SASE を使用して、CEN に接続されていない VPC 内の Alibaba Cloud リソースへのプライベートアクセスを有効にする - Secure Access Service Edge

企業のオンプレミスネットワークを、Cloud Enterprise Network (CEN) に接続されていない Alibaba Cloud VPC 内のビジネスリソースに接続します。接続後、従業員は SASE クライアントを使用して、内部ネットワーク経由でこれらのリソースにアクセスできます。

仕組み

SASE ゲートウェイは、VPC へのアウトバウンド接続を確立し、プロキシとして機能します。SASE クライアントからのすべてのトラフィックは、ゲートウェイを介してオリジンサーバーにルーティングされます。ゲートウェイはソースネットワークアドレス変換 (SNAT) を実行するため、オリジンサーバーはユーザーのデバイス IP アドレスではなく、ゲートウェイのバックツーオリジンアドレスを認識します。オリジンサーバーにアクセス制御ポリシーがある場合は、トラフィックがブロックされないように、バックツーオリジンアドレスを許可リストに追加します。

前提条件

開始する前に、以下を確認してください。

ご利用の VPC とデータセンターの CIDR ブロックが重複していないこと。クロスリージョン VPC が同じ CIDR ブロックを共有している場合、または VPC とデータセンターが同じ CIDR ブロックを使用している場合、SASE は送信先アドレスを特定できません。続行する前に、IP 競合を解決してください。
(任意) リソースディレクトリのメンバー内の VPC を管理する場合は、最初にメンバーを追加します。詳細については、「マルチアカウント管理」をご参照ください。メンバーが追加されていない場合、[Alibaba Cloud 上のサービス] ページには、管理アカウント内の VPC のみが表示されます。

ネットワーク接続図

VPC のネットワーク接続の有効化

SASE コンソールにログインします。
左側のナビゲーションウィンドウで、プライベートアクセス > ネットワーク設定 を選択します。

[ネットワーク設定] ページで、[Alibaba Cloud 上のサービス] > [VPC (CEN インスタンスが関連付けられていない)] に移動します。このタブには、管理アカウントおよび追加されたメンバーから SASE に同期された VPC が一覧表示されます。

パラメーター	説明
Instance ID/Name	VPC の ID と名前。管理アカウントおよびリソースディレクトリの追加されたメンバーからの VPC が表示されます。
Owner Account	VPC を所有するアカウント (管理アカウントまたはメンバー)。
Region	VPC が存在するリージョン。
VPC CIDR ブロック	VPC 内の vSwitches の CIDR ブロック。

接続する VPC を見つけ、[ネットワーク接続] 列のスイッチをオンにします。スイッチがオンになると、SASE はその VPC にデフォルトの back-to-origin アドレスを割り当てます。back-to-origin アドレスとは、SASE ゲートウェイがアクセスリクエストを開始した後に、オリジンサーバーが応答を送信する IP アドレスです。

他の VPC 接続リソースのネットワーク接続の有効化

ビジネスアプリケーションが VPC にデプロイされており、その VPC に接続されている他のリソースに依存しているにもかかわらず、それらのリソースが [Services On Alibaba Cloud] または [Services Outside Alibaba Cloud] タブに表示されない場合は、それらの CIDR ブロックを手動で追加します。

重要

カスタム CIDR ブロックを追加すると、VPC のバックツーオリジンアドレスもカスタム CIDR ブロックに使用されます。VPC からカスタム CIDR ブロックを使用するアプリケーションへのアクセスが利用可能であることを確認してください。

オリジンサーバーでのバックツーオリジンアドレスの許可

オリジンサーバーにアクセス制御ポリシーがある場合、バックツーオリジンアドレスを疑わしいとフラグを立て、ゲートウェイのトラフィックをブロックする可能性があります。これを防ぐには、オリジンサーバーのアクセス制御ポリシーで、バックツーオリジンアドレスを許可リストに追加します。

バックツーオリジンアドレスの変更

back-to-origin アドレスを変更するには、[back-to-origin アドレス] 列のアドレスにマウスを上に移動して、ポップオーバー内のアイコンをクリックします。

重要

バックツーオリジンアドレスを変更すると、VPC と SASE 間の接続が約 1 分間中断されます。注意して進めてください。

VPC のネットワーク接続の無効化

VPC の [ネットワーク接続] をオフにすると、SASE ゲートウェイとその VPC 内のリソース間のオリジンプルリンクが終了します。ユーザーは SASE クライアントからそれらのリソースにアクセスできなくなります。

警告

[Network Connection] をオフにすると、ユーザーは SASE クライアントを使用して内部ネットワーク経由でオフィスアプリケーションにアクセスできなくなります。注意して進めてください。

次のステップ

ネットワーク接続を有効にした後、アプリケーションへのアクセスを設定します。

オフィスアプリケーションの設定 — ユーザーがアクセスできるアプリケーションを定義します
ゼロトラストポリシーの設定 — これらのアプリケーションのアクセス制御ルールを設定します
オフィスアプリケーションの許可リストの設定 — 特定の IP アドレスへのアプリケーションアクセスを制限します

リファレンス

Alibaba Cloud 外部サービスのネットワーク接続の有効化 — Alibaba Cloud でホストされていないビジネスアプリケーションに SASE を接続します
グローバルオフィスシナリオにおけるアプリケーションのネットワーク接続の有効化 — グローバルオフィス内のアプリケーションに SASE を接続します