Hyperforceの概要と移行について

この記事で学べることHyperforceの概要Hyperforceとは何か　Hyperforceの利点Hyperforceの構成Hyperforce移行時のアクション移行時に確認が必要な内容SandboxのHyperforce移行についてHyperforceの概要Hyperforceは新しい製品や機能の名前ではありません。Hyperforceは皆様ご存知のパブリッククラウドパートナーが提供しているインフラ上に開発・構築された、新しいプラットフォームアーキテクチャ、皆様のSalesforce組織が動く基盤です。​新しいHyperforceのアーキテクチャを使うことで、Salesforceは、新しい機能の開発や既存機能の拡張という形で製品のイノベーションと、それをお客様に提供することに注力することができるようになると考えています。それに伴い、私達が最も大切にしているカスタマーサクセス、お客様のビジネスの成功を加速させていけると考えています。​上記スライドが、現在皆様の組織が稼働しているファーストパーティのデータセンター(左)とHyperforce(右)の違いのイメージになります。現在は、皆様がご利用のSales CloudやService Cloud、Experience CloudといったCRM製品は、日本のデータセンターで稼働していますが、一部の製品は海外のデータセンターで稼働しており、APIを使用して統合されている場合があります。またファーストパーティと Hyperforce の比較時に注目すべき重要な点は、データセンタープロバイダの進化です。物理インフラストラクチャを独自に実行する必要がなくなり、代わりにパブリッククラウドプロバイダのハードウェア上でサービスを実行します。これにより、独自に制御するレイヤ (プラットフォーム、クラウド、機能) に焦点を絞り、それらの準拠と安全性を確保し、お客様のニーズを満たすことが可能となります。​ご参考ナレッジ記事) Salesforce インスタンスの場所自分の Salesforce 組織が使用しているインスタンスを表示するHyperforceの利点は、世界で最も信頼されているパブリッククラウドを使用して、あらゆる場所からビジネスを実行できることです。具体的な利点5点は以下の通りです。データレジデンシーHyperforceでは、ローカルのデータ保存および処理オプションが提供されるため、お客様はローカル規制に準拠することができます。拡張性AWSなどのサービスを利用することで、お客様のビジネスニーズに合わせて、必要な時に拡張性がある状態で最新のハードウェアを利用いただけます。セキュリティHyperforceには、現在のプラットフォームで得たセキュリティに関するベストプラクティスが組み込まれています。また、最小権限による管理、ゼロトラスト原則、Infrastructure-as-Codeなどの業界有数の機能を搭載しており、データは転送時も保管時も暗号化されます。また、Hyperforceには、現在海外のデータセンターで稼働している製品も統合される予定です。これにより全製品に共通して高いセキュリテイを担保できるので、お客様の大切なデータを安全に保護することが可能となります。プライバシーHyperforceは、お客様のデータの透明性と管理を可能にする包括的なプライバシー標準を提供します。最新のプライバシープログラムの認定状況は、「クラウドを対象とするコンプライアンス」のサイトよりご確認いただけます。俊敏性現在、Hyperforceで、ゼロダウンタイムの更新に取り組んでいます。これにより、チームの生産性が向上するだけでなく、競争上の優位性も生まれます。また、AWSとの優れた相互運用性も実現しています。Hyperforceの各種データシートは、「Hyperforce: Public Cloud Infrastructure」（英語）のサイトよりダウンロードいただけます。​ご参考ナレッジ記事) Hyperforceのご紹介Hyperforce について - 一般情報と FAQ​​Hyperforceのアーキテクチャを説明するに当たり、まずは、現在のファーストパーティとの違いをご説明します。まず、左側が現在のインスタンスを表し、東京と大阪に、それぞれデータセンターがあります。データセンター内には、インスタンス（例：AP49）があり、お客様の組織はそのいずれかに割り当てられます。このインスタンスは、東京と大阪、両方のデータセンターに存在しており、一方が稼働系（Active）、もう一方が待機系（Ready）の状態になっています。データは、稼働系のデータセンターから待機系のデータセンターへレプリケーション（コピー）されています。​右側がHyperforceを表し、リージョンとAvailability Zone(AZ)という概念があります。リージョンは地域を表し、リージョンの中に、物理的に分離された複数のというものが存在します。そして、Hyperforceはこれら各AZ上に構築されます。また、Hyperforceでは、インスタンス名はJPN132といった名称に変わります。インスタンスはリージョン内の複数AZによってホストされます。AZの中には、それぞれにアプリケーションサーバとデータベースがあります。そして、AZ:Bはアプリケーションサーバが稼働しており、同時にデータベースも稼働しています。（AZ:Bはアプリケーションサーバとデータベース両方が稼働系という状態です）一方、AZ:AとAZ:Cはアプリケーションサーバは稼働していますが、データベースは待機系になります。待機系のデータベースに対しては更新はできませんが、参照はできる仕組みとなり、変更はログレベルで他の AZ の 2 つのデータベースに非同期に複製されます。​上記は3 つの AZ すべてが低遅延ネットワーキングで接続されていることにより、すべてのアプリケーションサーバが最小限の遅延ですべてのデータベースと通信でき、すべてのデータベースがあらゆる変更の最新状態を保持できるため実現可能な構成であり、冗長性と障害回復作業が可能とするために重要な要素になります。例として、AZ:Aが災害で停止した場合、AZ:BとAZ:Cは稼働を継続可能であり、引き続きサービス提供が可能です。AZ:Bが災害等で停止した場合、データベースのノードはAもしくはCが稼働系に切り替わり、引き続きアプリケーションサーバはAZ:AとAZ:Cが動いているので、サービス提供をし続けることが可能です。下記スライドもご確認ください。​ご参考ナレッジ記事) Hyperforce について - 一般情報と FAQTrust and Compliance Documentation (信頼コンプライアンスに関するドキュメント)Hyperforce Technical Considerations こちらの「Reliability, Backup, Business Continuity, and Disaster Recovery」で詳細をご確認いただけますHyperforce移行に向けた準備Hyperforceへの移行に際して お客様にご確認頂きたい内容と推奨事項がございます。必要なアクションは、お客様の設定内容やご利用方法によって異なります。​Hyperforce への移行は組織移行というメンテナンスと同じ手法であり、これまで10年以上の実績のある手法です。また、厳格な対象資格条件があり、条件を満たしていることを社内で確認しています。既知のリスクがある場合、軽度なものであっても合致する可能性がある場合は、その組織の移行時期を延期いたします。このような資格条件とテストのプロセスにより、既に何千もの組織移行を成功させています。さらに、移行中、技術チームは普段と同じようにHyperforce移行前後で、異常がないかを監視し、万が一異常が検出された場合に備えて堅牢なサポートプロセスを構築し迅速に対応できるように技術チームが待機しています。移行に向けたSalesforce側の準備は万全ですので、安心してHyperforceへ移行いただけます。​上記スライドは、お客様の組織がHyperforce移行の対象になった後のプロセスを示しています。前述のように、お客様はご契約のサポートレベルに応じて移行日の約90日前もしくは約30日前に通知メール（サンプル）が送信されます。通知を受信後に準備を始めていただくことも可能ですが、この記事をご覧のお客様におかれましては、すぐに準備を始めていただけますと幸いです。​また、普段メンテナンス情報をTrustサイトにてご確認いただいているお客様もいらっしゃると思いますが、移行対象の組織が、インスタンスのごく一部のお客様のみの場合は、Trustサイトにメンテナンス通知が表示されない場合がございます。反対に、Trustサイトで組織移行のメンテナンスが表示されている場合も、システム管理者様がメールが受信されていない場合は、お客様の組織は移行対象ではないということになります。​なお、たまに「Salesforce製品およびサービスに関するお知らせ」のメールを受け取ったことがないというお客様がいらっしゃいます。ゴミ箱等に振り分けられていないか、合わせてご確認をお願いいたします。​ご参考ナレッジ記事) 組織の移行への準備方法Trust 通知TrustユーザガイドHyperforceへの移行に向けた準備については、以下の参考ページをご参照ください。ハードコード化された参照の更新Hyperforce の IP 許可リスト登録の望ましい代替案Hyperforce 上の Salesforce サービスへの中断しないアクセスを維持する​また、これからHyperforceへ移行する組織では、Hyperforce アシスタントをご利用可能です。メールが手元に届いたら、[設定] ＞ [Hyperforce アシスタント] にアクセスをしていただき、Hyperforce へ移行する準備を始めましょう！​ご参考ナレッジ記事) Hyperforce アシスタントを使用した Hyperforce への移行 (正式リリース)​それでは、Hyperforce移行に向けて必要なアクションとベストプラクティスを見ていきましょう。上記スライドの内容に該当している場合、Hyperforce移行後に、不都合が生じる場合がございます。移行対象のお客様については、上記に合致しているかどうかを後続のスライドを参考の上、必ず確認をお願い致します。※2~4についてはイメージ図がございます。後続の[Hyperforce移行時に注意を必要とするポイント]をご参照ください​ご参考ナレッジ記事) Salesforce Express ConnectHow to Access Salesforce Hyperforce Securely and Reliably with AWS Direct ConnectHyperforceでは、WebブラウザやAPIクライアントは、SNI（サーバ名表示）で指定したホスト固有のHTTPS証明書を使って通信を行うことができるようになっています。SNIでホストを指定しない場合には、あらかじめ用意されているデフォルトの証明書を利用し、証明書の形式は、以下となります。<MyDomain>.my.salesforce.com<MyDomain>--<SandboxName>.sandbox.my.salesforce.com最近のWebブラウザでは特に意識する必要はございませんが、APIクライアントでデフォルト以外のHTTPS証明書を使う場合には、TLSハンドシェーク時のClientHelloメッセージにSNIを含める必要があります。​ご参考ナレッジ記事) SNI(サーバ名表示)​​こちらはExperience CloudサイトやSalesforceサイトをご利用、かつ（www.example.comといった）カスタムドメインをSalesforce CDNではない独自CDNで提供していて、そのCDNがSNI を送信しない設定になっているか、Originの *.force.com ドメイン（※）ではなくカスタムドメインを送信している場合に必要な対応です。​該当の設定になっている場合、CDN 側の設定に置いて、SNI による証明書の認証を行わないという設定をして頂く必要がございます。また、ご利用のCDNが利用する証明書の SANs リスト内に*.my.salesforce.com が含まれている事を確認いただく必要があります。​CDN側の設定変更ができない場合は、Salesforceの設定オプションを「Salesforce は Salesforce コンテンツ配信ネットワーク(CDN) パートナーを使用してHTTPS を介してドメインを提供します」に変更します。​（※）「サードパーティサービスまたは CDN を使用するカスタムドメインの前提条件」に送信すべきドメイン名が纏まっていますのでご確認ください。​ご参考ナレッジ記事) SNI(サーバ名表示)上記スライドはIPアドレスを使用したフィルタリング（IPアドレス許可リスト）をされているお客様にご確認をいただきたい事項になります。（Salesforce側の設定ではなく、お客様の会社のファイアウォールや企業ネットワーク、メールフィルターの設定をご確認いただく必要があります）​Hyperfroceでは、基本的にIPアドレスは公開されないため、現在IPアドレスを用いたフィルタリングをされている場合は、ナレッジ記事「Salesforce Core サービス - 許可すべき IP アドレスとドメイン」に記載のすべてのIPアドレス範囲に加えて、必須ドメインに含まれるすべてのドメインを許可頂く必要がございます。なお、Hyperforce で IPアドレスを用いたフィルタリングを必須とするビジネス要件もしくはコンプライアンス要件がある場合には、ナレッジ記事「Hyperforce 上の Salesforce サービスへの中断しないアクセスを維持する」をご参照ください。メールに関しても、Salesforceでは、メールセキュリティにIPアドレスを使用することを推奨していないため、ナレッジ記事「Salesforce アプリケーションからのメールを受信できるようにする」を参照いただきIPアドレスの代わりにTLS、SPF、DKIM、DMARC等の標準メールセキュリティプロトコルを使用を推奨いたします。※メールリレーのIPアドレスは、Hyperforceでも引き続き公開されますが、IPアドレスを使用したフィルタリングは非推奨です。​ご参考ナレッジ記事) メールセキュリティメカニズム​​IP アドレスフィルタリングだけに頼ることは、リクエストのソースに基づいて検証するに留まり、実際のリクエストが本物かどうかは検証はできないため、安全性の高いアプローチとは言えません。Salesforce→外部システム方向の連携処理（Apexコールアウトやアウトバウンドメッセージなど）をご利用の際は、IPアドレスフィルタリングではなく、適切な Web サービス認証と承認を行うことを推奨します。外部システム→Salesforce方向の連携処理がある場合は、URL/ドメインを使用したフィルタリングを推奨します。詳細は、ナレッジ記事「Hyperforce の IP 許可リスト登録の望ましい代替案」をご確認ください。​ご参考ナレッジ記事) Salesforce Core サービス - 許可すべき IP アドレスとドメインHyperforce 上の Salesforce サービスへの中断しないアクセスを維持する証明書と鍵Salesforce がサポートする SSL 証明書上記スライドはメール送信に関するIPアドレスのフィルタリングについてです。こちらも、前述の内容と同様にSalesforceでは、メールセキュリティにIPアドレスを使用することを推奨していません。メールのフィルタリングをする際は、一般的に使用されているメールセキュリティメカニズム(TSL、SPF、DKIM、DMARC)といった方法を推奨しています。可能であれば、切り替えのご検討をお願いします。なお、メールリレーについてはHyperforceでも引き続き公開されます。しかし、IPアドレスを使用したフィルタリングは非推奨です。​ご参考ナレッジ記事) Salesforce アプリケーションからのメールを受信できるようにする​ご参考ナレッジ記事)  Marketing Cloud Connect でテナント固有の OAuth エンドポイントを有効にするエンドポイントをテナント固有のものに更新​また、「Hyperforce 上の Salesforce サービスへの中断しないアクセスを維持する」には、Hyperforceで発生中の「一時的な記事の問題」や「他の問題」が纏まっていますので、ご確認ください。​Hyperforceに限った内容ではございませんが、Hyperforceへ移行後に大きなコンテンツファイルのプレビューを表示できない場合がございます。このような事象が発生した場合、コンテンツファイルのプレビューを再作成する手順をナレッジ記事「コンテンツファイルのプレビューの問題」で公開しておりますのでこちらをお試しください。​Hyperforce移行時に注意を必要とするポイント[お客様の状況]に当てはまる場合は、[対応方法]と[参考資料]をご確認の上、早めの対応をお願いします。​​※上記図中のリソースは、以下よりダウンロードできますNo.① ⑦⑧⑨⑩11参考資料：Hyperforce 上の Salesforce サービスへの中断しないアクセスを維持するNo.②対応方法：証明書と鍵、Salesforce がサポートする SSL 証明書No.③ 参考資料Salesforce アプリケーションからのメールを受信できるようにするNo.④ ⑥参考資料：Hyperforce における SNI による HTTPS/SSL 接続エラーの解決No.⑤ 参考資料：サードパーティサービスまたは CDN を使用するカスタムドメインの前提条件No.⑦ 対応方法：RFC-3986No.⑨ 対応方法：Marketing Cloud Connect でテナント固有の OAuth エンドポイントを有効にするNo.⑩ 参考資料：Marketing Cloud エンドポイントからテナント固有エンドポイントへの更新: FAQNo.11 対応方法：Root 証明書（Common CA Database）No.11 参考資料：Configure Authentication Server Certificate PinNo.12 参考資料：.NET ドキュメント​メンテナンス開始時間になったら、移行の準備が開始されます。実際の移行プロセスが始まる約 30 分前に、組織はリードオンリーモードになり、その後実際の移行が始まります。メンテナンス全体の作業時間は約 3 時間となっており、通常はこの時間内に移行が完了します。移行が完了・成功したことが確認されると、再度組織はリードオンリーモードになり、その後Hyperforce上でお客様組織が稼働します​リードオンリーモードの時間帯は参照のみとなります。外部データをSalesforceに取り込むといったような更新作業は実施いただけないため、社内のメンテナンスや作業日程を事前に確認いただくようお願いいたします。また、Hyperforce移行後に、古いインスタンスの Trust Notification の登録を解除し、新しいインスタンスの Trust Notification に再登録をおすすめいたします。​Hyperforceに関する技術的なご質問がございましたら、下記お問い合わせの手順を参考にテクニカルサポートへお問い合わせください。​学習ツールここまで様々なリソース（ヘルプやナレッジ等）を交えてご説明をしてまいりましたが、以下は、それ以外の参考資料です。Hyperforce 移行にあたり有益な情報となりますので、ぜひご参照ください。※ 英語原典と相違がある場合は、英語原典を最新情報としてご参照ください組織の移行への準備方法 Hyperforce Technical ConsiderationsHyperforce Data Residency[更新・追記履歴] 2024/9/3 サポートレベルに応じた事前通知メールの説明を追加。全体的な改修を実施。2023/11/21 [Hyperforce移行時に注意を必要とするポイント（4）]を追加2023/7/10 Hyperforceで使用できないサービスから、Salesforce Private Connect を削除2023/5/9 [SandboxのHyperforce移行について]セクションを追加2023/3/7 Hyperforceで使用できないサービスから、カスタムHTTPS証明書を使用するカスタムドメインを削除2023/3/7 Hyperforceの利点を最新化2022/9/27 Hyperforceで HTTP 1.0 のサポートが開始されたため、HTTP 1.0 に関する内容を削除2022/4/5   Hyperforce移行時に注意を必要とするポイントを追加2022/3/3   HyperforceでもメールリレーのIPアドレスは公開されますが、IPアドレスを使用したフィルタリングは非推奨です​