Hyperforceの概要と移行について

この記事で学べること

Hyperforceの概要

Hyperforceは新しい製品や機能の名前ではありません。

Hyperforceは皆様ご存知のパブリッククラウドパートナーが提供しているインフラ上に開発・構築された、新しいプラットフォームアーキテクチャ、皆様のSalesforce組織が動く基盤です。

​

新しいHyperforceのアーキテクチャを使うことで、Salesforceは、新しい機能の開発や既存機能の拡張という形で製品のイノベーションと、それをお客様に提供することに注力することができるようになると考えています。

それに伴い、私達が最も大切にしているカスタマーサクセス、お客様のビジネスの成功を加速させていけると考えています。

​

上記スライドが、現在皆様の組織が稼働しているファーストパーティのデータセンター(左)とHyperforce(右)の違いのイメージになります。

現在は、皆様がご利用のSales CloudやService Cloud、Experience CloudといったCRM製品は、日本のデータセンターで稼働していますが、Marketing CloudやCommerce Cloudといった一部の製品は海外のデータセンターで稼働しており、APIを使用して統合されています。

またファーストパーティと Hyperforce の比較時に注目すべき重要な点は、データセンタープロバイダの進化です。

物理インフラストラクチャを独自に実行する必要がなくなり、代わりにパブリッククラウドプロバイダのハードウェア上でサービスを実行します。

これにより、独自に制御するレイヤ (プラットフォーム、クラウド、機能) に焦点を絞り、それらの準拠と安全性を確保し、お客様のニーズを満たすことが可能となります。

​

ご参考ナレッジ記事) Salesforce インスタンスの場所

Hyperforceの利点は、世界で最も信頼されているパブリッククラウドを使用して、あらゆる場所からビジネスを実行できることです。具体的な利点5点は以下の通りです。

​

ご参考ナレッジ記事) Hyperforce について - 一般情報と FAQ

​

Hyperforceへ移行が決まったお客様については、約3ヶ月前に製品コミュニケーションメールにてシステム管理者様宛に通知致します。通知の中にコンプライアンス認定の状況の記載がありますので、必ずご確認いただけますように、お願いします。

​

ご参考ページ) クラウドを対象とするコンプライアンス 

​

上記がシステム管理者様へ届くメールのサンプルになります。

​

ご参考ナレッジ記事) Salesforce からの組織移行に関する「製品およびサービスに関するお知らせ」

​

Hyperforceのアーキテクチャを説明するに当たり、まずは、現在のファーストパーティとの違いをご説明します。

まず、左側が現在のインスタンスを表し、東京と神戸に、それぞれデータセンターがあります。

データセンター内には、インスタンス（例：AP0）があり、お客様の組織はそのいずれかに割り当てられます。

このインスタンスは、東京と神戸、両方のデータセンターに存在しており、一方が稼働系（Active）、もう一方が待機系（Ready）の状態になっています。

データは、稼働系のデータセンターから待機系のデータセンターへレプリケーション（コピー）されています。

​

右側がHyperforceを表し、リージョンとAvailability Zone(AZ)という概念があります。リージョンは地域を表し、リージョンの中に、物理的に分離された複数のというものが存在します。そして、Hyperforceはこれら各AZ上に構築されます。

また、Hyperforceでは、インスタンス名はJPN1といった名称に変わります。インスタンスはリージョン内の複数AZによってホストされます。

AZの中には、それぞれにアプリケーションサーバとデータベースがあります。

そして、AZ:Bはアプリケーションサーバが稼働しており、同時にデータベースも稼働しています。（AZ:Bはアプリケーションサーバとデータベース両方が稼働系という状態です）

一方、AZ:AとAZ:Cはアプリケーションサーバは稼働していますが、データベースは待機系になります。

待機系のデータベースに対しては更新はできませんが、参照はできる仕組みとなり、変更はログレベルで他の AZ の 2 つのデータベースに非同期に複製されます。

​

上記は3 つの AZ すべてが低遅延ネットワーキングで接続されていることにより、すべてのアプリケーションサーバが最小限の遅延ですべてのデータベースと通信でき、すべてのデータベースがあらゆる変更の最新状態を保持できるため実現可能な構成であり、冗長性と障害回復作業が可能とするために重要な要素になります。

例として、AZ:Aが災害で停止した場合、AZ:BとAZ:Cは稼働を継続可能であり、引き続きサービス提供が可能です。

AZ:Bが災害等で停止した場合、データベースのノードはAもしくはCが稼働系に切り替わり、引き続きアプリケーションサーバはAZ:AとAZ:Cが動いているので、サービス提供をし続けることが可能です。

下記スライドもご確認ください。

​

ご参考ページ)

Hyperforce について - 一般情報と FAQ

Trust and Compliance Documentation (信頼コンプライアンスに関するドキュメント)

こちらの「Reliability, Backup, Business Continuity, and Disaster Recovery」で詳細をご確認いただけます

​

​

Hyperforce移行に向けた準備

Hyperforceへの移行に際して お客様にご確認頂きたい内容と推奨事項がございます。

必要なアクションは、お客様の設定内容やご利用方法によって異なります。

​

Hyperforce への移行は組織移行というメンテナンスと同じ手法であり、これまで10年以上の実績のある手法です。

また、厳格な対象資格条件があり、条件を満たしていることを社内で確認しています。

既知のリスクがある場合、軽度なものであっても合致する可能性がある場合は、その組織の移行時期を延期いたします。

このような資格条件とテストのプロセスにより、既に何千もの組織移行を成功させています。

さらに、移行中、技術チームは普段と同じようにHyperforce移行前後で、異常がないかを監視し、万が一異常が検出された場合に備えて堅牢なサポートプロセスを構築し迅速に対応できるように技術チームが待機しています。

移行に向けたSalesforce側の準備は万全ですので、安心してHyperforceへ移行いただけます。

上記スライドは、お客様の組織がHyperforce移行の対象になった後のプロセスを示しています。

前述のように、お客様は移行日の約3ヶ月前に最初の通知メールを受け取っていただけます。

通知を受信後に準備を始めていただくことも可能ですが、この記事をご覧のお客様におかれましては、すぐに準備を始めていただけますと幸いです。

​

また、普段メンテナンス情報をTrustサイトにてご確認いただいているお客様もいらっしゃると思いますが、移行対象の組織が、インスタンスのごく一部のお客様のみの場合は、Trustサイトにメンテナンス通知が表示されない場合がございます。反対に、Trustサイトで組織移行のメンテナンスが表示されている場合も、システム管理者様がメールが受信されていない場合は、

お客様の組織は移行対象ではないということになります。

​

なお、たまに「Salesforce製品およびサービスに関するお知らせ」のメールを受け取ったことがないというお客様がいらっしゃいます。ゴミ箱等に振り分けられていないか、合わせてご確認をお願いいたします。

​

ご参考ナレッジ記事) Trust 通知

​

​

Hyperforceへの移行は、通常の「組織移行」というメンテナンスと同じであるため、組織移行時と同じ準備が必要となります。

詳細は以下の参考ページをご参照ください。

​

上記スライドの1〜5に該当している場合、Hyperforce移行後に、不都合が生じる場合がございます。

移行対象のお客様については、これら1〜5に合致しているかどうかを後続のスライドを参考の上、必ず確認をお願い致します。

※2~4についてはイメージ図がございます。後続の[Hyperforce移行時に注意を必要とするポイント]をご参照ください

​

Hyperforce で使用できないサービスをご利用中で、Hyperforce移行に関する日程のメールを受け取られている場合、営業担当者もしくはサポートへお知らせください。

​

Hyperforceでは、WebブラウザやAPIクライアントは、SNI（サーバ名表示）で指定したホスト固有のHTTPS証明書を使って通信を行うことができるようになっています。SNIでホストを指定しない場合には、あらかじめ用意されているデフォルトの証明書を利用し、証明書の形式は、以下となります。

<MyDomain>.my.salesforce.com
<MyDomain>--<SandboxName>.sandbox.my.salesforce.com

最近のWebブラウザでは特に意識する必要はございませんが、APIクライアントでデフォルト以外のHTTPS証明書を使う場合には、TLSハンドシェーク時のClientHelloメッセージにSNIを含める必要があります。

そして、下の枠の中ですが、こちらはExperience CloudサイトやSalesforceサイトをご利用、かつ（www.example.comといった）カスタムドメインを利用し、独自のCDNをご利用されているお客様に関する内容です。

「ドメインの外部 HTTPS の有効化」より、設定に関する詳細を参照いただけますので、ご確認をお願いします。

該当の設定になっている場合、CDN 側の設定に置いて、SNI による証明書の認証を行わないという設定をして頂く必要がございます。また、ご利用のCDNが利用する証明書の SANs リスト内に*.my.salesforce.com が含まれている事を確認いただく必要があります。

​

CDN側の設定変更ができない場合は、Salesforceの設定オプションを「Salesforce は Salesforce コンテンツ配信ネットワーク(CDN) パートナーを使用してHTTPS を介してドメインを提供します」に変更します。

​

上記スライドはIPアドレスを使用したフィルタリング（IPアドレス許可リスト）をされているお客様にご確認をいただきたい事項になります。（Salesforce側の設定ではなく、お客様の会社のファイアウォールや企業ネットワーク、メールフィルターの設定をご確認いただく必要があります）

​

Hyperfroceでは、基本的にIPアドレスは公開されないため、現在IPアドレスを用いたフィルタリングをされている場合は、ナレッジ記事「許可すべきSalesforceのIPアドレスとドメイン」に記載のすべてのIPアドレス範囲に加えて、必須ドメインに含まれるすべてのドメインを許可頂く必要がございます。なお、Hyperforce で IPアドレスを用いたフィルタリングを必須とするビジネス要件もしくはコンプライアンス要件がある場合には、ナレッジ記事「Hyperforce 上の Salesforce サービスへの中断しないアクセスを維持する」をご参照ください。

メールに関しても、Salesforceでは、メールセキュリティにIPアドレスを使用することを推奨していないため、ナレッジ記事「Salesforce アプリケーションからのメールを受信できるようにする」を参照いただきIPアドレスの代わりにTLS、SPF、DKIM、DMARC等の標準メールセキュリティプロトコルを使用を推奨いたします。

※メールリレーのIPアドレスは、Hyperforceでも引き続き公開されますが、IPアドレスを使用したフィルタリングは非推奨です。

​

​

IP アドレスフィルタリングだけに頼ることは、リクエストのソースに基づいて検証するに留まり、実際のリクエストが本物かどうかは検証はできないため、安全性の高いアプローチとは言えません。

Salesforce→外部システム方向の連携処理（Apexコールアウトやアウトバウンドメッセージなど）をご利用の際は、IPアドレスフィルタリングではなく、適切な Web サービス認証と承認を行うことを推奨します。

外部システム→Salesforce方向の連携処理がある場合は、URL/ドメインを使用したフィルタリングを推奨します。

詳細は、ナレッジ記事「Hyperforce の IP 許可リスト登録の望ましい代替案」をご確認ください。

​

上記スライドはメール送信に関するIPアドレスのフィルタリングについてです。

こちらも、前述の内容と同様にSalesforceでは、メールセキュリティにIPアドレスを使用することを推奨していません。メールのフィルタリングをする際は、一般的に使用されているメールセキュリティメカニズム(TSL、SPF、DKIM、DMARC)といった方法を推奨しています。可能であれば、切り替えのご検討をお願いします。

なお、メールリレーについてはHyperforceでも引き続き公開されます。しかし、IPアドレスを使用したフィルタリングは非推奨です。

​

Marketing Cloud Connectをご利用のお客様はナレッジ記事 「Marketing Cloud Connect でテナント固有の OAuth エンドポイントを有効にする」を参照いただき、TSOEの有効化をお願い致します。

​

​

Hyperforceに限った内容ではございませんが、Hyperforceへ移行後に大きなコンテンツファイルのプレビューを表示できない場合がございます。このような事象が発生した場合、コンテンツファイルのプレビューを再作成する手順をナレッジ記事「コンテンツファイルのプレビューの問題」で公開しておりますのでこちらをお試しください。

​

Hyperforce移行時に注意を必要とするポイント

[お客様の状況]に当てはまる場合は、[対応方法]と[参考資料]をご確認の上、早めの対応をお願いします。

​

​

​

​

※上記図中のリソースは、以下よりダウンロードできます

No.① 参考資料：

Hyperforceウェブセミナー資料、Hyperforce 上の Salesforce サービスへの中断しないアクセスを維持する

No.②対応方法：証明書と鍵、Salesforce がサポートする SSL 証明書

No.③お客様の状況：Office 365 との Salesforce「メールリレー」

参考資料：Salesforce アプリケーションからのメールを受信できるようにする

No.④ 参考資料：Hyperforce における SNI による HTTPS/SSL 接続エラーの解決

No.⑨ 対応方法：Marketing Cloud Connect でテナント固有の OAuth エンドポイントを有効にする

No.⑩ 参考資料：Marketing Cloud エンドポイントからテナント固有エンドポイントへの更新: FAQ

No.11 対応方法：Root 証明書（Common CA Database）

参考資料：Configure Authentication Server Certificate Pin

No.13 参考資料：Streaming API Versions 23.0 through 36.0 Retirement

メンテナンス開始時間になったら、移行の準備が開始されます。

実際の移行プロセスが始まる約 30 分前に、組織はリードオンリーモードになり、その後実際の移行が始まります。

メンテナンス全体の作業時間は約 3 時間となっており、通常はこの時間内に移行が完了します。

移行が完了・成功したことが確認されると、再度組織はリードオンリーモードになり、その後Hyperforce上でお客様組織が稼働します

​

リードオンリーモードの時間帯は参照のみとなります。外部データをSalesforceに取り込むといったような更新作業は実施いただけないため、社内のメンテナンスや作業日程を事前に確認いただくようお願いいたします。

また、Hyperforce移行後に、古いインスタンスの Trust Notification の登録を解除し、新しいインスタンスの Trust Notification に再登録をおすすめいたします。

​

Hyperforceに関する技術的なご質問がございましたら、下記お問い合わせの手順を参考にテクニカルサポートへお問い合わせください。

​

SandboxのHyperforce移行について 

さて、ここまで、本番環境をHyperforcceへ移行するまでに必要な準備について説明をしてきました。

このセクションでは、本番環境がHyperforceへ移行した後、Sandboxにどのような対応が必要かを説明します。

​

Sandboxは、本番環境と一緒にHyperforceへ移行されません。

Sandboxは、本番環境をHyperforceへ移行した後に、以下いずれかの作業をすることで、HyperforceにSandboxが作成されます。

​

本番組織と同じように Hyperforce インフラストラクチャの利点を享受するために、できるだけ早く既存の Sandbox を更新して、Hyperforceに作成することをお勧めします。

​

なお、状況によっては、Salesforceがお客様のSandboxをHyperforceへ組織移行することもあります。

​

*通知時期は2023年5月時点の実績であり、今後変更になる場合があります。

​

学習ツール

参考資料（英語原典と相違がある場合は、英語原典を最新情報としてご参照ください）

​

[更新・追記履歴] 

​

参考：[セミナー動画] Hyperforceの概要と移行の準備  (51:39)