Azure Private Link
Azure Private Linkコネクションは、Environmentへのネットワークトラフィックをパブリックインターネットから分離した状態に保つことで、OPA対応コネクターとWorkatoのAPI platformへの安全なアクセスを提供します。
このガイドを使用して、Azure Private Linkを使用したWorkatoマルチテナントクラウドとAzure Virtual Network(VNet)間のプライベートコネクションを設定します。
機能の提供状況
特定の料金プランをご利用のお客様は、Azure Private Link接続を利用できます。 詳細については、ご利用の料金プランおよび契約を参照してください。
コネクション構造
WorkatoへのAzure Private Linkコネクションでは、3層アーキテクチャを使用します:
コンシューマーVNetは、Private Link APIMゲートウェイ(
apim.workatopc.com)またはプライベートSG3/SG4ゲートウェイを使用してwebsocketトンネルを作成するオンプレミスエージェントのいずれかを介して接続します。Transit VNetは、複数のAvailability Zonesにまたがるsite-to-site VPNを使用して、Workato Transit Virtual Private Cloud(VPC)に接続します。
Transit VPCは、Private Linkエンドポイントを使用してWorkatoプラットフォームVPCに接続します。
次の図は、Workato VPC Private LinkセットアップへのコンシューマーVNetのコネクション構造を示しています:
コンシューマーVNetをWorkato VPCに接続する
Azure Private Linkを使用してコンシューマーVNetをWorkato VPCに接続するには、次の手順を実行します:
WorkatoでPrivate Linkを有効にする
Private Linkを有効にするには、AzureサブスクリプションIDを添えてCustomer Success Managerに連絡してください。 サブスクリプションIDを取得するには、MicrosoftのAzure portalでサブスクリプションIDとテナントIDを取得するガイドを参照してください。
Workatoから提供されたResource IDとDNS名を保存します。 例:
Azure Private Linkエンドポイントを作成する
必要な各Azure Private Linkエンドポイントを作成するには、次の手順を実行します:
Microsoft Azure portalを開き、ネットワーク基盤>Private Link>プライベートエンドポイントに移動します。
Azure プライベートエンドポイントページ
エンドポイントの作成
+作成をクリックします。
サブスクリプションとリソースグループを選択します。
基本ページ設定
APIM、SG3、SG4など、エンドポイントの名前を入力します。 ネットワークインターフェイス名フィールドは自動的に入力されます。
任意です。 ネットワークインターフェイス名を編集します。 このフィールドは、指定された名前に基づいて自動的に生成されます。
Azure VNetのリージョンを選択します。
次へ: リソースをクリックします。
コネクションメソッドをリソースIDまたはエイリアスを使用してAzureリソースに接続するに設定します。
リソースページ設定
Workatoから提供されたResource IDを入力します。
次へ: 仮想ネットワークをクリックし、使用する予定の仮想ネットワークを選択します。
仮想ネットワークページ設定
次へ: DNSをクリックし、プライベートDNSゾーンと統合するをNoに設定します。
確認および作成タブに移動し、表示されている情報が正しいことを確認します。
作成をクリックしてエンドポイントを作成します。
プライベートDNSゾーンを作成する
ネットワーク基盤>DNS>プライベートDNSゾーンに移動します
プライベートDNSゾーンページ
+作成をクリックします。
サブスクリプションとリソースグループを選択します。
基本ページ設定
Workatoから提供されたDNS名を名前フィールドに入力します。 例: apim.workatopc.com。
仮想ネットワークリンクタブに移動します。
+ 仮想ネットワークリンクの追加をクリックします。
ゾーンのリンク名、サブスクリプション、仮想ネットワークを指定します。
Createをクリックします。
確認および作成タブに移動し、表示されている情報が正しいことを確認します。
作成をクリックしてゾーンを作成します。
レコードセットを作成する
新しく作成したゾーンを選択します。
新しく作成したゾーンを選択します。
DNS管理>レコードセットに移動します。
DNS管理>レコードセットに移動します。
+ 追加をクリックします。
レコードセットの名前を入力し、エンドポイントのPrivate IPをIPアドレスフィールドに入力します。 エンドポイントのPrivate IPは、ネットワーク基盤>Private Link>プライベートエンドポイントページで取得できます。
Addをクリックします。
Workatoがエンドポイントを承認し、アクティブに設定するまで待ちます。 エンドポイントのステータスは、ネットワーク基盤>Private Link>プライベートエンドポイントページで確認できます。
保留中のエンドポイント
OPAコネクションを設定する
Workatoは、OPAを使用して、SG3およびSG4ゲートウェイ経由でコンシューマーVNetからWorkato Transit VNetへのwebsocketトンネルを作成します。 詳細については、コネクション構造セクションを参照してください。
Azure Private Link用にOPAを設定するには、次の手順を実行します:
コンシューマーVNet内のマシンにオンプレミスエージェントをインストールします。 OPAをインストールするには、オンプレミスグループにエージェントを追加するガイドを参照してください。
OPAを実行しているマシンが、ポート443経由でプライベートSG3およびSG4ゲートウェイに到達できることを確認します。 アウトバウンドHTTPSをブロックするファイアウォールまたはプロキシにより、エージェントが接続できなくなる可能性があります。 OPAプロキシ設定の詳細については、オンプレミスエージェントのプロキシアクセスを設定するガイドを参照してください。
OPAのアクティベーションパラメーターを構成するには、次のOS固有の手順を完了します:
オンプレミスエージェントをアクティブ化します。 エージェントはSG3およびSG4プライベートリンクゲートウェイに自動的に接続します。 オペレーティングシステムに合わせてOPAをアクティブ化する方法については、オンプレミスエージェントを実行するガイドを参照してください。
API platformコネクションを設定する
Private Linkを使用してAPIエンドポイントにアクセスするには、データセンター用のPrivate Link DNSを使用します。 たとえば、標準のWorkato apim.workato.com DNSの代わりに、apim.workatopc.com DNSを使用します。 リクエストを行うマシンがプライベートAPIMゲートウェイに到達できることを確認します。 アウトバウンドHTTPSをブロックするファイアウォールまたはプロキシにより、リクエストが失敗する可能性があります。
Last updated: