GA と Cloud Firewall を組み合わせてリージョン別のアクセス制御と高速化を実現する - Global Accelerator

グローバルアプリケーションは、世界中のユーザーからのリクエストを処理し、インバウンドおよびアウトバウンドトラフィックの集中管理を必要とします。Global Accelerator (GA) は、Alibaba Cloud の高品質な BGP 帯域幅とグローバル伝送ネットワークを活用して、信頼性が高く、パフォーマンス専有型のネットワーク高速化サービスを提供します。Cloud Firewall のCloud Firewall のインターネット境界ファイアウォールは、詳細なトラフィック制御および保護機能を提供します。アプリケーションのセキュリティ、パフォーマンス、および安定性を向上させるために、GA と Cloud Firewall を併用できます。

シナリオ

ある企業のアプリケーションは米国 (シリコンバレー) リージョンにデプロイされており、クライアントの大部分は中国に位置しています。この企業は以下の課題に直面しています。

クロスボーダーネットワークが不安定であり、ネットワーク遅延、ネットワークジッター、パケット損失などの問題が頻繁に発生します。
中国以外のリージョンからの悪意のある攻撃、クローラー、非ユーザーによるリクエストがアプリケーションのセキュリティを脅かし、サーバー負荷を増加させ、全体的なパフォーマンスに影響を与えています。

前述の問題を解決し、ユーザーエクスペリエンスを向上させるために、企業は GA を使用します。企業はまた、Cloud Firewall のインターネット境界ファイアウォールのアクセスの制御機能を使用して、中国以外のリージョンからのトラフィックをブロックします。

制限事項

Cloud Firewall のインターネット境界ファイアウォールは、次のタイプのアセットを保護します。Cloud Firewall のインターネット境界ファイアウォールは、次のタイプのアセットを保護します。GA インスタンスおよび [elastic IP Address (EIP) Type] の高速化 IP アドレス。高速化 IP アドレスは、次の要件を満たしている必要があります。

高速化 IP アドレスが属するGAインスタンスは、[標準 GA インスタンス]である必要があります。
高速化 IP アドレスは EIP タイプである必要があります。
高速化 IP アドレスが属する加速リージョンは、Alibaba Cloud のエッジノード (POP) であってはなりません。
加速リージョンが Alibaba Cloud のエッジノードかどうかを確認するには、ListAvailableBusiRegions 操作を呼び出してください。

前提条件

アプリケーションはオリジンサーバーにデプロイされています。
本例では、Alibaba Cloud Linux 3 オペレーティングシステムを使用し、ポート 80 を使用するバックエンド HTTP サービスを NGINX で構成しています。
ECS インスタンスへのテストアプリケーションのデプロイ用サンプルコマンド
```
yum install -y nginx
systemctl start nginx.service
cd /usr/share/nginx/html/
echo "Hello World !  This is This is the Silicon Valley data center test page." > index.html
```
Cloud Firewall が購入済みである必要があります。詳細については、「Cloud Firewall の購入」をご参照ください。

操作手順

ステップ 1：GA インスタンスの構成

本例では、従量課金の標準 GA インスタンスを使用します。

Global Accelerator コンソールの[標準インスタンス] > [インスタンス]ページで、[従量課金の標準インスタンスの作成]をクリックします。
基本インスタンス設定 ステップで、パラメーターを構成し、次へをクリックします。
加速エリアの構成 ステップで、加速エリアを追加し、リージョンに帯域幅を割り当ててから、次へをクリックします。
本例では、加速エリア パラメーターを 中国 (香港) に、ISP 回線タイプ を BGP(マルチ ISP) に設定します。その他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。詳細については、「加速エリアの追加と管理」をご参照ください。
重要
- 中国本土に加速エリアを設定する場合、ドメイン名に対してICP 登録を取得する必要があります。
- 必要な帯域幅を適切に計画してください。最大帯域幅が不足すると、速度制限やパケット損失が発生する可能性があります。
リスナーの構成 ステップで、転送プロトコルとポートを構成し、次へをクリックします。
本例では、プロトコル パラメーターを HTTP に、ポート パラメーターを 80 に設定します。その他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。詳細については、「インテリジェントルーティングリスナーの追加と管理」をご参照ください。
エンドポイントグループの構成 ステップで、エンドポイントを構成し、次へをクリックします。
本例では、リージョン を 米国 (シリコンバレー) に、バックエンドサービスタイプ を カスタム IP に、バックエンドサービス をオリジンサーバーのパブリック IP アドレスに設定します。クロスボーダーデータ転送に関するコンプライアンスコミットメント を読み、同意してください。その他のパラメーターはデフォルト値を使用するか、必要に応じて変更できます。詳細については、「インテリジェントルーティングリスナー向けエンドポイントグループの追加と管理」をご参照ください。
構成の確認 ステップで、構成内容を確認し、送信をクリックします。
（オプション） GA インスタンスを作成後、インスタンス ページでインスタンス ID をクリックして、インスタンスの構成を確認できます。インスタンス詳細ページでは、インスタンス情報、リスナー、アクセラレーションエリア などのタブをクリックして、詳細情報を確認できます。
たとえば、アクセラレーションエリア タブから、GA インスタンスの高速化 IP アドレスを表示できます。

ステップ 2：Cloud Firewall の構成

[Cloud Firewall] コンソールの [ファイアウォール設定] ページで、インターネットボーダー タブをクリックします。[IPv4] タブで、GA インスタンスの高速化 IP アドレスを見つけ、[操作] 列で Enable Protection をクリックします。
資産タイプを GA EIP に設定し、GA インスタンス ID を入力して資産をフィルターすることもできます。保護済み がファイアウォールステータス列に表示されている場合、保護が有効になっています。インターネット境界ファイアウォールの有効化方法の詳細については、「インターネット境界ファイアウォール」をご参照ください。
Cloud Firewall コンソールの [防御設定] > アクセス制御 > [インターネット境界] ページで、インバウンド タブをクリックし、Create Policy をクリックします。

インバウンドポリシーの作成 パネルで、カスタム作成 タブをクリックし、ポリシーを構成してから、OK をクリックします。その後、指示に従ってアドレス帳を作成します。

本例では、以下の表を参考に構成してください。必要に応じてポリシーを変更できます。詳細については、「インターネット境界ファイアウォールのアクセス制御ポリシーの作成」をご参照ください。

パラメーター	説明	例
ソースタイプ	ネットワークトラフィックの送信元です。ソースタイプを選択し、選択したソースタイプに基づいてネットワークトラフィックが開始されるソースアドレスを入力する必要があります。	場所
ソース		中国以外のすべての場所
送信先タイプ	ネットワークトラフィックの受信先です。送信先タイプを選択し、選択した送信先タイプに基づいてネットワークトラフィックが送信される送信先アドレスを入力する必要があります。	IP
目的		GA の高速化 IP アドレスを入力します。/32 サフィックスを使用してください。
プロトコルの種類	トランスポート層プロトコル。有効値：TCP、UDP、ICMP、および ANY。プロトコルの種類が不明な場合は、ANY を選択してください。	ANY
ポートタイプ	送信先のポートタイプおよびポート番号。	ポート
ポート	送信先のポートタイプおよびポート番号。	0/0（すべてのポートを示します）
アプリケーション	トラフィックのアプリケーションタイプ。	ANY
アクション	アクセス制御ポリシーで指定した条件をトラフィックが満たした場合のアクション。有効値：許可：トラフィックを許可します。拒否：トラフィックを拒否し、通知は送信されません。監視：トラフィックを記録して許可します。一定期間トラフィックを観察し、必要に応じてポリシーアクションを許可または拒否に変更できます。	拒否
優先度	アクセス制御ポリシーの優先度。デフォルト値：最低。有効値：	トップ
ポリシーの有効期間	アクセス制御ポリシーの有効期間。ポリシーは有効期間内でのみトラフィックとのマッチングに使用できます。	常時
有効化ステータス	ポリシーを有効にするかどうかを指定します。アクセス制御ポリシーの作成時に有効化ステータスをオフにした場合、アクセス制御ポリシーの一覧でポリシーを有効化できます。	有効

CFW 入向策略.png

ステップ 3：結果の検証

Cloud Firewall のアクセス制御ポリシーの検証

本例では、中国 (香港) およびドイツ (フランクフルト) リージョンのクライアントからリクエストを送信します。

中国 (香港) およびドイツ (フランクフルト) リージョンで、バックエンドサービスにアクセスできるかどうかを確認するために、ブラウザで GA の高速化 IP アドレスにアクセスします。
- 中国 (香港) リージョンのクライアントが GA インスタンスの高速化 IP アドレスにアクセスします。次の結果が返されます。
- ドイツ (フランクフルト) リージョンのクライアントが、GA インスタンスの高速化 IP アドレスにアクセスします。次の結果が返されます。
結果は、Cloud Firewall のアクセス制御ポリシーが効果を発揮し、中国以外のリージョンからのトラフィックがブロックされていることを示しています。
アクセス制御ポリシー一覧で、アクセスポリシーの ヒット数/最終ヒット時刻 列のヒット数を確認できます。ヒット数をクリックすると、トラフィックログ ページに移動し、トラフィックの詳細を確認できます。
たとえば、[送信先 IP アドレス] を GA の高速化 IP に設定し、[アプリケーション識別ステータス] を [ポリシーによってブロック済み] に設定して、ブロックされたトラフィックの詳細を表示できます。
ログ監査 ページでも、攻撃および操作ログを確認できます。詳細については、「ログ監査」をご参照ください。
侵入防止ページの保護ステータスタブで、保護データの統計および詳細を確認できます。
たとえば、保護の詳細を表示するために、宛先 IP アドレスを GA の高速化 IP アドレスに設定できます。
侵入防止機能の詳細については、「侵入防止」をご参照ください。

GA の高速化パフォーマンスの検証

この例では、中国 (香港) リージョンで即時検出ツールを使用します。GA の設定前後で、オリジンサーバーのパブリック IP アドレスと GA インスタンスの高速化 IP アドレスを検出して、高速化パフォーマンスを確認します。詳細については、「ネットワーク検出ツールを使用して高速化パフォーマンスをテストする」をご参照ください。

GA の高速化 IP アドレスの検出を開始して、GA の設定後にネットワーク遅延を確認します。
GA 構成前のネットワーク遅延を確認するために、オリジンサーバーのパブリック IP アドレスに対する検出を開始します。

テスト結果から、中国 (香港) リージョンから米国 (シリコンバレー) リージョンへのデータ転送のネットワーク遅延が低下していることがわかります。

説明

高速化パフォーマンスは実際のワークロードによって異なります。

参考文献

GA の課金方法の詳細については、「課金」をご参照ください。
Cloud Firewall の課金方法の詳細については、「課金概要」をご参照ください。
Cloud Firewall の保護機能の詳細については、「機能」をご参照ください。