企業のビジネス リソースが Alibaba Cloud 外にデプロイされており、Alibaba Cloud ネットワーク インスタンスが企業のネットワーク トポロジにデプロイされている場合は、Secure Access Service Edge(SASE)ゲートウェイと Alibaba Cloud ネットワーク インスタンスを使用して、企業のオンプレミス ネットワークを Alibaba Cloud 外のビジネス リソースに接続できます。このようにして、企業のユーザーは社内ネットワーク経由でビジネス リソースにアクセスできます。Alibaba Cloud ネットワーク インスタンスとは、仮想ボーダー ルータ(VBR)、クラウド コネクト ネットワーク(CCN)インスタンス、および VPN ゲートウェイを指します。このトピックでは、Alibaba Cloud ネットワーク インスタンスをコネクタとして同期する方法、バックツーオリジン仮想プライベート クラウド(VPC)を設定する方法、およびネットワーク接続をオンまたはオフにする方法について説明します。
複数の Alibaba Cloud アカウントにわたるビジネス リソースの管理
リソースディレクトリのメンバー内でコネクタを管理する場合、最初にメンバーを追加する必要があります。メンバーが追加されると、プライベートアクセス > ページで、管理アカウントと追加されたメンバー内の VBR、IPsec-VPN 接続、および Smart Access Gateway (SAG) インスタンスを表示できます。SASE コンソールを使用します。メンバーが追加されていない場合は、ページで管理アカウント内の VBR、IPsec-VPN 接続、および SAG インスタンスのみを表示できます。詳細については、「複数アカウント管理機能の使用」をご参照ください。
ネットワーク接続図
ネットワーク接続をオンにする
手順 1:Alibaba Cloud ネットワーク インスタンスを同期する
SASE は、Alibaba Cloud ネットワーク インスタンスを自動的に同期します。次の表に、同期後に表示できるパラメータを示します。
パラメータ | 説明 |
コネクタタイプ | コネクタのタイプ。SASE は、VBR 専用線、CCN、VPN ゲートウェイのコネクタタイプのみをサポートしています。 |
インスタンス ID/名前 | コネクタを生成するために同期されるインスタンスの ID。インスタンスは、VBR、CCN インスタンス、または VPN ゲートウェイです。 |
所有者アカウント | コネクタが属するアカウント。アカウントは、管理アカウントまたはメンバーです。 |
ネットワークチャネル | コネクタのネットワーク チャネル。 コネクタタイプが VBR 専用線の場合、ネットワーク チャネルは 専用線 です。コネクタタイプが CCN の場合、ネットワーク チャネルは SAG です。コネクタタイプが VPN ゲートウェイの場合、ネットワーク チャネルは IPsecVPN です。 |
内部 CIDR ブロック: | オンプレミス ネットワークの内部 CIDR ブロック、または Alibaba Cloud 上の VPC 内の vSwitch の CIDR ブロック。
複数の CIDR ブロックはコンマ(,)で区切ります。 |
手順 2:バックツーオリジン VPC を設定する
オンプレミス ネットワークが SAG、IPsecVPN、または 専用線 ネットワーク チャネル経由で Alibaba Cloud のクラウド ネットワークに接続されている場合、SASE は、オンプレミス ネットワークに接続されている VPC 経由でオンプレミス ネットワークにアクセスできます。このタイプの VPC は、バックツーオリジン VPC と呼ばれます。
コネクタタイプが VPN ゲートウェイ の場合、1 つの VPC のみがオンプレミス ネットワークに接続されているため、バックツーオリジン VPC を変更することはできません。
コネクタタイプが VBR 専用線 の場合、[バックツーオリジン VPC] 列にバックツーオリジン アドレスを指定する必要があります。
コネクタタイプが CCN の場合、[アクション] 列の [バックツーオリジン VPC を選択] をクリックして、バックツーオリジン VPC を選択できます。
説明理論的には、CCN インスタンスに追加されたすべての VPC はオンプレミス ネットワークに接続されています。ただし、ルーティング ポリシーまたはセキュリティ ポリシーを設定した場合は、オンプレミス ネットワークへのアクセスが許可されているバックツーオリジン VPC を選択する必要があります。
手順 3:ネットワーク接続をオンにする
[クラウド ネットワーク インスタンス] タブで、必要なコネクタを見つけ、[ネットワーク接続] 列のスイッチをオンにします。これにより、ユーザーは SASE クライアントから Alibaba Cloud 外のサービスにアクセスできます。
ネットワーク接続をオフにする
ネットワーク チャネルが不要になった場合は、ネットワーク チャネルの [ネットワーク接続] をオフにすることができます。
ネットワーク接続をオフにすると、ユーザーは SASE クライアントからオフィス アプリケーションにアクセスできなくなります。注意して進めてください。
次の手順
ネットワーク接続を有効にした後、ユーザーがアプリケーションにアクセスできるようにアプリケーションを設定する必要があります。詳細については、「オフィス アプリケーションを設定する」および「ゼロトラスト ポリシーを設定する」をご参照ください。
参照
アプリケーションを設定した後に特定の IP アドレスからのトラフィックを許可する場合は、アプリケーション ホワイトリストを設定できます。詳細については、「オフィス アプリケーション ホワイトリストを設定する」をご参照ください。
SASE を Alibaba Cloud にデプロイされているビジネス アプリケーションに接続できます。詳細については、「Alibaba Cloud 上のサービスのネットワーク接続を有効にする」をご参照ください。
SASE をグローバル オフィスのアプリケーションに接続できます。詳細については、「グローバル オフィス シナリオのアプリケーションのネットワーク接続を有効にする」をご参照ください。