在AWS Direct Connect上建立Salesforce和本地网络的私有连接

作者：Alan Peaty, Abhiram Gajjala（嘉宾），Christian Ramirez 发表于 2024年8月5日
分类：，

关键要点

• Salesforce与AWS Direct Connect结合，可以在本地网络和Salesforce之间提供私有连接，实现安全的数据交换。
• 采用AWS Direct Connect时，需要为Salesforce配置私有连接策略，确保双向数据交换的高效性和安全性。
• 本文概述了所需的架构、前提条件及最佳实践，以帮助企业顺利实施此解决方案。

Salesforce是，在客户关系管理（CRM）领域备受信赖的全球领导者。是下一代Salesforce架构，基于构建。

当在Hyperforce上开发的业务应用程序与本地系统集成时，双向流量必须通过互联网传输。在受到严格监管的行业（例如公共部门和金融服务）中，需要以编程方式访问托管在Hyperforce上的SalesforceAPI，这要求通过私有连接进行。同样，从Hyperforce中运行的业务应用程序访问本地系统也需要使用私有连接。

在本文中，我们将介绍如何利用和与结合使用，以促进组织数据的私密双向交换。

架构概述

在中，我们介绍了如何使用AWS DirectConnect在Hyperforce上建立专用、管理和可靠的连接。该方法采用来连接公共的Hyperforce端点。

本文的方法演示了如何使用私人或传输虚拟接口通过Salesforce Private Connect建立Hyperforce的专用连接。

方法

AWS Direct Connect在本地网络与客户AWS账户内的虚拟私有云（VPC）之间建立连接，提供从本地网络到AWS的连通性。

客户的VPC与Salesforce的传输VPC之间的数据交换通过Salesforce Private Connect功能完成，该功能基于技术。AWSPrivateLink允许用户安全地访问位于服务提供商VPC中的服务，就像该服务位于用户的VPC中一样。通过Salesforce PrivateConnect，流量通过Salesforce组织和VPC之间的完全管理的网络连接传输，而不是通过互联网。

以下表格展示了Salesforce Private Connect中入站和出站连接的定义：

这一模式仅适用于支持Salesforce PrivateConnect的Salesforce服务，例如、、、、和。请查阅最新的以获取支持的具体Salesforce服务。此外，此架构仅适用于数据的入站和出站交换，而不涉及对Salesforce用户界面的访问。

下图展示了如何在双向上促进私有连接的整体解决方案。在本示例中，位于10.0.1.0/26网络上的本地服务器需要与在Hyperforce平台上运行的应用程序私下交换数据。

![图示如何使用AWS Direct Connect和Salesforce Private删除)

前提条件

要实现此解决方案，Salesforce和AWS两端都需满足以下前提条件。

Salesforce

• 使用（实现与Salesforce API的入站连接）。
• 拥有。每个Salesforce Private Connect许可证允许在每个方向（入站和出站）进行一次连接。
• Salesforce组织必须配置。

有关将Salesforce组织迁移到Hyperforce的详细要求，请参考Salesforce文档。

AWS

• AWS账户
• 使用私有或传输虚拟接口（VIF）的

本地数据中心与Salesforce API之间的网络流量

下图展示了入站和出站流量如何在架构中流动。

删除)

入站

1. 一个在本地运行的应用需要私密地访问Salesforce API。流量从本地系统通过AWS直接连接使用传输或私有虚拟接口（VIF）流入AWS。
2. 流量采用自定义DNS记录定向到客户VPC中的VPC端点。该记录解析为为您创建的VPC端点的IP地址。
3. 入站VPC端点与Salesforce的入站Private Connect配置下的PrivateLink关联，提供对支持的Salesforce API的私有访问。该私有端点还支持身份验证流程，通过访问Auth2令牌端点（/services/oauth2/token）来促进程序化获取Bearer令牌。该令牌随后用于与Salesforce REST API之间的交互（例如，/services/data/v60.0/sobjects/Case用于案件对象）。有关设置Salesforce配置所需步骤的详细信息，请查阅Salesforce文档。

出站

1. 一个在Salesforce上运行的应用需要私密地访问本地资源。流量从Salesforce通过Salesforce的传输VPC流出，抵达客户内部的网络负载均衡器，这是Salesforce出站Private Connect配置的一部分。有关设置Salesforce配置所需步骤的详细信息，请查阅Salesforce文档。
2. 网络负载均衡器配置有一个目标组，包含一个或多个本地资源的IP地址。流量通过目标组转发到这些IP地址。
3. Transit Gateway通过AWS Direct Connect连接将流量路由回本地资源。

注意事项

在您使用AWS Direct Connect、AWS Transit Gateway和Salesforce PrivateConnect设置组织数据的私有双向交换之前，请审核以下注意事项。

弹性

我们建议您设置，以在AWS区域提供弹性爱好途径，尤其是当您与Hyperforce之间的流量是关键业务时。请参阅AWS文档，以了解如何实现您的AWSDirectConnect部署的和。

对于入站流量，我们建议您在多个可用区配置，以提高可用性。

对于出站流量，我们建议您在网络负载均衡器中配置两个或多个可用区以确保高可用性。

安全性

对于入站流量，来自入站连接的将显示在SalesforcePrivateConnect的入站配置中。我们建议在允许强制实施源IP的Salesforce配置中使用这些IP范围。请参阅Salesforce文档，了解如何使用这些IP范围控制对SalesforceAPI的访问。

您将通过加密的TLS连接访问Salesforce API。AWS DirectConnect还提供多种，包括支持和。IP虚拟专用网络（VPN）使用IPsecVPN隧道加密端到端流量，而MAC安全（MACsec）提供设备之间的点到点加密。

对于出站流量，我们建议您在网络负载均衡器上配置，以确保到网络负载均衡器的流量被加密。

成本优化

如果您的用例仅需访问Salesforce，您可以选择使用虚拟私有网关和私有VIF以优化部署成本。但是，如果您计划实现集线器- 辐射网络传输中心，并将多个VPC互连，则建议使用传输网关和传输VIF以获取更具扩展性的方法。请查阅和，了解各自方案的优缺点。

结论

Salesforce与AWS持续创新，以提供多种连接方式以满足客户需求。本文展示了如何结合使用AWS Direct Connect与，确保在无法使用互联网的行业中实现数据的端到端安全传输。

如有疑问，请联系您的Salesforce或AWS代表，或咨询以获取更多信息。

于2024年8月6日进行了更正：早期版本的此帖子包含了错误的图示。此图已经更新。

作者介绍

![Alan删除)

Alan Peaty

Alan是高级合作伙伴解决方案架构师，帮助全球系统集成商（GSI）、全球独立软件供应商（GISV）及其客户采用AWS服务。在加入AWS之前，Alan曾在IBM、Capita和CGI等系统集成商担任架构师。业余时间，Alan热衷于跑步，喜欢穿越英格兰乡村的泥泞小道，还是一位物联网爱好者。

![Christian删除)

Christian Ramirez

Christian是AWS合作伙伴解决方案架构师，负责公共部门内与Salesforce的合作。在工作之余，Christian喜欢远足和骑行，享受自然，并维持平衡的生活方式。

![Abhiram删除)

Abhiram Gajjala（嘉宾）

Abhiram是Salesforce的工程主管，在Hyperforce网络组中扮演关键角色。他带头开发创新的软件连接产品，包括SalesforcePrivate Connect。凭借在云网络和企业解决方案方面的专业知识，Abhiram推动提高Salesforce客户的安全连接和性能的倡议。

标签: 、、、、