SASE のプライベートアクセス機能を使用して、ユーザーが内部ネットワーク経由で Alibaba Cloud にデプロイされているビジネスリソースにアクセスできるようにします (リソースは CEN に接続されていない VPC にデプロイされています) - Secure Access Service Edge

企業のビジネスリソースが Alibaba Cloud の仮想プライベートクラウド (VPC) にデプロイされており、VPC が Alibaba Cloud のクラウドエンタープライズネットワーク (CEN) に接続されていない場合は、Secure Access Service Edge (SASE) ゲートウェイを使用して、企業のオンプレミスネットワークを Alibaba Cloud のビジネスリソースに接続できます。このようにして、企業のユーザーは内部ネットワーク経由でビジネスリソースにアクセスできます。このトピックでは、ネットワーク接続をオンおよびオフにする方法について説明します。また、SASE ゲートウェイのバックツーオリジンアドレスを変更する方法についても説明します。

複数 Alibaba Cloud アカウントにわたる VPC の管理

リソースディレクトリのメンバー内で VPC を管理するには、最初にメンバーを追加する必要があります。メンバーが追加されると、管理アカウントおよび追加されたメンバー内の VPC を、Network Settings > [alibaba Cloud 上のサービス] ページの SASE コンソールで表示できます。メンバーが追加されていない場合は、ページで管理アカウント内の VPC のみを表示できます。詳細については、「複数アカウント管理」をご参照ください。

注意事項

CIDR ブロックが競合する場合、SASE は宛先アドレスを特定できません。たとえば、リージョンをまたがる VPC が同じ CIDR ブロックを使用している場合、競合が発生します。VPC とデータセンターが同じ CIDR ブロックを使用している場合、競合が発生します。ネットワーク接続を有効にする前に、ビジネスリソースの CIDR ブロックが競合していないことを確認してください。

ネットワーク接続図

ネットワーク接続をオンにする

[SASE コンソール] にログオンします。
左側のナビゲーションペインで、[プライベートアクセス] > [ネットワーク設定] を選択します。

[alibaba Cloud 上のサービス] > [VPC（CENインスタンスが関連付けられていない）] タブの [ネットワーク設定] ページで、SASE に同期されているビジネスリソースを表示します。

パラメーター	説明
インスタンス ID/名前	VPC の ID と名前。管理アカウントおよびリソースディレクトリの追加されたメンバー内の VPC が表示されます。
Owner Account	VPC が属するアカウント。アカウントは管理アカウントまたはメンバーです。
Region	VPC が存在するリージョン。
VPC CIDR Block	VPC 内の vSwitch の CIDR ブロック。

管理する VPC を見つけて、[ネットワーク接続] 列のスイッチをオンにします。
[ネットワーク接続] をオンにすると、SASE コンソールに、VPC に割り当てられているデフォルトのバックツーオリジンアドレスが表示されます。
バックツーオリジンアドレスは、SASE ゲートウェイがアクセスリクエストを開始した後、オリジンサーバーがレスポンスを送信する IP アドレスです。

他の VPC 接続ビジネスリソースのネットワーク接続を有効にする

ビジネスアプリケーションが VPC にデプロイされ、VPC に接続されている他のビジネスリソースで構成されているとします。ビジネスリソースを SASE に同期できず、[Alibaba Cloud 上のサービス] タブまたは [Alibaba Cloud 外のサービス] タブにリソースが表示されない場合は、リソースの CIDR ブロックを手動で追加して、SASE をビジネスリソースに接続できます。

重要

VPC のカスタム CIDR ブロックを追加した後、VPC のバックツーオリジンアドレスはカスタム CIDR ブロックのバックツーオリジンアドレスとしても使用されます。 VPC からカスタム CIDR ブロックを使用するアプリケーションへのアクセスが利用可能であることを確認してください。

バックツーオリジンアドレスを許可する

SASE はプロキシモードでオリジンサーバーにアクセスします。オリジンサーバーにアクセス制御ポリシーが構成されている場合、サーバーはポリシーに基づいてバックツーオリジンアドレスを疑わしいと識別します。この場合、プロキシサーバーによってオリジンサーバーに転送されたトラフィックはブロックされます。その結果、アプリケーションまたは Web サイトにアクセスできなくなります。この問題を解決するには、オリジンサーバーのアクセス制御ポリシーでバックツーオリジンアドレスを許可する必要があります。

バックツーオリジン IP アドレスを変更する

[バックツーオリジンアドレス] 列でアドレスの上にポインターを移動し、表示されるポップオーバーのアイコンをクリックすると、バックツーオリジンアドレスを変更できます。

重要

バックツーオリジンアドレスを変更すると、VPC と SASE の間の接続が中断され、中断は約 1 分続きます。注意して進めてください。

ネットワーク接続をオフにする

VPC の [ネットワーク接続] をオフにすると、SASE ゲートウェイと VPC 内のリソース間のバックツーオリジンリンクが終了します。ユーザーは SASE クライアントからリソースにアクセスできなくなります。

警告

[ネットワーク接続] をオフにすると、ユーザーは SASE クライアントを使用して内部ネットワーク経由でオフィスアプリケーションにアクセスできなくなります。注意して進めてください。

次のステップ

ネットワーク接続を有効にした後、ユーザーがアプリケーションにアクセスできるようにアプリケーションを構成する必要があります。詳細については、「オフィスアプリケーションの構成」および「ゼロトラストポリシーの構成」をご参照ください。

参照

Alibaba Cloud にデプロイされていないビジネスアプリケーションに SASE を接続できます。詳細については、「Alibaba Cloud 外のサービスのネットワーク接続を有効にする」をご参照ください。
グローバルオフィスにあるアプリケーションに SASE を接続できます。詳細については、「グローバルオフィスシナリオでのアプリケーションのネットワーク接続を有効にする」をご参照ください。
アプリケーションを構成した後に特定の IP アドレスからのトラフィックを許可する場合は、アプリケーションホワイトリストを構成できます。詳細については、「オフィスアプリケーションホワイトリストの構成」をご参照ください。