Alibaba Cloud Smart Access Gateway (SAG) は、ソフトウェア定義型広域ネットワーク(SD-WAN)アーキテクチャを採用し、オンプレミス端末のトラフィックをパブリックインターネットを経由せずにプライベートネットワーク経路でクラウドリソースへルーティングします。本トピックでは、エンドユーザーがパソコンまたはモバイル端末上で SAG アプリを用いて Elastic Desktop Service (EDS) Enterprise のクラウドコンピューターに VPC(仮想プライベートクラウド)経由で接続できるよう、SAG アプリの構成手順について説明します。
トラフィック経路:オンプレミス端末 → SAG アプリ → クラウド相互接続ネットワーク(CCN)→ Cloud Enterprise Network(CEN)→ VPC → クラウドコンピューター。
背景情報
SAG は Alibaba Cloud が提供する SD-WAN ソリューションであり、通常はクラウド相互接続ネットワーク(CCN)と併用されます。詳細については、「Smart Access Gateway とは?」をご参照ください。
SAG には、SAG 顧客構内設備(CPE)、SAG vCPE、および SAG アプリの 3 つのサービスタイプがあります。本トピックでは、SAG アプリを用いたクラウドサービスへの接続に必要なネットワーク構成手順について説明します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
CEN インスタンス。詳細については、「CEN インスタンスの作成」をご参照ください。
CCN インスタンス(SAG アプリと CEN をブリッジ接続する役割を果たします)。詳細については、「CCN インスタンスの作成」をご参照ください。
VPC が CEN インスタンスにアタッチされたオフィスネットワーク(クラウドコンピューターが到達可能になるために必要)。詳細については、「便利なオフィスネットワークの作成および管理」および「エンタープライズ Active Directory (AD) オフィスネットワークの作成および管理」をご参照ください。
作成され、ユーザーアカウントに割り当てられたクラウドコンピューター。詳細については、「クラウドコンピューターの作成」および「ユーザーへのクラウドコンピューターの割り当て」をご参照ください。
同一デバイス上にインストール済みの SAG アプリおよび WUYING Workspace クライアント。詳細については、「SAG アプリのインストール」および「WUYING Workspace クライアントのダウンロード」をご参照ください。
オフィスネットワークを作成する前に、CEN インスタンスまたはデータセンターとの競合を避けるため、その IPv4 CIDR ブロックを計画する必要があります。詳細については、「CIDR ブロックの計画」をご参照ください。以下の考慮事項も適用されます。
既存のオフィスネットワークをお持ちの場合は、利便性オフィスネットワークを CEN インスタンスにアタッチしてください。
AD システムが Elastic Compute Service(ECS)インスタンス上で動作している場合、AD サーバーの VPC を CEN インスタンスにアタッチしてください。AD システムがオンプレミスサーバー上で動作している場合、オンプレミスネットワークをクラウドに接続し、エンタープライズ AD オフィスネットワークを作成して AD ドメインを構成してください。
アカウントの作成については、「簡便アカウントを作成する」または「エンタープライズ AD アカウントを作成および管理する」をご参照ください。
WUYING Workspace のデスクトップおよびモバイルクライアントの両方で、SAG ソリューションがサポートされています。
ステップ 1:SAG アプリの購入と構成
このステップでは、SAG アプリインスタンス → CCN インスタンス → CEN インスタンスというネットワークチェーンを構築します。また、エンドユーザーが SAG アプリにログインするためのクライアントアカウントも作成します。
SAG アプリインスタンスを購入します。詳細については、「SAG アプリインスタンスの購入」をご参照ください。
SAG アプリインスタンスを CCN インスタンスに関連付けます。詳細については、「ネットワーク接続の設定」をご参照ください。関連付け後、SAG アプリをインストールしたデバイスは CCN インスタンス内のゲートウェイに接続可能になります。詳細については、「CCN の概要」をご参照ください。
DNS の構成は、本ステップで行うか、あるいはオンプレミスのパソコンまたはモバイル端末上で直接行うことができます。詳細については、「ステップ 2:エンタープライズ VPC の IP アドレスまたはクラウドサービスルートの構成」をご参照ください。
CCN インスタンスを CEN インスタンスに関連付けます。詳細については、「CCN インスタンスと CEN インスタンスの関連付け」をご参照ください。関連付け後、CCN インスタンス内のゲートウェイは CEN インスタンス内のリソースにアクセス可能になります。
重要対象となるオフィスネットワークの VPC が、同じ CEN インスタンスにアタッチされていることを確認してください。
エンドユーザーが SAG アプリにログインしてクラウドサービスにアクセスできるよう、クライアントアカウントを作成します。詳細については、「クライアントアカウントの作成」をご参照ください。
結果: SAG アプリインスタンスが CCN インスタンスおよび CEN インスタンスと接続され、エンドユーザーは SAG アプリにログインするためのアカウントを取得しました。
ステップ 2:エンタープライズ VPC の IP アドレスまたはクラウドサービスルートの構成
要件に応じて、以下のいずれかのソリューションを選択してください。
| ソリューション | 推奨用途 |
|---|---|
| ソリューション 1:静的 IP アドレス | エンドユーザーが手動で設定を行う必要がありません。エンタープライズ DNS サーバーに CNAME レコードが必要です。 |
| ソリューション 2:カスタム IP アドレス | エンドユーザーが WUYING Workspace クライアントにプライベートゲートウェイアドレスを手動で入力します。DNS 構成は不要です。 |
| ソリューション 3:クラウドサービスルート+DNS | トラフィックが CEN クラウドサービスを経由してルーティングされます。集中型ネットワーク制御が必要な場合や、マルチリージョンアクセスを実現したい場合に使用します。 |
ソリューション 1:エンタープライズ VPC の静的 IP アドレスの構成
オフィスネットワークのプライベートゲートウェイアドレスを取得します。
EDS Enterprise コンソール にログインします。
左側ナビゲーションウィンドウで、ネットワークとストレージ > オフィスネットワーク を選択します。
オフィスネットワーク ページで、対象のオフィスネットワークを見つけ、そのネットワーク ID をクリックします。
ネットワーク情報 セクションで、プライベートゲートウェイアドレス を見つけ、その値をコピーします。
エンタープライズ DNS サーバーで、
private.wuying.comを前ステップでコピーしたプライベートゲートウェイアドレスに指す CNAME レコードを追加します。エンドユーザーの WUYING Workspace Windows クライアントで、ネットワークアクセスモードを構成します。
重要エンタープライズ VPC の IP アドレスを構成するには、Windows クライアントのバージョンが 7.7 以降である必要があります。
Windows クライアントを開きます。
ログインページの右上隅にある設定アイコンをクリックし、接続構成 をクリックします。
接続構成 ダイアログボックスで、以下のパラメーターを設定します。
接続タイプ: Alibaba Cloud VPC を選択します。
Alibaba Cloud VPC アドレス: デフォルトアドレス を選択します。
確認 をクリックします。
結果: クライアントが private.wuying.com を自動的にプライベートゲートウェイアドレスに解決します。エンドユーザーは IP アドレスを手動で入力する必要はありません。
ソリューション 2:エンタープライズ VPC のカスタム IP アドレスの構成
オフィスネットワークのプライベートゲートウェイアドレスを取得します。
EDS Enterprise コンソール にログインします。
左側ナビゲーションウィンドウで、ネットワークとストレージ > オフィスネットワーク を選択します。
オフィスネットワーク ページで、対象のオフィスネットワークを見つけ、そのネットワーク ID をクリックします。
ネットワーク情報 セクションで、プライベートゲートウェイアドレス を見つけ、その値をコピーします。
エンドユーザーの WUYING Workspace Windows クライアントで、ネットワークアクセスモードを構成します。
重要エンタープライズ VPC の IP アドレスを構成するには、Windows クライアントのバージョンが 7.7 以降である必要があります。
Windows クライアントを開きます。
ログインページの右上隅にある設定アイコンをクリックし、接続構成 をクリックします。
接続構成 ダイアログボックスで、以下のパラメーターを設定します。
接続タイプ: Alibaba Cloud VPC を選択します。
Alibaba Cloud VPC アドレス: カスタムアドレス を選択します。
カスタムアドレス: 前ステップでコピーしたプライベートゲートウェイアドレスを入力します。
確認 をクリックします。
結果: クライアントは、エンドユーザーが手動で入力したプライベートゲートウェイアドレスを経由してクラウドコンピューターに接続します。
ソリューション 3:クラウドサービスのルーティングおよび DNS の構成
CEN インスタンスに対してクラウドサービスを構成し、CCN が EDS Enterprise にアクセスできるようにします。詳細については、「クラウドサービスへのアクセスの管理」をご参照ください。トランジットルーターは Basic Edition または Enterprise Edition を使用してください。
マルチリージョンのクラウドコンピュータへのアクセスのためには、EDS Enterprise の CIDR ブロックを
100.96.0.0/11に設定します。より詳細な設定については、「ポートの概要」をご参照ください。VPC サービスに関連付けられたドメイン名の IP アドレスは、クラウドサービスの IP アドレスと一致します。(任意)DNS 解決機能がすでに有効かどうかをテストします。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.comコマンドが IP アドレスを返した場合、DNS は正常に動作しています — 検証ステップに進んでください。IP アドレスが返されない場合は、次のステップに進んでください。
オンプレミスのパソコンで DNS を構成します(例:Windows 10)。
スタート メニューを開き、コントロールパネル を検索して開きます。
ネットワークとインターネット の下で、ネットワークと共有センター をクリックします。
左側ナビゲーションウィンドウで、アダプターの設定の変更 をクリックします。
OpenVPN に対応するネットワークアダプターを右クリックし、プロパティ を選択します。
この接続で次の項目を使用する セクションで、インターネットプロトコル バージョン 4(TCP/IPv4) をダブルクリックします。
DNS サーバーのアドレスを入力します。
優先 DNS サーバー:
100.100.2.136代替 DNS サーバー:
100.100.2.138
DNS 設定が正しく適用されたことを確認します。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com返された IP アドレスにより、DNS 構成が正しく行われていることが確認できます。
結果: オンプレミスのパソコンは、CEN クラウドサービスルートを経由してクラウドサービスのドメイン名を解決できます。
ステップ 3:接続の検証
WUYING Workspace Windows クライアントを開きます。
ログインページの右上隅にある設定アイコンをクリックし、接続構成 をクリックします。
接続構成 ダイアログボックスで、接続タイプ を Alibaba Cloud VPC に設定します。
メールアドレスに送信されたログイン認証情報を入力します(オフィスネットワーク ID または組織 ID、ユーザー名、パスワード)。その後、次へアイコンをクリックします。
リソース一覧からクラウドコンピューターを見つけ、起動して接続します。
ネットワーク要求タイムアウトのエラーが表示された場合、ネットワーク接続が確立されていません。ステップ 1 およびステップ 2 のすべてのネットワーク設定が正しく構成されているか確認し、再度ログインして再接続してください。