Secure Access Service Edge:クロスドメインアクセラレーションのベストプラクティス

ステップ 1: ID ソースを作成する

1. ID アクセスページに移動し、Identity synchronization タブをクリックします。

2. Create IdP をクリックします。このトピックでは、Custom IdP を例として使用します。

   説明

   本番環境では、SASE を Active Directory (AD)、LDAP、DingTalk、WeCom などのエンタープライズ ID プロバイダー (IdP) と統合します。

   1. Basic Configurations セクションで、IdP Name と Description を入力します。IdP Status を Enabled に設定します。Next をクリックします。

   2. Logon Settings セクションで、PC Logon Method と Mobile Device Logon Method を設定します。この例では、デフォルト設定を使用します。必要に応じて、Two-factor Authentication を有効にできます。

   3. 設定を確認したら、[確認] をクリックして ID ソースを作成します。

ステップ 2: ユーザーとユーザーグループを作成する

1. ID アクセスページに移動し、Employee Center タブをクリックします。左側のドロップダウンリストから、前のステップで作成した ID ソースを選択します。Add User をクリックします。

   

2. [ユーザーの追加] パネルで、ユーザー名、パスワード、およびその他の情報を入力します。Department フィールドで、ユーザーをターゲット ID ソースに割り当てます。

   

3. User Group Management タブをクリックします。Create User Group をクリックし、dev-group などの名前を入力し、必要に応じて Group Scope を選択します。

   

4. 情報を確認したら、OK をクリックします。

ステップ 1: SASE コネクタを追加する

1. Secure Access Service Edge コンソールにログインします。左側のナビゲーションウィンドウで、Private Access > Network Settings を選択します。

2. [Alibaba Cloud 以外のサービス] タブで、コネクタを追加します。

   1. [コネクタリスト] タブで、[コネクタの追加] をクリックします。

   2. [コネクタの追加] ダイアログボックスで、必要に応じてパラメーターを指定します。次に、[OK] をクリックします。

      

      パラメーター	説明
      リージョン	コネクタのリージョン。アクセス品質を確保するために、サーバーに最も近いリージョンを選択してください。
      インスタンス名	コネクタの名前。
      インスタンススイッチ	SASE エンドユーザーは、インスタンススイッチが [オン] に設定されている場合にのみ、コネクタに関連付けられたアプリケーションにアクセスできます。 コネクタリストまたはコネクタの [詳細] パネルでインスタンススイッチをオンにすることもできます。 重要 インスタンススイッチをオフにすると、エンドユーザーは SASE アプリを使用して内部アプリケーションにアクセスできなくなります。注意して操作してください。

      コネクタが追加されると、コネクタリストでその詳細を表示できます。

3. Global Accelerator を有効にします。

   1. 作成したコネクタインスタンスを見つけ、Actions 列の Details をクリックします。

   2. コネクタのインスタンス詳細ページで、Global Acceleration セクションを見つけて有効にします。

      

   3. Enable GA ダイアログボックスで、次の情報を入力します。

      重要

      初めて Global Accelerator を有効にすると、サービスリンクロール AliyunServiceRoleForGaCdt および AliyunServiceRoleForGaVpcEndpoint の自動作成を承認するように求められます。GA はこれらのロールを使用して SASE 内のリソースにアクセスします。

      パラメーター	説明
      GA Instance Name	必須。Global Accelerator インスタンスの名前。 重要 Global Accelerator の料金には、インスタンス料金、パフォーマンス容量単位 (CU) 料金、およびデータ転送料金が含まれます。
      Resource Group	リソースグループを選択します。
      Terms of service	[送信] をクリックすると、関連するサービス契約に同意したことになります。

      情報を確認したら、Next をクリックします。

   4. Acceleration Region と Allocate Bandwidth を設定します。

      パラメーター	説明
      Acceleration Region	アクセラレーションリージョンを設定します。ユーザーに近いリージョンを選択してください。 説明 ドバイリージョンはアクセラレーションリージョンとしてサポートされていません。
      Allocate Bandwidth	帯域幅は 2 から 10,000 の範囲で指定できます。次の帯域幅割り当て方法がサポートされています。 Allocate Bandwidth by Region: 各アクセラレーションリージョンにピーク帯域幅を指定します。 Batch Set: すべてのリージョンに均一なピーク帯域幅を指定します。

      設定が完了したら、OK をクリックします。アクセラレーションインスタンスの作成には時間がかかります。

   5. アクセラレーションインスタンスが作成されると、詳細ページでその情報を表示できます。

      

ステップ 2: クロスドメインのインターネット出口ポイントにコネクタをデプロイする

1. 追加したコネクタの [操作] 列にある [デプロイ] をクリックします。[デプロイ] パネルで、コネクタをデプロイするためのコマンドを取得します。

2. コネクタをデプロイするサーバーまたは仮想マシンに [root] ユーザーとしてログインし、デプロイメントコマンドを実行します。[デプロイ] パネルでは、コネクタのアップグレード、アンインストール、ログのエクスポートを行うコマンドも確認できます。

   

3. デプロイが完了すると、インスタンス詳細ページでインスタンス ID などの情報を表示できます。インスタンスのステータスは Connected です。

   

ステップ 3: エンタープライズアクセラレーションポリシーを設定する

1. リソースアクセスマネジメントページで、Enterprise Acceleration タブをクリックし、次に Create Policy をクリックします。

2. Create Policy パネルで、必要に応じてパラメーターを指定します。次に、[OK] をクリックします。

   パラメーター	説明
   Policy Name	エンタープライズアクセラレーションポリシーの名前。
   説明	ポリシーの説明。
   優先度	ポリシーの優先度。有効な値: 1～100。値が小さいほど優先度が高くなります。
   Acceleration Instance	次のインスタンスタイプがサポートされています。 CEN: Instance IP Address と Instance Port を入力します。 Connector: コネクタインスタンスを選択します。 説明 SASE コネクタを追加するステップで作成したコネクタインスタンスを選択します。
   Acceleration Mode	次のモードがサポートされています。 Global Acceleration: すべてのインターネットトラフィックがアクセラレーション接続に転送されます。従業員がアプリで「アクセラレーションの停止」ボタンをクリックすると、アクセラレーションは停止します。 Custom Acceleration: ポリシーを追加した後、カスタムアクセラレーションアドレスを設定します。指定されたアドレス範囲へのトラフィックのみがアクセラレーション接続を介して転送されます。
   Accelerated User Group	アクセラレーションを適用するユーザーグループを選択します。複数のユーザーグループを選択できます。
   Display on Client	このオプションを選択すると、従業員はクライアントで異なるアクセラレーションポリシーを選択できます。

3. Acceleration Mode を Custom Acceleration に設定した場合は、アクセラレーションアドレスを設定する必要があります。そのためには、次の手順を実行します。

   1. ポリシーリストで、作成したポリシーを見つけ、Actions 列の Accelerated URL をクリックします。

   2. Accelerated URL パネルで、Add Accelerated URL をクリックします。次の表の説明に従って、アクセラレーションアドレスを設定します。

      パラメーター	説明
      アクセラレーションアドレス	アクセラレーションアドレスを手動で入力します。最大 500 個のアドレスを追加できます。
      一括アップロード	テンプレートファイルを使用して、アクセラレーションアドレスを一括でアップロードできます。ファイルは .xlsx 形式で、サイズは 100 MB を超えることはできません。

   3. 情報を確認したら、OK をクリックします。

ステップ 4 (オプション): GA コンソールでマネージドオブジェクトを設定する

ネットワーク伝送品質に対する要件が高い場合は、次の手順に従って [伝送ネットワークタイプ] を変更できます。

1. Global Accelerator コンソールの インスタンスページに移動して、マネージドオブジェクトとそのステータスを表示します。

   

2. アカウントが [クロスボーダー Express Connect] をサポートしている場合、自動的に作成されるマネージド GA インスタンスはデフォルトでクロスボーダー Express Connect モードになります。それ以外の場合は、[BGP (マルチ ISP) Pro] がデフォルトになります。