Secure Access Service Edge:グローバルオフィスアクセラレーションのベストプラクティス

ステップ 1: ID ソースの作成

1. [ID アクセス] ページに移動し、Identity synchronization タブをクリックします。

2. Create IdP をクリックします。このトピックでは、Custom IdP を例として使用します。

   説明

   本番環境では、SASE を Active Directory (AD)、LDAP、DingTalk、WeCom などの企業の ID プロバイダー (IdP) と統合します。

   1. Basic Configurations セクションで、IdP Name と Description を入力します。IdP Status を Enabled に設定します。Next をクリックします。

   2. Logon Settings セクションで、PC Logon Method と Mobile Device Logon Method を設定します。この例では、デフォルトの構成を使用します。必要に応じて、Two-factor Authentication を有効にできます。

   3. 設定を確認したら、[確認] をクリックします。

ステップ 2: ユーザーとユーザーグループの作成

1. [ID アクセス] ページに移動し、Employee Center タブをクリックします。左側のドロップダウンリストから、前のステップで作成した ID ソースを選択します。Add User をクリックします。

   

2. [ユーザーの追加] パネルで、ユーザー名、パスワード、およびその他の情報を入力します。Department フィールドで、ユーザーを部署に割り当てます。

   

3. User Group Management タブをクリックします。Create User Group をクリックし、dev-group などの名前を入力し、必要に応じて Group Scope を選択します。

   

4. 情報を確認したら、OK をクリックします。

ステップ 1: SASE コネクタの追加

1. Secure Access Service Edge コンソールにログインします。左側のナビゲーションウィンドウで、Private Access > Network Settings を選択します。

2. [Alibaba Cloud 以外のサービス] タブで、コネクタを追加します。

   1. [コネクタ] タブで、[コネクタの追加] をクリックします。

   2. [コネクタの追加] ダイアログボックスで、必要に応じてパラメーターを構成します。次に、[OK] をクリックします。

      

      パラメーター	説明
      リージョン	コネクタのリージョン。アクセス品質を確保するために、サーバーに最も近いリージョンを選択します。
      インスタンス名	コネクタの名前。
      インスタンススイッチ	SASE エンドユーザーは、インスタンススイッチが [オン] に設定されている場合にのみ、コネクタに関連付けられたアプリケーションにアクセスできます。 コネクタリストまたはコネクタの [詳細] パネルでインスタンスを有効にすることもできます。 重要 コネクタインスタンスを無効にすると、エンドユーザーは SASE アプリを使用して内部ネットワークアプリケーションにアクセスできなくなります。注意して進めてください。

      コネクタが追加されると、コネクタリストに表示されます。

3. GA を有効にします。

   1. 作成したコネクタインスタンスを見つけます。Actions 列で、Details をクリックします。

   2. コネクタのインスタンス詳細ページで、Global Acceleration セクションを見つけて、この機能を有効にします。

      

   3. Enable GA ダイアログボックスで、次の情報を入力します。

      重要

      初めて GA を有効にすると、サービスリンクロール AliyunServiceRoleForGaCdt および AliyunServiceRoleForGaVpcEndpoint の自動作成を承認するように求められます。GA はこれらのロールを使用して SASE 内のリソースにアクセスします。

      パラメーター	説明
      GA Instance Name	必須。GA インスタンスの名前を入力します。 重要 GA 料金には、インスタンス料金、パフォーマンス容量に対する容量単位 (CU) 料金、およびデータ転送料金が含まれます。
      Resource Group	リソースグループを選択します。
      Terms of service	[送信] をクリックすると、関連するサービス契約に同意したことになります。

      情報を確認したら、Next をクリックします。

   4. Acceleration Region と Allocate Bandwidth を構成します。

      パラメーター	説明
      Acceleration Region	アクセラレーションリージョンを構成します。ユーザーに近いリージョンを選択します。 説明 ドバイリージョンはアクセラレーションリージョンとしてサポートされていません。
      Allocate Bandwidth	帯域幅は 2 から 10000 の値に設定できます。次の帯域幅割り当てメソッドがサポートされています。 Allocate Bandwidth by Region: 各アクセラレーションリージョンのピーク帯域幅をカスタマイズします。 Batch Set: すべてのリージョンに均一なピーク帯域幅を設定します。

      構成が完了したら、OK をクリックします。アクセラレーションインスタンスの作成には時間がかかります。

   5. アクセラレーションインスタンスが作成されたら、詳細ページでその詳細を表示できます。

      

ステップ 2: ビジネスリソースサーバーにコネクタをデプロイする

1. 追加されたコネクタの [操作] 列で、[デプロイ] をクリックします。[デプロイ] パネルで、デプロイメントコマンドを取得します。

2. コネクタをデプロイするサーバーまたは仮想マシンに [root] ユーザーとしてログインし、デプロイメントコマンドを実行します。[デプロイ] パネルには、コネクタのスペックアップまたはアンインストール、ログのエクスポートを行うためのコマンドも表示されます。

   

3. デプロイメントが完了すると、詳細ページのインスタンス情報セクションでインスタンス ID などの情報を表示できます。インスタンスのステータスが Connected に変わります。

   

ステップ 3 (オプション): GA コンソールで管理対象オブジェクトを構成する

より高いネットワーク伝送品質が必要な場合は、次のステップに従って [伝送ネットワークタイプ] を変更できます。

1. GA コンソールの [インスタンス] ページに移動し、管理対象オブジェクトとそのステータスを表示します。

   

2. アカウントが Cross-border Express Connect をサポートしている場合、自動的に作成される管理対象 GA インスタンスはデフォルトで [Cross-border Express Connect] モードになります。そうでない場合は、デフォルトで [BGP (マルチ ISP) Pro] モードになります。

   

ステップ 4: アプリケーションにエンドポイントを追加する

1. [アプリケーション管理] ページに移動し、Add Application をクリックします。

2. [基本構成] セクションで、次のパラメーターを構成します。

   • Application Name: アプリケーションの名前を入力します。

   • 説明: アプリケーションの説明を入力します。

   • タグ: アプリケーションのタグを選択します。

   • ステータス: アプリケーションのステータスを [有効] または [無効] に設定します。

   • Access Mode:

     • [APP アクセス]: ユーザーは SASE アプリをインストールしてオフィスアプリケーションにアクセスする必要があります。このモードは、レイヤー 4 およびレイヤー 7 アプリケーションへのアクセスをサポートし、従業員のオフィスおよび O&M シナリオに適しており、さまざまなエンドポイントセキュリティ検出およびコントロールポリシーをサポートします。

     • Browser-based Access: ユーザーは SASE アプリをインストールせずに、ブラウザを使用して企業の Web アプリにアクセスできます。このモードは、エンドポイントセキュリティ検出およびコントロールポリシーをサポートしていません。

3. 設定を確認したら、Next をクリックします。Application Address ページで、次の情報を入力します。

   • Application Address: アプリケーションサーバーのドメイン名または IP アドレスを入力します。

   • ポート: アプリケーションのポート範囲を入力します。

   • 説明: アプリケーションの説明を入力します。

   • Protocol: [TCP] または [UDP] を選択します。

   • Web Application Access Reinforcement (詳細設定): オプション。必要に応じてアクセス強化を構成します。

4. アプリケーションアドレス情報を確認したら、OK をクリックします。

5. 構成は、次の図に示すように完了します。

   

6. 構成されたアクセスモード (APP アクセスなど) を使用して、対応するアクセラレーションアドレスにアクセスし、接続を検証します。

ステップ 5: コネクタ転送ルールを構成する

1. [コネクタ] タブで、[転送ルール] をクリックします。

2. [転送ルール] ページで、[ポリシーの作成] をクリックします。

3. [ポリシーの作成] パネルで、必要に応じてパラメーターを構成します。次に、[OK] をクリックします。

   

   パラメーター	説明
   ポリシー名	コネクタ転送ルールの名前。
   説明	ポリシーの説明。
   優先度	ポリシーの優先度。値は 1 から 100 の範囲で指定できます。値が小さいほど、優先度が高くなります。
   ポリシー詳細	ポリシーが適用されるユーザーと関連アプリケーションを追加します。
   関連付けられたコネクタ	ポリシーに関連付けるコネクタを選択します。
   ポリシーステータス	ポリシーは、ステータスが [有効] の場合にのみ有効になります。

ステップ 6: ゼロトラストポリシーを構成する

1. [ゼロトラストポリシー] ページで、Create Policy をクリックします。

2. Create Policy パネルで、必要に応じてパラメーターを構成します。次に、[OK] をクリックします。

   パラメーター	説明
   Policy Name	ゼロトラストポリシーの名前。
   Description	ポリシーの説明。
   Priority	ポリシーの優先度。優先度は 1 から 45 の値にすることができます。値は 0 で始めることはできません。
   Action	これを Allow (デフォルト) または Prohibit に設定できます。
   Policy Details	ポリシーが適用されるユーザーと関連アプリケーションを追加します。
   Trusted Process	デフォルトで無効になっています。 説明 この機能を有効にすると、ゼロトラストゲートウェイはアクセスを開始するプロセスが信頼できるプロセスであるかどうかをチェックします。信頼できないプロセスからのアクセスはブロックされます。
   Security Baselines	セキュリティベースラインを選択します。このパラメーターはオプションです。
   Trigger Templates	トリガーテンプレートを選択します。このパラメーターはオプションです。
   Policy Status	デフォルトで有効になっています。ポリシーは、ステータスが Enabled の場合にのみ有効になります。

診断タスクの作成

1. [ネットワーク診断] ページに移動し、Create Task をクリックします。

2. 表示されるパネルで、次のパラメーターを構成します。

   • Task Type: End-to-end Diagnostics または Application Diagnostics を選択します。オフィスアクセラレーション診断タスクの場合は、エンドツーエンド診断を選択します。

   • Task Object: この診断タスクのオブジェクトを指定します。複数のオブジェクトを追加できます。

     • Username: ユーザーを選択します。

     • Application Protocol: TCP または UDP を選択できます。

     • Application Address: アプリケーションのドメイン名または IP アドレスとポート番号を入力します。

   • Access Point: デフォルト値は Automatic Selection です。アクセスポイントを手動で指定することもできます。

3. 情報を確認したら、OK をクリックします。

診断結果の表示

1. [ネットワーク診断] ページに移動し、タスクリストで作成した診断タスクを見つけます。

2. [操作] 列の View をクリックして、詳細な診断結果を表示します。