AWS PrivateLink
AWS PrivateLinkコネクションは、Environmentへのネットワークトラフィックをパブリックインターネットから分離された状態に保つことで、OPA対応コネクターおよびWorkatoのAPI platformへの安全なアクセスを提供します。
このガイドを使用して、AWS PrivateLinkを使用したWorkatoマルチテナントクラウドとAWS Virtual Private Cloud(VPC)の間のプライベートコネクションを設定します。
機能の提供状況
特定の料金プランをご利用のお客様は、AWS PrivateLink接続を利用できます。 詳細については、ご利用の料金プランおよび契約を参照してください。
コネクション構造
WorkatoへのAWS PrivateLinkコネクションでは、2階層アーキテクチャを使用します:
コンシューマーVPCは、PrivateLink APIMゲートウェイ(
apim.workatopc.com)またはプライベートSG3/SG4ゲートウェイを使用してwebsocketトンネルを作成するオンプレミスエージェントのいずれかを介して接続します。Transit VPCは、PrivateLinkエンドポイントを使用してWorkatoプラットフォームVPCに接続します。
次の図は、コンシューマーVPCからWorkato VPCへのPrivateLink設定のアーキテクチャを示しています:
コンシューマーVPCをWorkato VPCに接続する
AWS PrivateLinkを使用してコンシューマーVPCをWorkato VPCに接続するには、次の手順を実行します:
前提条件
Workato VPCに接続するには、コンシューマーVPCに少なくとも3つのAvailability Zoneが必要です。
WorkatoでPrivateLinkを有効にする
PrivateLinkを有効にするには、AWSアカウントIDを添えてCustomer Success Managerに連絡してください。 アカウントIDを取得するには、AWSのAWSアカウント識別子の表示ガイドを参照してください。
Workatoから提供されたサービス名とDNS名を保存します。 例:
AWS PrivateLinkエンドポイントを作成する
必要な各AWS PrivateLinkエンドポイントを作成するには、次の手順を実行します:
エンドポイントの作成
AWSコンソールを開き、VPCダッシュボード > PrivateLink and Lattice > Endpointsに移動します。
AWSコンソールのEndpointsページ
Create endpointをクリックします。
エンドポイントのTypeをEndpoint services that use NLBs and GWLBsに設定します。
エンドポイントのTypeとService name
Workatoから提供されたサービス名を入力します。
サービス名の形式が正しいことを確認するには、Verify serviceをクリックします。
使用する予定のVPCを選択します。
Enable DNS nameが無効になっていることを確認します。
Subnetsセクションに移動し、3つのAvailability Zoneを選択します。
3つのAvailability Zoneを選択
Subnet IDドロップダウンメニューを使用して、各ゾーンのサブネットを選択します。
Create Endpointをクリックします。 新しく作成したエンドポイントは、Workatoが承認してAvailableになるまでPending acceptanceです。 エンドポイントのStatusは、Endpointsページで確認できます。
Endpointsページでエンドポイントのステータスを確認
エンドポイントのプライベートDNS名を有効にする
プライベートDNS名を有効にするエンドポイントを選択します。
Actionsドロップダウンメニューを使用して、Modify private DNS nameを選択します。
Modify private DNS nameを選択
Enable for this endpointチェックボックスをクリックし、次にSave changesをクリックします。
Enable for this endpointチェックボックスをクリック
エンドポイントのプライベートDNS名が、Workatoから提供されたDNS名と同じであることを確認します。
OPAコネクションを設定する
WorkatoはOPAを使用して、SG3およびSG4ゲートウェイを使用し、コンシューマーVPCからWorkato Transit VPCへのwebsocketトンネルを作成します。 詳細については、コネクション構造セクションを参照してください。
AWS PrivateLink用にOPAを設定するには、次の手順を実行します:
コンシューマーVPC内のマシンにオンプレミスエージェントをインストールします。 OPAをインストールするには、オンプレミスグループにエージェントを追加するガイドを参照してください。
OPAを実行しているマシンが、ポート443経由でプライベートSG3およびSG4ゲートウェイに到達できることを確認します。 アウトバウンドHTTPSをブロックするファイアウォールまたはプロキシにより、エージェントが接続できなくなる可能性があります。 OPAプロキシ設定の詳細については、オンプレミスエージェントのプロキシアクセスを設定するガイドを参照してください。
OPAのアクティベーションパラメーターを構成するには、次のOS固有の手順を完了します:
オンプレミスエージェントをアクティブ化します。 エージェントはSG3およびSG4プライベートリンクゲートウェイに自動的に接続します。 オペレーティングシステムに合わせてOPAをアクティブ化する方法については、オンプレミスエージェントを実行するガイドを参照してください。
API platformコネクションを設定する
PrivateLinkを使用してAPIエンドポイントにアクセスするには、データセンターのPrivateLink DNSを使用します。 たとえば、標準のWorkato apim.workato.com DNSの代わりに、apim.workatopc.com DNSを使用します。 リクエストを行うマシンがプライベートAPIMゲートウェイに到達できることを確認します。 アウトバウンドHTTPSをブロックするファイアウォールまたはプロキシにより、リクエストが失敗する可能性があります。
Last updated: