企業のリソースが Cloud Enterprise Network (CEN) を使用して相互接続された Alibaba Cloud の Virtual Private Cloud (VPC) にデプロイされている場合、SASE ゲートウェイを使用して、プライベートネットワークとクラウドリソース間に安全な接続を確立できます。これにより、社員はクラウリソースにプライベートにアクセスできます。このトピックでは、ネットワーク接続を有効/無効にする方法、およびサービスの back-to-origin アドレスを変更する方法について説明します。
複数の Alibaba Cloud アカウントにまたがる VPC の管理
他の Alibaba Cloud アカウントに属する VPC を管理するには、まずそれらをメンバーアカウントとして追加します。アカウントを追加すると、管理アカウントとメンバーアカウントのすべての VPC リソースが SASE コンソールの タブに表示されます。メンバーアカウントを追加しない場合、現在の管理アカウントの VPC リソースのみが表示されます。詳細については、「マルチアカウント管理」をご参照ください。
注意事項
異なるリージョンにある VPC が同じ CIDR ブロックを使用している場合や、VPC とデータセンターが同じ CIDR ブロックを使用している場合など、CIDR ブロックが競合すると、SASE は宛先アドレスを特定できません。ネットワーク接続を有効にする前に、ネットワーク内で CIDR ブロックが競合していないことを確認してください。
仕組み
ネットワーク接続の有効化
Secure Access Service Edge コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
Network Settings ページで、 タブに移動し、SASE によって同期されたネットワークリソースを表示します。
パラメーター
説明
[CEN インスタンス ID/名前]
管理アカウントと追加されたメンバーアカウントに属するすべての CEN インスタンス。
Owner Account
CEN インスタンスが属するアカウント。管理アカウントまたはメンバーアカウントです。
Back-to-origin Address
SASE ゲートウェイが CEN との通信に使用するアドレス。
CEN インスタンスにアタッチされた VPC 内の ECS インスタンスの場合、この back-to-origin アドレスからのトラフィックを許可するセキュリティグループルールが自動的に追加されます。ACL を使用する VBR や SAG など、CEN にアタッチされた他のリソースについては、このアドレスからのトラフィックを許可するルールを手動で追加する必要があります。
-
CEN インスタンスまたは CEN インスタンスにアタッチされた特定の VPC を見つけ、Network Connection スイッチをオンにします。
接続は 2 つの方法で有効にできます:
-
CEN インスタンス全体のネットワーク接続を有効にする
これにより、SASE ゲートウェイと、CEN インスタンスにアタッチされているすべてのネットワークリソースとの間にオリジンプルリンクが確立されます。SASE がゼロトラストポリシーに照らしてトラフィックを検証した後、SASE ゲートウェイはそれを送信先に転送します。この方法は、CEN インスタンスにアタッチされているすべての VPC をお客様のエンドユーザーに接続します。
Network Connection スイッチをオンにすると、SASE は back-to-origin トラフィック用の VPC を選択するように求めるプロンプトを表示します。
[back-to-origin VPC の選択] ダイアログボックスで、リストからターゲット VPC を見つけ、[操作] 列の [選択] をクリックします。
back-to-origin VPC を選択すると、SASE はその VPC と自動的に割り当てられた back-to-origin アドレスを表示します。
SASE ゲートウェイと CEN は、back-to-origin アドレスを使用して通信します。CEN インスタンスにアタッチされた VPC 内の ECS インスタンスの場合、SASE は back-to-origin アドレスからのトラフィックを許可するセキュリティグループルールを自動的に追加します。CEN インスタンスレベルで接続を有効にすると、SASE は以前に個々の VPC、VBR、または SAG に設定されていた back-to-origin アドレスを自動的にリリースします。
-
特定の VPC のネットワーク接続を有効にする
これにより、指定した VPC のみがエンドユーザーに接続されます。同じ CEN インスタンスにアタッチされている他の VPC は切断されたままです。
接続を有効にすると、ターゲット VPC の [ネットワーク接続] スイッチが緑色に変わり、割り当てられた back-to-origin アドレスが [back-to-origin アドレス] 列に表示されます。
-
-
Network Connection ダイアログボックスで、Enable Network Connection for All Cloud Applications または Custom Connection to Cloud Applications のいずれかを選択します。
-
Enable Network Connection for All Cloud Applications:このオプションを選択すると、すべてのクラウドネイティブアプリケーションが自動的に接続されます。ACL ルールを設定することで、非クラウドアプリケーションに接続できます。この VPC で作成された新しいクラウドネイティブアプリケーションもデフォルトで接続されます。
説明現在サポートされているのは、特定の種類のクラウドネイティブアプリケーションのみです。サポートされている種類を確認するには、 タブに移動し、Application Type 列を確認してください。
-
Custom Connection to Cloud Applications:
-
Custom Connection to Cloud Applications を選択し、OK をクリックします。
-
Custom Connection to Cloud Applications パネルで、接続するアプリケーションを選択し、OK をクリックします。
-
-
-
Network Connection スイッチをオンにすると、SASE はリソースに割り当てられたデフォルトの back-to-origin アドレスを表示します。
-
アプリケーションを接続した後、 に移動して詳細を表示できます。
カスタムリソースへの接続
アプリケーションが SASE で自動的に同期できないリソースにデプロイされている場合は、CIDR ブロックを手動で追加して SASE とのネットワーク接続を確立できます。複数の CIDR ブロックを追加できます。
VPC にカスタム CIDR ブロックを設定すると、そのカスタム CIDR ブロックも VPC の back-to-origin アドレスを使用します。指定した VPC がカスタム CIDR ブロック内のアプリケーションにアクセスできることを確認してください。
ターゲット CEN インスタンスの VPC リストで、カスタム CIDR ブロックを設定する VPC を見つけます。[カスタム CIDR ブロック] 列の編集アイコンをクリックし、必要な CIDR ブロックを追加します。
back-to-origin アドレスの許可
SASE はプロキシモードを使用してオリジンサーバーにアクセスします。オリジンサーバーにセキュリティポリシーが設定されている場合、back-to-origin アドレスからのトラフィックが不審なものとしてブロックされる可能性があります。これにより、ウェブサイトやアプリケーションへのアクセスが妨げられることがあります。これを回避するには、オリジンサーバーのセキュリティポリシーの許可リストに back-to-origin アドレスを追加する必要があります。
back-to-origin VPC の変更
サービスの back-to-origin VPC を変更するには、Actions 列の Select Back-to-origin VPC をクリックします。
ネットワーク接続の無効化
特定の VPC または CEN インスタンス全体の Network Connection スイッチをオフにすると、SASE ゲートウェイとネットワークリソース間の back-to-origin リンクが削除されます。これにより、SASE エンドユーザーはリソースにアクセスできなくなります。
ネットワーク接続を無効にすると、ユーザーは SASE クライアントを介してプライベートアプリケーションにアクセスできなくなります。注意して進めてください。
次のステップ
ネットワーク接続を確立した後、社員がアクセスできるプライベートアプリケーションを設定する必要があります。詳細については、「プライベートアプリケーションの設定」および「ゼロトラストポリシーの設定」をご参照ください。
関連トピック
-
アプリケーションを設定した後、特定の IP アドレスからのトラフィックを許可するには、アプリケーションのホワイトリストを作成します。詳細については、「プライベートアプリケーションのホワイトリストの設定」をご参照ください。
-
ビジネスアプリケーションが Alibaba Cloud 外のネットワークにデプロイされている場合は、「Alibaba Cloud 外のリソースへの接続」をご参照ください。
-
グローバルな従業員のアクセスを有効にするには、「グローバルなオフィス接続の有効化」をご参照ください。
-
SASE を使用すると、クラウドネイティブアプリケーションのパブリックアクセスを管理できます。ベストプラクティスとして、可能な限りパブリックアクセスを無効にし、プライベート VPC ネットワークへのアクセスを制限することを推奨します。詳細については、「SASE を使用したクラウドネイティブアプリケーションへのアクセスのベストプラクティス」をご参照ください。