIDR ブロックは、非公開スペースにデプロイされたアプリケーションで使用する CIDR (クラスレスドメイン間ルーティング) 表記の IPv4 アドレスの範囲です。
CIDR ブロックは、非公開スペースのサイズを定義します。
たとえば、非公開ネットワークに 10.111.0.0
~ 10.111.0.255
の 256 個の IP アドレスを付与するには、CIDR ブロックを 10.111.0.0/24
に設定します。
非公開スペースを作成するときに、CIDR ブロックを指定する必要があります。 非公開スペースを作成した後に、CIDR ブロックのサイズ変更や変更を行うことはできません。 そのため、このパラメーターを設定する前に、要件に適切に対応できることを確認してください。
/22
ブロックをお勧めします。
一部のアドレスはフォールトトレランス、インフラストラクチャ、ダウンタイムなし用に予約されているため、Anypoint VPC に割り当てることができる許容ブロックサイズは /16
~ /24
です。ブロックのサイズは、アプリケーションで使用できる IP の数を制限しません。
CIDR ブロックを指定するときは、CIDR ブロックが次の条件を満たしていることを確認してください。
非公開 IP スペースからである
他の非公開スペースに割り当てられている他の CIDR ブロックと重複しない
企業ネットワークで使用されている CIDR ブロックと重複しない
次の予約済み CIDR ブロックは使用できません。
172.17.0.0/16 100.64.0.0/10 198.19.0.0/16 224.0.0.0/4 169.254.0.0/16 127.0.0.0/8 0.0.0.0/8 100.64.0.0/16 100.66.0.0/16 100.67.0.0/16 100.68.0.0/16
企業ネットワークが内部 DNS サーバーを使用してカスタムドメインへの要求を解決する場合は、これらのサーバーを設定して、非公開スペースにデプロイされたアプリケーションが公開インターネットからは到達できない内部リソースにアクセスできるようにする必要があります。
内部 DNS サーバーを設定するには、内部ドメインサーバーの IP アドレス、および内部 DNS によって解決されるドメインを指定します。
非公開スペースは、指定された DNS サーバーを使用してドメインを解決し、アプリケーションが FQDN を使用してバックエンドリソースを要求する限り、非公開ネットワークで内部ホスト名を使用できます。
サーバー IP アドレスは、カスタムドメインへの要求を解決する内部 DNS サーバーを識別します。
冗長性を提供するために、複数の内部 DNS サーバーを設定できます。
DNS サーバーの IP アドレスを設定するときは、次の点に注意してください。
非公開スペース内で DNS サーバーを設定するため、設定するサーバー IP アドレスは非公開スペースから到達できる必要があります。
サーバーに到達できない場合、DNS 解決は失敗します。
複数のサーバーを設定する場合、非公開スペースはリスト内の DNS サーバーに対して、指定されたドメインをいつでも任意の順序で照会します。
すべてのネームサーバーは同じ DNS レコードを提供する必要があります。
非公開スペースは、設定されたネームサーバーから有効な応答を受信した後に、要求を再試行しません。
いずれかのネームサーバーにドメインのレコードがない場合、応答 NXDOMAIN
(存在しないドメイン) が返されます。
この応答は有効であるため、非公開スペースは照会を他のサーバーに送信しません。
「Anypoint 仮想プライベートネットワーク」で推奨事項と制限事項を確認してください。
リモート ASN (動的ルーティングのみ)
静的 IP プレフィックス (静的ルーティングのみ)
内部 IP CIDR (高度なトンネル設定のみ)
事前共有キー (高度なトンネル設定のみ)
自動トンネル開始 (高度なトンネル設定のみ)
ルーティングを設定する前に、ネットワークを統合して接続数を可能な限り少なく抑えてください。 接続の数には関係なく、非公開スペースごとに最大 95 件のルートテーブルエントリが許可されます。 |
動的ルーティングの場合、ユーザーのデバイスがボーダーゲートウェイプロトコル (BGP) を使用して Anypoint VPN へのルートを動的にアドバタイズします。 デバイスが BGP をサポートしている場合、動的ルーティングを選択できます。それ以外の場合は、静的ルーティングを選択します。
動的 VPN 接続を作成するには、静的 VPN 接続の要件に加えて、VPN デバイスで以下が可能である必要があります。
BGP ピアリングを確立する
ルートベースの VPN をサポートする (トンネルを論理インターフェースにバインドする)
IPsec の場合、Diffie-Hellman フェーズ 2 グループ 2、5、14 ~ 24 を使用した Perfect Forward Secrecy (PFS) の有効化。
ゲートウェイデバイスが BGP をサポートしていない場合、静的ルーティングを使用する必要があります。 独自のシークレットを提供する場合は、静的ルーティングを使用することもできます。
静的ルーティングでは、Anypoint VPN を介したアクセスを可能にするネットワークのルート (サブネット) を指定する必要があります。
静的 VPN 接続を作成するには、ユーザーの VPN エンドポイントで以下が可能である必要があります。
事前共有キー (PSK) を使用して IKE セキュリティアソシエーションを確立する
トンネルモードで IPsec セキュリティアソシエーションを確立する
Anypoint Platform がサポートする IPsec 設定の任意の組み合わせを使用する
暗号化前に IP パケットを分割する
送信するのに大きすぎるパケットは分割する必要があります。
ゲートウェイデバイスは、パケットをカプセル化する前に分割できる必要があります。
トンネルごとの 1 つのセキュリティアソシエーション (SA) ペアの使用
Anypoint VPN では、トンネルごとに一意の 1 組の SA ペア (1 つのインバウンド接続と 1 つのアウトバウンド接続) がサポートされます。 一部のポリシーベースのデバイスは、各 ACL (アクセスコントロールリスト) エントリに対して SA を作成します。 この場合は、ルールを統合してから、不要なトラフィックを除去する必要があります。
IPsec デッドピア検出 (DPD) の使用
DPD により、デバイスはネットワーク条件の変化をすばやく特定できます。
Anypoint Platform エンドポイントでの DPD は DPD Interval: 10
と DPD Retries: 3
で有効化できます。
非対称ルーティングの許可
非対称ルーティングとは、ルーティングポリシーによってネットワークから非公開スペースに送信されるトラフィックと非公開スペースから返されるトラフィックが別々のトンネルを通るルーティング方式です。 Anypoint Platform VPN エンドポイントは、内部アルゴリズムを使用してトンネルを選択するため、戻りパスは動的に決定されます。 デバイスでアクティブ/アクティブトンネル設定を使用している場合は、各 Anypoint VPN 接続で非対称ルーティングを許可する必要があります。
IPsec の場合、Diffie-Hellman フェーズ 2 グループ 2、5、14 ~ 24 を使用した Perfect Forward Secrecy (PFS) の有効化。
ローカル ASN (自律システム番号) では、VPN の Anypoint Platform 側に割り当てるプライベート ASN (64512–65534
) を指定します。
ネットワークに割り当てられていないプライベート ASN を使用してください。
デフォルト値は 64512
です。
静的ルーティングと動的ルーティングの両方に対してローカル ASN を設定します。 |
ローカル ASN は静的ルーティングには使用されませんが、最初の VPN を作成するときにこの値を指定する必要があります。これは、この非公開スペースに BGP を使用する将来の VPN 接続で必要になるためです。 非公開スペースで作成する後続の VPN では、[Local ASN (ローカル ASN)] オプションは静的ルーティングに使用できません。
VPN の作成後にローカル ASN を変更するには、最初に既存の接続をすべて削除する必要があります。
リモート ASN では、バックエンドに対応するプライベート ASN を指定します。
動的ルーティング専用のリモート ASN を設定します。 |
ネットワークに割り当てられている既存の ASN、またはネットワークに割り当てられていないプライベート ASN (64512–65534
) を使用します。
デフォルト値は 65001
です。
静的 IP プレフィックスは、Anypoint Platform の非公開ネットワークに CIDR 表記でアドバタイズする IP プレフィックスです。
静的 IP プレフィックスは、静的ルーティングに対してのみ設定します。 |
VPN 接続の数には関係なく、非公開ネットワークごとに最大 95 件のルートテーブルエントリが許可されます。 この制限を超えないように、ネットワークを統合して接続数を可能な限り少なく抑えてください。
内部 IP CIDR および事前共有キーにカスタム値を指定する場合、または自動トンネル開始を無効にする場合、トンネル設定をカスタマイズできます。
指定しない値はすべてデフォルトに設定されます。
内部 IP CIDR は、VPN トンネルの内部アドレスの IP アドレス範囲です。
内部 IP CIDR は、カスタムトンネル設定に対してのみ指定します。 自動トンネル設定の場合、これらの値は自動生成されます。 |
各トンネルに対して、VPN トンネルの内部アドレスの IP アドレス範囲を入力します。
169.254.0.0/16
範囲から、サイズ /30 の CIDR ブロックを指定できます。
CIDR ブロックはすべての非公開ネットワーク接続で一意であることが必要です。
次の予約済み CIDR ブロックは使用できません。
169.254.0.0/30 169.254.1.0/30 169.254.2.0/30 169.254.3.0/30 169.254.4.0/30 169.254.5.0/30 169.254.169.252/30
ゲートウェイデバイスは、VPN 接続の組織側にある物理的なアプライアンスまたはソフトウェアアプライアンスです。
ネットワーク管理者は、Anypoint VPN 接続で動作するようにデバイスを設定する必要があります。
Anypoint VPN で動作することがわかっているゲートウェイネットワークデバイスを以下に示します。 テスト済みデバイスのリストに自分のデバイスが記載されていない場合は、要件を参照して、自分のデバイスが Anypoint VPN での使用に適しているかどうかを確認してください。 「動的 VPN ルーティング (BGP)」および「静的 VPN ルーティング」を参照してください。
デバイスベンダー | デバイスのプラットフォーム | デバイスソフトウェア |
---|---|---|
Check Point |
Security Gateway |
R77.10 以降 |
Cisco |
ASA |
ASA 8.2 以降 |
IOS |
Cisco IOS 12.4 以降 |
|
Dell |
SonicWALL |
SonicOS 5.9 以降 |
Fortinet |
Fortigate 40+ Series |
FortiOS 4.0 以降 |
Juniper |
J-Series Service Router |
JunOS 9.5 以降 |
SRX-Series Services Gateway |
JunOS 11.0 以降 |
|
SSG |
ScreenOS 6.1 または 6.2 以降 |
|
ISG |
ScreenOS 6.1 または 6.2 以降 |
|
Netgate |
pfSense |
OS 2.2.5 以降 |
Palo Alto Networks |
PANOS 4.1.2 以降 |
|
Yamaha |
RT107e |
|
RTX1200 |
||
RTX1210 |
||
RTX1500 |
||
RTX3000 |
||
SRT100 |
||
Microsoft |
Windows Server |
2008 R2 以降 |
2012 R2 以降 |
||
Zyxel |
Zywall Series |
4.静的にルーティングされる Anypoint VPN 接続の場合は 20 以降 |
4.動的にルーティングされる Anypoint VPN 接続の場合は 30 以降 |
ルーティングを設定する前に、ネットワークを統合して接続数を可能な限り少なく抑えてください。 接続の数には関係なく、非公開スペースごとに最大 95 件のルートテーブルエントリが許可されます。 |
CloudHub にトランジットゲートウェイを追加する前に、次の操作を実行します。
企業 AWS アカウントでトランジットゲートウェイを作成する。
AWS でのトランジットゲートウェイの作成については、AWS ドキュメントの 「Getting started with transit gateways (トランジットゲートウェイ入門)」を参照してください。
1 つのトランジットゲートウェイで最大 10 個の VPC アタッチメントをサポートできます。
AWS トランジットゲートウェイエンタイトルメントを含む非公開スペースサービスを購入する。
[Transit Gateways (トランジットゲートウェイ)] ページは、Anypoint VPC および VPN ライセンスを持つ Anypoint 組織に Runtime Manager で表示されます。
1 つの Anypoint VPC を AWS トランジットゲートウェイにアタッチするために、1 つの Anypoint VPN ライセンスを使用します。
「CloudHub 2.0 Network Administrator (CloudHub 2.0 ネットワーク管理者)」または「CloudHub 2.0 Network Viewer (CloudHub 2.0 ネットワーク閲覧者)」ユーザー権限を使用して Anypoint Platform アカウントにサインインする。
トランジットゲートウェイを通じてアクセス可能にするネットワークのサブネットを識別 (CIDR 表記) する。
トランジットゲートウェイアタッチメント名には最大 255 文字の英数字 (a-z、A-Z、0-9) およびハイフン (-) を含めることができます。 Runtime Manager では、非公開スペース名で Unicode 文字がサポートされています。
AWS のトランジットゲートウェイに同じ名前を使用します。 この名前は後から変更できます。
トランジットゲートウェイアタッチメントの数に関係なく、VPC ごとに最大 95 件のルートテーブルエントリが許可されます。 制限を超えないように、可能な限り少ない数にネットワークを統合してください。