通过 AWS Direct Connect 在 Salesforce 和您的本地网络之间建立私有连接
- 16
在AWS Direct Connect上建立Salesforce和本地网络的私有连接
作者:Alan Peaty Abhiram Gajjala嘉宾,Christian Ramirez 发表于 2024年8月5日分类:网络与内容交付,合作伙伴解决方案永久链接
关键要点
Salesforce与AWS Direct Connect结合,可以在本地网络和Salesforce之间提供私有连接,实现安全的数据交换。采用AWS Direct Connect时,需要为Salesforce配置私有连接策略,确保双向数据交换的高效性和安全性。本文概述了所需的架构、前提条件及最佳实践,以帮助企业顺利实施此解决方案。Salesforce是AWS合作伙伴,在客户关系管理CRM领域备受信赖的全球领导者。Hyperforce是下一代Salesforce架构,基于亚马逊网络服务AWS构建。
当在Hyperforce上开发的业务应用程序与本地系统集成时,双向流量必须通过互联网传输。在受到严格监管的行业例如公共部门和金融服务中,需要以编程方式访问托管在Hyperforce上的Salesforce API,这要求通过私有连接进行。同样,从Hyperforce中运行的业务应用程序访问本地系统也需要使用私有连接。
在本文中,我们将介绍如何利用AWS Direct Connect和AWS Transit Gateway与Salesforce Private Connect结合使用,以促进组织数据的私密双向交换。
架构概述
在之前的帖子中,我们介绍了如何使用AWS Direct Connect在Hyperforce上建立专用、管理和可靠的连接。该方法采用公共虚拟接口来连接公共的Hyperforce端点。
本文的方法演示了如何使用私人或传输虚拟接口通过Salesforce Private Connect建立Hyperforce的专用连接。
方法
AWS Direct Connect在本地网络与客户AWS账户内的虚拟私有云VPC之间建立连接,提供从本地网络到AWS的连通性。
客户的VPC与Salesforce的传输VPC之间的数据交换通过Salesforce Private Connect功能完成,该功能基于AWS PrivateLink技术。AWS PrivateLink允许用户安全地访问位于服务提供商VPC中的服务,就像该服务位于用户的VPC中一样。通过Salesforce Private Connect,流量通过Salesforce组织和VPC之间的完全管理的网络连接传输,而不是通过互联网。
以下表格展示了Salesforce Private Connect中入站和出站连接的定义:
方向入站出站描述流入Salesforce的流量从Salesforce流出的流量用例AWS到SalesforceSalesforce到AWS本地网络到SalesforceSalesforce到本地网络这一模式仅适用于支持Salesforce Private Connect的Salesforce服务,例如体验云、金融服务云、健康云、平台云、销售云和服务云。请查阅最新的Salesforce文档以获取支持的具体Salesforce服务。此外,此架构仅适用于数据的入站和出站交换,而不涉及对Salesforce用户界面的访问。
下图展示了如何在双向上促进私有连接的整体解决方案。在本示例中,位于10010/26网络上的本地服务器需要与在Hyperforce平台上运行的应用程序私下交换数据。
前提条件
要实现此解决方案,Salesforce和AWS两端都需满足以下前提条件。
Salesforce
使用支持的Salesforce服务实现与Salesforce API的入站连接。拥有Salesforce Private Connect许可证。每个Salesforce Private Connect许可证允许在每个方向入站和出站进行一次连接。Salesforce组织必须配置My Domain。有关将Salesforce组织迁移到Hyperforce的详细要求,请参考Salesforce文档将Salesforce组织迁移到Hyperforce。
AWSAWS账户使用私有或传输虚拟接口VIF的AWS Direct ConnectTransit Gateway本地数据中心与Salesforce API之间的网络流量
下图展示了入站和出站流量如何在架构中流动。
免费好用加速器入站
一个在本地运行的应用需要私密地访问Salesforce API。流量从本地系统通过AWS直接连接使用传输或私有虚拟接口VIF流入AWS。流量采用自定义DNS记录定向到客户VPC中的VPC端点。该记录解析为为您创建的VPC端点的IP地址。入站VPC端点与Salesforce的入站Private Connect配置下的PrivateLink关联,提供对支持的Salesforce API的私有访问。该私有端点还支持身份验证流程,通过访问Auth2令牌端点/services/oauth2/token来促进程序化获取Bearer令牌。该令牌随后用于与Salesforce REST API之间的交互例如,/services/data/v600/sobjects/Case用于案件对象。有关设置Salesforce配置所需步骤的详细信息,请查阅Salesforce文档与AWS建立入站连接。出站
一个在Salesforce上运行的应用需要私密地访问本地资源。流量从Salesforce通过Salesforce的传输VPC流出,抵达客户内部的网络负载均衡器,这是Salesforce出站Private Connect配置的一部分。有关设置Salesforce配置所需步骤的详细信息,请查阅Salesforce文档与AWS建立出站连接。网络负载均衡器配置有一个目标组,包含一个或多个本地资源的IP地址。流量通过目标组转发到这些IP地址。Transit Gateway通过AWS Direct Connect连接将流量路由回本地资源。注意事项
在您使用AWS Direct Connect、AWS Transit Gateway和Salesforce Private Connect设置组织数据的私有双向交换之前,请审核以下注意事项。
弹性
我们建议您设置多个AWS Direct Connect连接,以在AWS区域提供弹性爱好途径,尤其是当您与Hyperforce之间的流量是关键业务时。请参阅AWS文档,以了解如何实现您的AWS Direct Connect部署的高弹性和最大弹性。
对于入站流量,我们建议您在多个可用区配置VPC端点,以提高可用性。
对于出站流量,我们建议您在网络负载均衡器中配置两个或多个可用区以确保高可用性。
安全性
对于入站流量,来自入站连接的source IP地址将显示在Salesforce Private Connect的入站配置中。我们建议在允许强制实施源IP的Salesforce配置中使用这些IP范围。请参阅Salesforce文档限制访问受信IP范围的连接应用,了解如何使用这些IP范围控制对Salesforce API的访问。
您将通过加密的TLS连接访问Salesforce API。AWS Direct Connect还提供多种额外的数据传输加密选项,包括支持基于AWS Direct Connect的私有IP VPN和MAC安全性。IP虚拟专用网络VPN使用IPsec VPN隧道加密端到端流量,而MAC安全MACsec提供设备之间的点到点加密。
对于出站流量,我们建议您在网络负载均衡器上配置TLS监听器,以确保到网络负载均衡器的流量被加密。
成本优化
如果您的用例仅需访问Salesforce,您可以选择使用虚拟私有网关和私有VIF以优化部署成本。但是,如果您计划实现集线器辐射网络传输中心,并将多个VPC互连,则建议使用传输网关和传输VIF以获取更具扩展性的方法。请查阅亚马逊虚拟私有云连接选项白皮书和AWS Direct Connect配额,了解各自方案的优缺点。
结论
Salesforce与AWS持续创新,以提供多种连接方式以满足客户需求。本文展示了如何结合使用AWS Direct Connect与Salesforce Private Connect,确保在无法使用互联网的行业中实现数据的端到端安全传输。
如有疑问,请联系您的Salesforce或AWS代表,或咨询值得信赖的AWS Direct Connect合作伙伴以获取更多信息。
于2024年8月6日进行了更正:早期版本的此帖子包含了错误的图示。此图已经更新。
作者介绍
Alan PeatyAlan是高级合作伙伴解决方案架构师,帮助全球系统集成商GSI、全球独立软件供应商GISV及其客户采用AWS服务。在加入AWS之前,Alan曾在IBM、Capita和CGI等系统集成商担任架构师。业余时间,Alan热衷于跑步,喜欢穿越英格兰乡村的泥泞小道,还是一位物联网爱好者。
Christian RamirezChristian是AWS合作伙伴解决方案架构师,负责公共部门内与Salesforce的合作。在工作之余,Christian喜欢远足和骑行,享受自然,并维持平衡的生活方式。
Abhiram Gajjala嘉宾Abhiram是Salesforce的工程主管,在Hyperforce网络组中扮演关键角色。他带头开发创新的软件连接产品,包括Salesforce Private Connect。凭借在云网络和企业解决方案方面的专业知识,Abhiram推动提高Salesforce客户的安全连接和性能的倡议。
标签 Amazon VPC、AWS Direct Connect、AWS PrivateLink、AWS Transit Gateway、混合连接性
