このガイドでは、Alibaba Cloud Secure Access Service Edge (SASE) コネクタを設定して社内イントラネットに接続し、Global Accelerator (GA) とシームレスに統合する方法について説明します。この設定により、世界中に分散している従業員は、社内の内部アプリケーションに高速、安定、かつ安全にアクセスできるようになります。
前提条件
開始する前に、次の要件を満たしていることを確認してください。
-
Alibaba Cloud Secure Access Service Edge (SASE) を有効化済みであること。
-
SASE、Global Accelerator (GA)、VPC、および ECS の管理に必要な権限を持つ Alibaba Cloud アカウントを所有していること。
-
加速リージョン内の従業員のデバイスに SASE クライアントがインストールされていること。
アクセラレーショントラフィックフロー
次の図は、中国 (上海) のユーザーが米国 (シリコンバレー) のサービスにアクセスする例を示しています。
課金
Global Accelerator (GA) を有効にすると、従量課金制の GA インスタンスが自動的に作成されます。この操作により、追加料金が発生することにご注意ください。
SASE の ID とユーザーの設定
ステップ 1:ID ソースの作成
-
ID アクセスページに移動し、Identity synchronization タブをクリックします。
-
Create IdP をクリックします。このガイドでは、Custom IdP を例として使用します。
説明本番環境では、SASE を AD、LDAP、DingTalk、WeCom などの企業の ID プロバイダー (IdP) と統合することを推奨します。
-
Basic Configurations ステップで、IdP Name と Description を入力し、IdP Status を Enabled に設定します。Next をクリックします。
-
Logon Settings ステップで、PC Logon Method と Mobile Device Logon Method を設定します。この例では、デフォルト設定を使用します。必要に応じて Two-factor Authentication を有効にできます。
-
設定を確認後、確認する をクリックして ID ソースを作成します。
-
ステップ 2:ユーザーとユーザーグループの作成
-
ID アクセスページに移動し、Employee Center タブをクリックします。左側のドロップダウンリストから前のステップで作成した ID ソースを選択し、Add User をクリックします。
-
[ユーザーの追加] パネルで、ユーザー名、パスワード、その他の情報を入力し、Department でユーザーをターゲットの ID ソースに割り当てます。
その他のフィールドには、[役職]、[メール] (必須)、[携帯電話]、[雇用ステータス] (デフォルトは [在職中])、[アカウント有効期限]、[備考] があります。アカウントは有効期限が切れるとシステムによって自動的にフリーズされます。完了したら、[OK] をクリックします。
-
User Group Management タブに切り替えます。Create User Group をクリックし、名前 (例:
dev-group) を設定し、必要に応じて Group Scope を設定します。[グループ範囲] エリアでは、[組織構造]、[アカウント名]、[メール]、[携帯電話番号] などの基準でユーザーをフィルターし、[設定関係] (等しいか等しくないか) を設定できます。完了したら、[OK] をクリックします。
-
情報を確認後、OK をクリックします。
コネクタ接続の設定
ネットワーク接続を確立するには、ビジネスリソースをホストするデータセンターまたはサーバーに SASE コネクタをデプロイし、インスタンスを有効にします。
ステップ 1:SASE コネクタの追加
-
Secure Access Service Edge コンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
-
[Alibaba Cloud 以外のビジネス] タブで、コネクタを追加します。
-
Connectors タブで、Add Connector をクリックします。
-
Add Connector ダイアログボックスで、パラメーターを設定します。その後、OK をクリックします。
パラメーター
説明
Region
コネクタがデプロイされるリージョンです。最適なアクセス品質を確保するために、ご利用のサーバーに最も近いリージョンを選択してください。
Instance Name
コネクタの名前です。
Instance Switch
インスタンススイッチが Enable 状態の場合にのみ、SASE のエンドユーザーはコネクタに関連付けられたアプリケーションにアクセスできます。
コネクタリストまたはコネクタの Details パネルからインスタンススイッチを有効にすることもできます。
重要コネクタのインスタンススイッチを無効にすると、エンドユーザーは SASE クライアント経由で内部アプリケーションにアクセスできなくなります。操作は慎重に行ってください。
コネクタを追加すると、コネクタリストで表示できます。
-
-
Global Accelerator を有効にします。
-
作成したコネクタインスタンスを見つけ、Actions 列の Details をクリックします。
-
コネクタのインスタンス情報ページで、Global Acceleration セクションを見つけて有効にします。
-
Enable GA ダイアログボックスで、次の情報を入力します。
重要初めて Global Accelerator を有効にする際、サービスリンクロール AliyunServiceRoleForGaCdt と AliyunServiceRoleForGaVpcEndpoint の自動作成を承認するよう求められます。これらのロールにより、Global Accelerator は SASE 内のリソースにアクセスできるようになります。
パラメーター
説明
GA Instance Name
必須。Global Accelerator インスタンスの名前を入力します。
重要Global Accelerator の料金には、インスタンス料金、キャパシティユニット (CU) 料金、データ転送料金が含まれます。
Resource Group
リソースグループを選択します。
Terms of service
[送信] をクリックすると、関連するサービス利用規約に同意したことになります。
情報を確認後、Next をクリックします。
-
Acceleration Region と Allocate Bandwidth を設定します。
パラメーター
説明
Acceleration Region
加速リージョンを設定します。ユーザーの地理的な場所に近いリージョンを選択してください。
説明ドバイリージョンは現在、加速リージョンとしてサポートされていません。
Allocate Bandwidth
帯域幅の値は 2~10,000 Mbps の範囲で設定できます。以下の帯域幅割り当て方法がサポートされています。
-
Allocate Bandwidth by Region:各加速リージョンのピーク帯域幅をカスタマイズします。
-
Batch Set:すべてのリージョンに均一のピーク帯域幅を設定します。
設定完了後、OK をクリックします。アクセラレーションインスタンスの作成には時間がかかる場合があります。
-
-
アクセラレーションインスタンスが正常に作成された後、その詳細ページで詳細情報を表示できます。
詳細ページには、[関連ポリシー] がまだ設定されていないこと、[インスタンススイッチ] が有効であること、[グローバルアクセラレーション] が有効であること、[アクセラレーションインスタンス] のステータスが [利用可能] であること、および [アクセラレーションインスタンス ID] が
ga-で始まることが表示されます。
-
ステップ 2:コネクタのデプロイ
-
追加したコネクタの [操作] 列で、Deploy をクリックします。Deploy パネルで、デプロイコマンドを取得します。
-
root ユーザーとして宛先サーバーまたは仮想マシンにログインし、デプロイコマンドを実行します。Deploy パネルには、コネクタのアップグレード、アンインストール、ログのエクスポート用のコマンドも表示されます。
[デプロイ] パネルには、次のサーバー仕様が推奨されています:CentOS 7.0+、Ubuntu 18.04+、または Debian 12+ (SELinux 無効)、4 コア CPU、8 GB メモリ。1 台のサーバーで最大 200 Mbps のアクセス帯域幅を提供します。コネクタインスタンスは、高可用性のために複数のサーバーにデプロイできます。パネルには、サービスを停止するコマンドも表示されます:
systemctl stop aliyun_sase_connector.service。 -
デプロイ後、インスタンスの詳細ページでインスタンスのステータスが Connected になり、インスタンス ID やその他の情報を表示できます。
ステップ 3 (任意): マネージドオブジェクトの設定
ネットワーク伝送品質に対する要件がより高い場合は、以下の手順に従って [伝送ネットワークタイプ] を変更します。
-
Global Accelerator コンソールの [インスタンス] ページに移動し、マネージドオブジェクトとそのステータスを表示します。
インスタンスのステータス列には [利用可能] と [マネージド] が表示されます。[マネージド] タグにカーソルを合わせると、管理されているクラウドサービスが CSAS であることを示すツールチップが表示されます。[操作] 列には [インスタンスの管理] と [管理解除] へのリンクがあります。
-
現在のアカウントが [クロスボーダー Express Connect] をサポートしている場合、自動的に作成されたマネージド GA インスタンスは、デフォルトで [クロスボーダー Express Connect] モードになります。そうでない場合、デフォルトで [BGP (マルチ ISP) Pro モード] になります。
GA インスタンスの [インスタンス情報] タブの [伝送ネットワーク品質タイプ] エリアには、[クロスボーダー Express Connect] が [有効化中] であり、インスタンス管理ステータスが [マネージド (CSAS)] であることが表示されます。
ステップ 4: アプリケーションとアドレスの追加
-
[アプリケーション管理] ページに移動し、Add Application をクリックします。
-
Basic Configurations ステップで、次のパラメーターを設定します。
-
Application Name:アプリケーションの名前を入力します。
-
Description:アプリケーションの説明を入力します。
-
Tag:アプリケーションのタグを選択します。
-
Status:アプリケーションステータスを Enable または Disable に設定します。
-
Access Mode:
-
Client-based Access:ユーザーがオフィスアプリケーションにアクセスするには、SASE クライアントアプリをインストールする必要があります。このモードは、レイヤー 4 およびレイヤー 7 アプリケーションへのアクセスをサポートし、オフィスおよび運用保守の要件を満たし、幅広いエンドポイントセキュリティの検出および制御ポリシーをサポートします。
-
Browser-based Access:ユーザーは SASE クライアントアプリをインストールせずに、企業の Web アプリケーションにアクセスできます。このモードは、エンドポイントセキュリティの検出および制御ポリシーをサポートしません。
-
-
-
設定を確認後、Next をクリックして Application Address 設定に進み、次の情報を入力します。
-
Application Address:アプリケーションサーバーのドメイン名または IP アドレスを入力します。
-
Port:アプリケーションの開始ポートと終了ポートを入力します。
-
Description:アドレスの説明を入力します。
-
Protocol:TCP または UDP を選択します。
-
Web Application Access Reinforcement (詳細設定):任意。必要に応じてアクセス強化を設定します。
-
-
アプリケーションアドレス情報を確認後、OK をクリックします。
-
設定後、アプリケーションは [オフィスアプリケーション] ページのリストに表示されます。[アプリケーションアドレス] 列には設定したアドレスが表示され、[アクセスモード] は [APP アクセス]、[ステータス] スイッチはオンになっています。
-
設定したアクセスモード (APP アクセスなど) を使用して、アクセラレーションアドレスに接続し、設定を検証します。
ステップ 5:コネクタ転送ルールの設定
-
Connectors タブで、Forwarding Policies をクリックします。
-
Forwarding Policies ページで、Create Policy をクリックします。
-
Create Policy パネルで、パラメーターを設定します。その後、OK をクリックします。
パラメーター
説明
Policy Name
コネクタ転送ルールの名前。
Description
ルールの説明。
Priority
ルールの優先度。値の範囲は 1~100 です。数値が小さいほど優先度が高くなります。
Policy Details
有効なユーザーと関連アプリケーションを追加します。
Associated Connector
ルールに関連付けるコネクタを選択します。
Policy Status
ルールは、ステータスが Enable に設定されている場合にのみ有効になります。
ステップ 6:ゼロトラストポリシーの設定
-
[ゼロトラストポリシー] ページで、Create Policy をクリックします。
-
Create Policy パネルで、パラメーターを設定します。その後、OK をクリックします。
パラメーター
説明
Policy Name
ゼロトラストポリシーの名前。
Description
ポリシーの説明。
Priority
ポリシーの優先度。値の範囲は 1~45 です。
Action
アクションを Allow (デフォルト) または Prohibit に設定します。
Policy Details
有効なユーザーと関連アプリケーションを追加します。
Trusted Process
デフォルトで無効になっています。
説明有効にすると、ゼロトラストゲートウェイはアクセスを開始したプロセスが信頼できるプロセスであるかを確認します。信頼できないプロセスからのアクセスはブロックされます。
Security Baselines
任意。適用するセキュリティベースラインを選択します。
Trigger Templates
任意。適用するトリガーテンプレートを選択します。
Policy Status
デフォルトで有効になっています。ポリシーは、ステータスが Enabled の場合にのみ有効になります。
プライベートアクセスホワイトリストの追加
特定の IP アドレスやドメイン名に対するアクセラレーション動作を監査したくない場合は、プライベートアクセスホワイトリストに追加できます。
次の手順に従ってください。
-
ホワイトリスト ページに移動し、Private Access タブをクリックします。
-
IP Address Whitelist エリアで、ホワイトリストに追加したい IP アドレスを追加します。複数の IP アドレスを追加できます。
-
Domain Name Whitelist エリアで、ホワイトリストに追加したいドメイン名を追加します。複数のドメイン名を追加できます。
-
エントリを追加した後、Submit をクリックします。
プライベートアクセス監査
Private Access Audit の下の [一般ログ] ページに移動します。クライアントがアプリケーションにアクセスした後、対応するログ情報を検索して表示できます。
ログリストには、[ユーザー名]、[部門]、[アプリケーション名]、[クライアントバージョン]、[ポリシータイプ]、[ポリシー名]、[宛先アドレス] などのフィールドが表示されます。ポリシータイプが [ゼロトラスト] でポリシー名が [デフォルトポリシー] の場合、ゼロトラストポリシーが有効になっていることを示します。
ネットワーク診断
診断タスクの作成
-
[ネットワーク診断] ページに移動し、Create Task をクリックします。
-
表示されるパネルで、次のパラメーターを設定します。
-
Task Type:End-to-end Diagnostics または Application Diagnostics を選択できます。オフィスアクセラレーションの診断タスクの場合は、End-to-end Diagnostics を選択します。
-
Task Object:この診断タスクのターゲットオブジェクトを設定します。複数のオブジェクトを追加できます。
-
Username:ユーザーを選択します。
-
Application Protocol:TCP および UDP プロトコルタイプをサポートします。
-
Application Address:アプリケーションのドメイン名または IP アドレスとポート番号を入力します。
-
-
Access Point:デフォルトは Automatic Selection です。手動でアクセスポイントを指定することもできます。
-
-
情報を確認後、OK をクリックします。
診断結果の表示
-
[ネットワーク診断] ページに移動し、タスクリストで作成した診断タスクを見つけます。
-
[操作] 列の View をクリックして、タスクの診断詳細を展開します。
展開された診断詳細は、[デスクトップ]、[POP アクセスポイント]、[アクセラレータ]、[コネクタサーバー]、[コネクタクライアント]、[オリジンサーバー] の 6 つのノードを順に通過するエンドツーエンドのトポロジー図として表示されます。各リンク間のレイテンシーが表示されます (例:74ms、4ms、3ms、169ms、167ms)。各ノードの詳細には、名前、アドレス、リソース ID、地理的な場所 (シンガポール/Alibaba Cloud、中国 (香港)/Alibaba Cloud など) が含まれます。