必要なセットアップ情報の収集

次のセクションを使用して、非公開スペースをセットアップするために必要な情報を収集します。 非公開スペースについての詳細は、「非公開スペース」を参照してください。

この情報にアクセスできない場合は、ネットワーク管理者の支援が必要な可能性があります。 その場合、このセットアップチェックリストを共有してください。

組織のエンタイトルメントおよび CloudHub 2.0

組織のエンタイトルメントに基づいて、Anypoint Platform では、vCore 消費、ネットワーク接続 (VPN とトランジットゲートウェイアタッチメント)、および非公開スペースに対して制限が適用されます。

CloudHub 1.0 と CloudHub 2.0 でエンタイトルメントクォータが共有されます。組織で CloudHub 1.0 と CloudHub 2.0 の両方を使用する場合、この両方を念頭に置いて消費量を割り当てる必要があります。たとえば、組織に 4 つのネットワーク接続のエンタイトルメントがある場合、組織は CloudHub 1.0 の 1 つのトランジットゲートウェイ接続、CloudHub 2.0 の 1 つのトランジットゲートウェイ接続、および 2 つの VPN (またはこれらの任意の組み合わせ) をサポートできます。つまり、ネットワーク接続のエンタイトルメントが 4 の場合、CloudHub の各バージョンでそれぞれ 4 つのネットワーク接続を取得することはできません。ニーズを満たす十分なエンタイトルメントを組織で確保するには、リソースがエンタイトルメントにどのようにマップされるかを理解する必要があります。

  • Private Cloud クォータには、CloudHub 1.0 の VPC (Virtual Private Cloud) と CloudHub 2.0 の非公開スペースの両方が含まれます。

  • ネットワーク接続クォータには、CloudHub 1.0 と CloudHub 2.0 の両方の VPN とトランジットゲートウェイアタッチメントが含まれます。

  • vCore 使用量クォータは、CloudHub 1.0 と CloudHub 2.0 にデプロイされたアプリケーションに適用されます。

Anypoint Platform では、ユーザーは組織の制限を超えるリソースを消費することはできません。また、Anypoint Platform では、ユーザーは既存のリソースの制限を超えている場合にそのリソースを変更することはできません。CloudHub 2.0 での失敗したアプリケーションのデプロイと失敗した非公開スペースの作成も制限に含まれます。

非公開スペースのセットアップに必要な情報

次のリストは、非公開スペースをセットアップするために必要な情報が要約されています。 各要件についての詳細は、その後のセクションを参照してください。

非公開ネットワークのセットアップ
VPN 接続種別
冗長 VPN 接続​ (​省略可能​)
トランジットゲートウェイアタッチメント種別

非公開ネットワーク要件

非公開スペース名

非公開スペース名では、1 ~ 36 文字の英数字 (a-z、A-Z、0-9) とハイフン (-) を使用できます。 Runtime Manager では、非公開スペース名で Unicode 文字がサポートされています。

アプリケーションのデプロイメント対象を選択すると、リストに非公開スペース名が表示されます。

非公開スペースの名前を変更することはできません。

非公開ネットワークリージョン

リージョン​は、アプリケーションをデプロイする Amazon リージョン (​usa-e1​ など) です。

サポートされているリージョンの完全なリストを次に示します。

US East (Northern Virginia)
US East (Ohio)
US West (Northern California)
US West (Oregon)
Canada (Central)
South America (Sao Paulo)
Europe (Ireland)
Europe (Frankfurt)
Europe (London)
Asia Pacific (Singapore)
Asia Pacific (Sydney)
Asia Pacific (Tokyo)

CIDR ブロック

CIDR ブロック​は、非公開スペースにデプロイされたアプリケーションで使用する CIDR (クラスレスドメイン間ルーティング) 表記の IPv4 アドレスの範囲です。 CIDR ブロックは、非公開スペースのサイズを定義します。 たとえば、非公開ネットワークに ​10.111.0.0​ ~ ​10.111.0.255​ の 256 個の IP アドレスを付与するには、CIDR ブロックを ​10.111.0.0/24​ に設定します。

非公開スペースを作成するときに、CIDR ブロックを指定する必要があります。 非公開スペースを作成した後に、CIDR ブロックのサイズ変更や変更を行うことはできません。 そのため、このパラメーターを設定する前に、要件に適切に対応できることを確認してください。

/22​ ブロックをお勧めします。

一部のアドレスはフォールトトレランス、インフラストラクチャ、ダウンタイムなし用に予約されているため、Anypoint VPC に割り当てることができる許容ブロックサイズは ​/16​ ~ ​/24​ です。ブロックのサイズは、アプリケーションで使用できる IP の数を制限しません。

CIDR ブロックを指定するときは、CIDR ブロックが次の条件を満たしていることを確認してください。

  • 非公開 IP スペースからである

  • 他の非公開スペースに割り当てられている他の CIDR ブロックと重複しない

  • 企業ネットワークで使用されている CIDR ブロックと重複しない

次の予約済み CIDR ブロックは使用できません。

172.17.0.0/16
100.64.0.0/10
198.19.0.0/16
224.0.0.0/4
169.254.0.0/16
127.0.0.0/8
0.0.0.0/8
100.64.0.0/16
100.66.0.0/16
100.67.0.0/16
100.68.0.0/16

内部 DNS サーバー (省略可能)

企業ネットワークが内部 DNS サーバーを使用してカスタムドメインへの要求を解決する場合は、これらのサーバーを設定して、非公開スペースにデプロイされたアプリケーションが公開インターネットからは到達できない内部リソースにアクセスできるようにする必要があります。

内部 DNS サーバーを設定するには、内部ドメインサーバーの IP アドレス、および内部 DNS によって解決されるドメインを指定します。

非公開スペースは、指定された DNS サーバーを使用してドメインを解決し、アプリケーションが FQDN を使用してバックエンドリソースを要求する限り、非公開ネットワークで内部ホスト名を使用できます。

サーバー IP アドレス

サーバー IP アドレス​は、カスタムドメインへの要求を解決する内部 DNS サーバーを識別します。

冗長性を提供するために、複数の内部 DNS サーバーを設定できます。

DNS サーバーの IP アドレスを設定するときは、次の点に注意してください。

  • 非公開スペース内で DNS サーバーを設定するため、設定するサーバー IP アドレスは非公開スペースから到達できる必要があります。

    サーバーに到達できない場合、DNS 解決は失敗します。

  • 複数のサーバーを設定する場合、非公開スペースはリスト内の DNS サーバーに対して、指定されたドメインをいつでも任意の順序で照会します。

  • すべてのネームサーバーは同じ DNS レコードを提供する必要があります。

  • 非公開スペースは、設定されたネームサーバーから有効な応答を受信した後に、要求を再試行しません。

    いずれかのネームサーバーにドメインのレコードがない場合、応答 ​NXDOMAIN​ (存在しないドメイン) が返されます。 この応答は有効であるため、非公開スペースは照会を他のサーバーに送信しません。

ドメイン

ドメイン​は、非公開スペースからアクセスできる必要がある内部ドメインを識別します。 設定された内部 DNS サーバーは指定されたドメインを解決し、外部 DNS サーバーはその他すべてのドメインを解決します。

内部ドメインを設定するには、IP アドレスを指定します。

設定されたすべてのドメインの合計文字数は 229 です。

VPN 要件

Anypoint 仮想プライベートネットワーク」で推奨事項と制限事項を確認してください。

ルーティングを設定する前に、ネットワークを統合して接続数を可能な限り少なく抑えてください。 接続の数には関係なく、非公開スペースごとに最大 95 件のルートテーブルエントリが許可されます。

VPN 名

VPN 名​は、VPN 接続の名前です。

リモート IP アドレス

リモート IP アドレス​は、VPN エンドポイントの公開 (1 つの静的) IP アドレスです。

動的 VPN ルーティング (BGP)

動的ルーティングの場合、ユーザーのデバイスがボーダーゲートウェイプロトコル (BGP) を使用して Anypoint VPN へのルートを動的にアドバタイズします。 デバイスが BGP をサポートしている場合、動的ルーティングを選択できます。それ以外の場合は、静的ルーティングを選択します。

動的 VPN 接続を作成するには、静的 VPN 接続の要件に加えて、VPN デバイスで以下が可能である必要があります。

  • BGP ピアリングを確立する

  • ルートベースの VPN をサポートする (トンネルを論理インターフェースにバインドする)

  • IPsec の場合、Diffie-Hellman フェーズ 2 グループ 2、5、14 ~ 24 を使用した Perfect Forward Secrecy (PFS) の有効化。

静的 VPN ルーティング

ゲートウェイデバイスが BGP をサポートしていない場合、静的ルーティングを使用する必要があります。 独自のシークレットを提供する場合は、静的ルーティングを使用することもできます。

静的ルーティングでは、Anypoint VPN を介したアクセスを可能にするネットワークのルート (サブネット) を指定する必要があります。

静的 VPN 接続を作成するには、ユーザーの VPN エンドポイントで以下が可能である必要があります。

  • 事前共有キー (PSK) を使用して IKE セキュリティアソシエーションを確立する

  • トンネルモードで IPsec セキュリティアソシエーションを確立する

  • Anypoint Platform がサポートする IPsec 設定の任意の組み合わせを使用する

  • 暗号化前に IP パケットを分割する

    送信するのに大きすぎるパケットは分割する必要があります。

    ゲートウェイデバイスは、パケットをカプセル化する前に分割できる必要があります。

  • トンネルごとの 1 つのセキュリティアソシエーション (SA) ペアの使用

    Anypoint VPN では、トンネルごとに一意の 1 組の SA ペア (1 つのインバウンド接続と 1 つのアウトバウンド接続) がサポートされます。 一部のポリシーベースのデバイスは、各 ACL (アクセスコントロールリスト) エントリに対して SA を作成します。 この場合は、ルールを統合してから、不要なトラフィックを除去する必要があります。

  • IPsec デッドピア検出 (DPD) の使用

    DPD により、デバイスはネットワーク条件の変化をすばやく特定できます。 Anypoint Platform エンドポイントでの DPD は ​DPD Interval: 10​ と ​DPD Retries: 3​ で有効化できます。

  • 非対称ルーティングの許可

    非対称ルーティングとは、ルーティングポリシーによってネットワークから非公開スペースに送信されるトラフィックと非公開スペースから返されるトラフィックが別々のトンネルを通るルーティング方式です。 Anypoint Platform VPN エンドポイントは、内部アルゴリズムを使用してトンネルを選択するため、戻りパスは動的に決定されます。 デバイスでアクティブ/アクティブトンネル設定を使用している場合は、各 Anypoint VPN 接続で非対称ルーティングを許可する必要があります。

  • IPsec の場合、Diffie-Hellman フェーズ 2 グループ 2、5、14 ~ 24 を使用した Perfect Forward Secrecy (PFS) の有効化。

ローカル ASN

ローカル ASN​ (自律システム番号) では、VPN の Anypoint Platform 側に割り当てるプライベート ASN (​64512–65534​) を指定します。

ネットワークに割り当てられていないプライベート ASN を使用してください。 デフォルト値は ​64512​ です。

静的ルーティングと動的ルーティングの両方に対してローカル ASN を設定します。

ローカル ASN は静的ルーティングには使用されませんが、最初の VPN を作成するときにこの値を指定する必要があります。これは、この非公開スペースに BGP を使用する将来の VPN 接続で必要になるためです。 非公開スペースで作成する後続の VPN では、​[Local ASN (ローカル ASN)]​ オプションは静的ルーティングに使用できません。

VPN の作成後にローカル ASN を変更するには、最初に既存の接続をすべて削除する必要があります。

リモート ASN

リモート ASN​ では、バックエンドに対応するプライベート ASN を指定します。

動的ルーティング専用のリモート ASN を設定します。

ネットワークに割り当てられている既存の ASN、またはネットワークに割り当てられていないプライベート ASN (​64512–65534​) を使用します。 デフォルト値は ​65001​ です。

静的 IP プレフィックス

静的 IP プレフィックス​は、Anypoint Platform の非公開ネットワークに CIDR 表記でアドバタイズする IP プレフィックスです。

静的 IP プレフィックスは、静的ルーティングに対してのみ設定します。

VPN 接続の数には関係なく、非公開ネットワークごとに最大 95 件のルートテーブルエントリが許可されます。 この制限を超えないように、ネットワークを統合して接続数を可能な限り少なく抑えてください。

高度なトンネル設定 (省略可能)

内部 IP CIDR および事前共有キーにカスタム値を指定する場合、または自動トンネル開始を無効にする場合、トンネル設定をカスタマイズできます。

指定しない値はすべてデフォルトに設定されます。

内部 IP CIDR

内部 IP CIDR​ は、VPN トンネルの内部アドレスの IP アドレス範囲です。

内部 IP CIDR は、カスタムトンネル設定に対してのみ指定します。 自動トンネル設定の場合、これらの値は自動生成されます。

各トンネルに対して、VPN トンネルの内部アドレスの IP アドレス範囲を入力します。

169.254.0.0/16​ 範囲から、サイズ /30 の CIDR ブロックを指定できます。 CIDR ブロックはすべての非公開ネットワーク接続で一意であることが必要です。

次の予約済み CIDR ブロックは使用できません。

169.254.0.0/30
169.254.1.0/30
169.254.2.0/30
169.254.3.0/30
169.254.4.0/30
169.254.5.0/30
169.254.169.252/30

事前共有キー

事前共有キー​ (PSK) は、VPN トンネルの接続の 2 つのエンドポイント間で以前に共有された共有シークレットです。

カスタムトンネル設定に対してのみ PSK を指定します。 自動トンネル設定の場合、これらの値は自動生成されます。

静的接続の場合、VPN エンドポイントは事前共有キー (PSK) を使用して IKE セキュリティアソシエーションを確立します。

各トンネルに対して、先頭が 0 ではない 8 ~ 64 文字の値を入力します。 英数字、ピリオド (.)、およびアンダースコア (_) のみを使用してください。

自動トンネル開始

デフォルトでは、VPN トンネルは自動的に開始されます。

このオプションを選択解除した場合、カスタマーゲートウェイからのトラフィックを生成して VPN トンネルを確立する必要があります。

この設定は接続内のすべての VPN に適用され、このオプションは後続の冗長 VPN では使用できません。

VPN の作成後にトンネル開始を変更すると、この接続内のすべての VPN が再起動されます。

サポートされるゲートウェイデバイス

ゲートウェイデバイス​は、VPN 接続の組織側にある物理的なアプライアンスまたはソフトウェアアプライアンスです。

ネットワーク管理者は、Anypoint VPN 接続で動作するようにデバイスを設定する必要があります。

Anypoint VPN で動作することがわかっているゲートウェイネットワークデバイスを以下に示します。 テスト済みデバイスのリストに自分のデバイスが記載されていない場合は、要件を参照して、自分のデバイスが Anypoint VPN での使用に適しているかどうかを確認してください。 「​動的 VPN ルーティング (BGP)​」および「​静的 VPN ルーティング​」を参照してください。

Table 1. サポートされるゲートウェイデバイス
デバイスベンダー デバイスのプラットフォーム デバイスソフトウェア

Check Point

Security Gateway

R77.10 以降

Cisco

ASA

ASA 8.2 以降

IOS

Cisco IOS 12.4 以降

Dell

SonicWALL

SonicOS 5.9 以降

Fortinet

Fortigate 40+ Series

FortiOS 4.0 以降

Juniper

J-Series Service Router

JunOS 9.5 以降

SRX-Series Services Gateway

JunOS 11.0 以降

SSG

ScreenOS 6.1 または 6.2 以降

ISG

ScreenOS 6.1 または 6.2 以降

Netgate

pfSense

OS 2.2.5 以降

Palo Alto Networks

PANOS 4.1.2 以降

Yamaha

RT107e

RTX1200

RTX1210

RTX1500

RTX3000

SRT100

Microsoft

Windows Server

2008 R2 以降

2012 R2 以降

Zyxel

Zywall Series

4.静的にルーティングされる Anypoint VPN 接続の場合は 20 以降

4.動的にルーティングされる Anypoint VPN 接続の場合は 30 以降

冗長 VPN

リモート ASN​ のデフォルト値は、最初の VPN から継承されます。 この値は変更できます。

トランジットゲートウェイアタッチメントの要件

ルーティングを設定する前に、ネットワークを統合して接続数を可能な限り少なく抑えてください。 接続の数には関係なく、非公開スペースごとに最大 95 件のルートテーブルエントリが許可されます。

始める前に

CloudHub にトランジットゲートウェイを追加する前に、次の操作を実行します。

  • 企業 AWS アカウントでトランジットゲートウェイを作成する。

    AWS でのトランジットゲートウェイの作成については、AWS ドキュメントの 「Getting started with transit gateways (トランジットゲートウェイ入門)」​を参照してください。

    1 つのトランジットゲートウェイで最大 10 個の VPC アタッチメントをサポートできます。

  • AWS トランジットゲートウェイエンタイトルメントを含む非公開スペースサービスを購入する。

    [Transit Gateways (トランジットゲートウェイ)]​ ページは、Anypoint VPC および VPN ライセンスを持つ Anypoint 組織に Runtime Manager で表示されます。

    1 つの Anypoint VPC を AWS トランジットゲートウェイにアタッチするために、1 つの Anypoint VPN ライセンスを使用します。

  • 「CloudHub 2.0 Network Administrator (CloudHub 2.0 ネットワーク管理者)」または「CloudHub 2.0 Network Viewer (CloudHub 2.0 ネットワーク閲覧者)」ユーザー権限を使用して Anypoint Platform アカウントにサインインする。

  • トランジットゲートウェイを通じてアクセス可能にするネットワークのサブネットを識別 (CIDR 表記) する。

トランジットゲートウェイ名

トランジットゲートウェイアタッチメント名には最大 255 文字の英数字 (a-z、A-Z、0-9) およびハイフン (-) を含めることができます。 Runtime Manager では、非公開スペース名で Unicode 文字がサポートされています。

AWS のトランジットゲートウェイに同じ名前を使用します。 この名前は後から変更できます。

トランジットゲートウェイリージョン

AWS トランジットゲートウェイの場所に対応するリージョン。

非公開スペースと AWS トランジットゲートウェイは同じリージョンにある必要があります。

トランジットゲートウェイのルーティング

トランジットゲートウェイアタッチメントの数に関係なく、VPC ごとに最大 95 件のルートテーブルエントリが許可されます。 制限を超えないように、可能な限り少ない数にネットワークを統合してください。

MuleSoft AWS アカウント ID

MuleSoft AWS アカウント ID は、US クラウドや EU クラウドなどのコントロールプレーンによって異なり、トランジットゲートウェイ接続の作成を選択すると、​[Add transit gateway (トランジットゲートウェイを追加)]​ ページに表示されます。

AWS でリソース共有を作成するときに、この ID を指定して、Anypoint Platform がリソース共有にアクセスできるようにします。

別のチームが AWS 設定を行う場合は、この MuleSoft AWS アカウント ID をチームと共有します。

リソース共有 ID およびオーナー

リソース共有 ID およびオーナーは、AWS の ​[Create a resource share (リソース共有を作成)]​ ページに表示されます。 これらの値を使用して、Anypoint Platform のリソース共有を検証します。

  • リソース共有の ​[ID]​ 項目には英数字 (a-z、A-Z、0-9) およびハイフン (-) を使用できます。

  • リソース共有の ​[Owner (オーナー)]​ 項目には数値しか使用できません。