Skip to main content

インバウンド接続とアウトバウンド接続を区別する

学習の目的

この単元を完了すると、次のことができるようになります。

  • Salesforce プライベートコネクトのコンポーネントを挙げる。
  • プライベートコネクトのユースケースを理解する。

基本的なアーキテクチャ

プライベートコネクトの幅広いメリットがわかったところで、そのアーキテクチャを細かく見ていきましょう。Salesforce ではまず、そのファーストパーティデータセンターのセキュアなバックボーンを構築するために、さまざまなクラウド環境間で運用可能なクラウドネイティブインターフェース (CNI) レイヤーを作成しました。CNI レイヤーは複数のコンポーネントで構成されていますが、特に重要なのが仮想プライベートクラウド (VPC) です。

VPC は大規模な AWS クラウドの隔離されたセクションで、Salesforce はここで管理リソースをホストします。HTTP/s トラフィックをルーティングするプロキシとして機能するため、Transit VPC ということもあります。サポートされている AWS リージョンごとに、インバウンド Transit VPC とアウトバウンド Transit VPC があります。 

お客様はまず、AWS の PrivateLink という機能を使用して独自の VPC を Transit VPC に接続します。次に、Salesforce でプライベート接続を作成して、組織を Transit VPC に接続します。この結果、VPC から Transit VPC を経由して Salesforce 組織に至る電話回線が確立されます。 

左側の AWS クラウドと右側の Salesforce 組織をつなぐ Salesforce プライベートコネクト。

プライベート接続の設定は Salesforce の [設定] ページで直接行います。[セキュリティ] ノードの下に、プライベートコネクト専用の新しい [Setup user experience (ユーザーエクスペリエンスの設定)] があります。複数の VPC に接続する必要がある場合は、複数のプライベート接続を作成して接続できます。

ここで、「インバウンド VPC とアウトバウンド VPC はどう違うのか?」「両方向を同じ設定にすべきではないのか?」「両方向のトラフィックを 1 つのリンクで処理できないのはなぜか?」と疑問に思うかもしれません。

この端的な説明は、Salesforce へのトラフィックの送信と Salesforce からのトラフィックの送信は、共通する点があるものの異なる設定プロセスが必要ということです。接続の受信側は、受信トラフィックを受け入れ、検証済みのソースから送信されていることを確認できるよう適切に設定されている必要があります。したがって、AWS が受信側となるアウトバウンド接続の設定は、Salesforce が受信側となるインバウンド接続の設定と異なります。 

インバウンド

では、インバウンド方向から説明していきましょう。たとえば、AWS にエンタープライズリソース管理 (ERP) ソフトウェアがあるとします。社内の倉庫スタッフが ERP で新商品の在庫確認を行うとき、このスタッフが変更情報をいち早く Salesforce にプッシュすることができれば、営業チームがその新商品を販売可能になります。この場合は、AWS から Salesforce REST API をコールして商品オブジェクトにデータを入力する必要があるため、インバウンド接続を利用します。HTTP/s トラフィックがインバウンド接続を介して安全に送信されます。 

Amazon VPC で、Amazon Route53 を使用して組織の [私のドメイン] が VPC のエンドポイントの IP アドレスに対応付けられていることを確認します。Amazon Route53 は、VPC トラフィックを AWS 外のインフラストラクチャにリダイレクトする AWS サービスで、VPC 内の変更が登録済みエンドポイント経由で送信されると、その変更が直接 Salesforce 組織に送信されます。その後、既存の Salesforce API を使用して、コールのルーティングを自動的に実行できます。 

アウトバウンド

たとえば、AWS にマーケティングアプリケーションがあるとします。マーケティングキャンペーンを作成するためには、Salesforce 組織に保存されている取引先と取引先責任者が必要です。AWS で実行されているエンドポイントサービスにアウトバウンド接続経由で安全にコールアウトを実行すれば、メンバーをキャンペーンに追加できます。

この方向をサポートするために、お客様に代わって Salesforce がアウトバウンド Transit VPC 内に PrivateLink エンドポイントを作成します。お客様は、指定された IAM ロールを使用して、VPC で実行されているエンドポイントサービスへのアクセスを許可する必要があります。IAM ロールとは、Salesforce が管理する PrivateLink エンドポイントに、お客様の VPC で実行されている PrivateLink エンドポイントサービスへのアクセスを許可する権限ポリシーが設定された AWS アイデンティティです。エンドポイントサービスの設定によっては、トラフィックを PrivateLink エンドポイント経由で送信するために、PrivateLink エンドポイントサービス内でこのエンドポイントを事前に受け入れておく必要がある場合もあります。

まとめ

Salesforce では、Amazon Web Services と Salesforce Einstein 1 プラットフォーム間の専用ソリューションの製品化に向けて、Amazon への提携に多額の投資を行ってきました。AWS との戦略的パートナーシップで達成した顕著な成果の 1 つが、真の意味での統合を実現したソリューションをお客様に届けられるようになったことです。Salesforce プライベートコネクトは、Salesforce と Amazon Web Services 間の双方向接続によってプライベートの通信を可能にするソリューションです。プライベートコネクトはこのパートナーシップへのコミットメントの成果であり、お客様がアイデアを得てから最短距離でインパクトをもたらせるようにします。

リソース

Salesforce ヘルプで Trailhead のフィードバックを共有してください。

Trailhead についての感想をお聞かせください。[Salesforce ヘルプ] サイトから新しいフィードバックフォームにいつでもアクセスできるようになりました。

詳細はこちら フィードバックの共有に進む