Alibaba Cloud Secure Access Service Edge (SASE) を Global Accelerator (GA) と統合し、コネクタを設定することで、分散した従業員に対して高速、安定、かつ安全なクロスリージョンアクセラレーションを提供します。
前提条件
以下を確認してください。
-
Alibaba Cloud SASE が有効化されていること。
-
SASE、GA、VPC、および ECS の権限を持つ Alibaba Cloud アカウントがあること。
-
従業員のデバイスに SASE クライアントがインストールされていること。
アクセラレーションのトラフィックフロー
コスト
GA を有効にすると、従量課金の Global Accelerator インスタンスが自動的に作成され、追加料金が発生します。
SASE のアイデンティティとユーザーの設定
ステップ 1:アイデンティティソースの作成
-
Identity Access ページに移動し、Identity synchronization タブに切り替えます。
-
Create IdP をクリックします。このドキュメントでは、例として Custom IdP を使用します。
説明本番環境では、SASE を Active Directory (AD) 、LDAP、DingTalk、WeCom などのエンタープライズアイデンティティプロバイダー (IdP) と統合します。
-
Basic Configurations セクションで、IdP Name と Description を入力します。IdP Status を Enabled に設定します。Next をクリックします。
-
Logon Settings セクションで、PC Logon Method と Mobile Device Logon Method を設定します。この例では、デフォルト設定を使用します。要件に応じて [Two-factor Authentication] を有効にできます。
-
設定を確認した後、確認する をクリックします。
-
ステップ 2:ユーザーとユーザーグループの作成
-
Identity Access ページに移動し、Employee Center タブに切り替えます。左側のドロップダウンリストから、作成したアイデンティティソースを選択し、Add User をクリックします。

-
[Add User] パネルで、ユーザー名、パスワード、およびその他の必要な情報を入力します。Department フィールドで、選択したアイデンティティソース内の部署にユーザーを割り当てます。

-
User Group Management タブに切り替えます。Create User Group をクリックし、
dev-groupなどの名前を設定し、必要に応じて Group Scope を選択します。
-
OK をクリックします。
ネットワーク接続性のためのコネクタの設定
SASE コネクタをクロスリージョン egress ポイントのサーバーにデプロイして、ネットワーク接続を確立します。次に、コネクタを有効にし、アクセラレーションのために GA インスタンスを設定します。
ステップ 1:SASE コネクタの追加
-
SASE コンソールにログインします。左側メニューで、 を選択します。
-
[Non-Alibaba Cloud services] タブで、コネクタを追加します。
-
Connectors タブで Add Connector をクリックします。
-
Add Connector ダイアログボックスで、必要に応じてパラメータを設定します。その後、OK をクリックします。

パラメータ
説明
[Region]
最適なアクセス品質を得るために、サーバーに最も近いリージョンを選択します。
[Instance Name]
コネクタ名を入力します。
[Instance Switch]
インスタンススイッチが Enable の場合にのみ、SASE のエンドユーザーはコネクタに関連付けられたアプリケーションにアクセスできます。
コネクタリストまたはコネクタの Details パネルからインスタンススイッチをオンにすることもできます。
重要コネクタインスタンスのスイッチをオフにすると、エンドユーザーは SASE クライアントを使用して内部アプリケーションにアクセスできなくなります。注意して操作してください。
コネクタがコネクタリストに表示されます。
-
-
GA を有効にします。
-
作成したコネクタインスタンスについて、Actions 列の Details をクリックします。
-
インスタンス詳細ページで、Global Acceleration セクションを見つけてオンにします。

-
Enable GA ダイアログボックスで、次の情報を入力します。
重要初めて GA を有効にすると、[AliyunServiceRoleForGaCdt] および [AliyunServiceRoleForGaVpcEndpoint] サービスにリンクされたロールの自動作成を承認するように求められます。GA はこれらのロールを使用して SASE 内のリソースにアクセスします。
パラメータ
説明
[GA Instance Name]
必須。Global Accelerator インスタンスの名前を入力します。
重要GA の料金には、インスタンス料金、キャパシティユニット (CU) 料金、およびデータ転送料金が含まれます。
[Resource Group]
リソースグループを選択します。
[Terms of service]
送信をクリックすると、関連する利用規約に同意したことになります。
Next をクリックします。
-
Acceleration Region と Allocate Bandwidth を設定します。
パラメータ
説明
[Acceleration Region]
ユーザーに最も近いリージョンを選択します。
説明ドバイリージョンはアクセラレーションリージョンとしてサポートされていません。
[Allocate Bandwidth]
範囲:2~10,000 Mbit/s。割り当て方法:
-
Allocate Bandwidth by Region:各アクセラレーションリージョンのピーク帯域幅を指定します。
-
Batch Set:すべてのアクセラレーションリージョンに均一なピーク帯域幅を指定します。
設定が完了したら、OK をクリックします。アクセラレーションインスタンスは数分で作成されます。
-
-
インスタンスが作成されると、その詳細が詳細ページに表示されます。

-
ステップ 2: コネクタのデプロイ
-
追加したコネクタの Operation 列で Deploy をクリックします。Deploy パネルで、デプロイコマンドをコピーします。
-
コネクタをデプロイするサーバーまたは仮想マシンに root ユーザーとしてログインし、デプロイコマンドを実行します。Deploy パネルでは、コネクタのアップグレード、コネクタのアンインストール、およびログのエクスポートを行うコマンドも確認できます。

-
デプロイ後、インスタンスのステータスが Connected に変わります。インスタンス ID などの他の情報も表示できます。

ステップ 3: エンタープライズアクセラレーションポリシーの設定
-
アクセス制御ページで Enterprise Acceleration タブに切り替え、Create Policy をクリックします。
-
Create Policy パネルで、必要に応じてパラメータを設定します。その後、OK をクリックします。
パラメータ
説明
[Policy Name]
エンタープライズアクセラレーションポリシーの名前。
[Description]
ポリシーの説明。
[Priority]
有効値:1~100。値が小さいほど、優先度が高くなります。
[Acceleration Instance]
サポートされているインスタンスタイプ:
-
CEN:Instance IP Address と Instance Port を入力する必要があります。
-
Connector:コネクタイスタンスを選択します。
説明「ステップ 1:SASE コネクタの追加」で作成したコネクタイスタンスを選択します。
[Acceleration Mode]
次のモードがサポートされています。
-
Global Acceleration:すべてのインターネットトラフィックをアクセラレーション接続経由でルーティングします。ユーザーがクライアントで「Stop acceleration」ボタンをクリックするとアクセラレーションは停止します。
-
Custom Acceleration:ポリシー作成後にカスタムアクセラレーションアドレスを設定する必要があります。指定されたアドレスへのトラフィックのみがアクセラレーション接続を使用します。
[Accelerated User Group]
アクセラレーションの対象となるユーザーグループを 1 つ以上選択します。
[Display on Client]
このオプションを選択すると、ユーザーは SASE クライアントでさまざまなアクセラレーションポリシーから選択できます。
-
-
Acceleration Mode で Custom Acceleration を選択した場合は、アクセラレーションアドレスを設定する必要があります。
-
作成したポリシーについて、Actions 列の Accelerated URL をクリックします。
-
Accelerated URL パネルで、Add Accelerated URL をクリックします。アクセラレーションアドレスを設定します。
パラメータ
説明
Acceleration address
アクセラレーションアドレスを手動で入力します。最大 500 個のアドレスを追加できます。
Local bulk upload
テンプレートファイルを使用して、アクセラレーションアドレスを一括でアップロードします。ファイルは .xlsx 形式で、サイズは 100 MB を超えることはできません。
-
OK をクリックします。
-
ステップ 4 (オプション): マネージドオブジェクトの設定
ネットワーク伝送品質を向上させるには、[Transmission network quality type] を変更します。
-
GA コンソールの Instances ページに移動して、マネージドオブジェクトとそのステータスを表示します。

-
現在のアカウントが [Cross-border Express Connect] をサポートしている場合、自動的に作成されるマネージド GA インスタンスはデフォルトで [Cross-border Express Connect] モードになります。そうでない場合、インスタンスはデフォルトで [BGP (Multi-ISP) Pro モード] になります。

エンタープライズアクセラレーションのホワイトリストの設定
特定のドメインまたはユーザーをエンタープライズアクセラレーション監査から除外するには、ホワイトリストに追加します。

-
ホワイトリストページに移動し、Enterprise Acceleration タブに切り替えます。
-
Domain Name Whitelist セクションで、ドメインをホワイトリストに追加します。複数のドメインを追加できます。
-
User Whitelist セクションで、ユーザーをホワイトリストに追加します。複数のユーザーを追加できます。
重要エンタープライズアクセラレーションホワイトリストに登録されているユーザーの場合、SASE クライアントの [Network] セクションに [Network acceleration] ページは表示されません。
-
Submit をクリックします。
ログ監査
アクセラレーションログページに移動します。クライアントがアプリケーションにアクセスした後、対応するアクセラレーションログを検索して表示できます。
