クラウド セキュリティ サービスは、Edge からクラウド セキュリティ サービス サイトへのセキュアな トンネルを確立します。これにより、クラウド セキュリティ サービスへのセキュアなトラフィック フローが確保されます。

クラウド セキュリティ プロバイダを設定するには、次の手順を実行します。

手順

  1. エンタープライズ ポータルで、[設定 (Configure)] > [ネットワーク サービス (Network Services)] をクリックします。
  2. [クラウド セキュリティ サービス (Cloud Security Service)] セクションで、[新規 (New)] をクリックします。
  3. [新規クラウド セキュリティ プロバイダ (New Cloud Security Provider)] ウィンドウで、新しいクラウド セキュリティ プロバイダを設定するために必要な詳細を入力します。
    オプション 説明
    サービス名 (Service Name) クラウド セキュリティ サービスのわかりやすい名前を入力します。
    サービス タイプ (Service Type) 次のいずれかを選択します。
    • 汎用クラウド セキュリティ サービス (Generic Cloud Security Service)
    • Symantec Web セキュリティ サービス (Symantec Web Security Service)
    • Zscaler クラウド セキュリティ サービス (Zscaler Cloud Security Service)
    プライマリ ポイント オブ プレゼンス/サーバ (Primary Point-of-Presence/Server) プライマリ サーバの IP アドレスまたはホスト名を入力します。
    セカンダリ ポイント オブ プレゼンス/サーバ (Secondary Point-of-Presence/Server) セカンダリ サーバの IP アドレスまたはホスト名を入力します。これはオプションです。
    [サービス タイプ (Service Type)] として [Zscaler クラウド セキュリティ サービス (Zscaler Cloud Security Service)] を選択した場合は、Zscaler クラウドやレイヤー 7 (L7) 健全性チェックの詳細などをさらに設定して、Zscaler サーバの健全性を判断および監視できます。 [クラウド サービスの展開を自動化 (Automate Cloud Service Deployment)] チェックボックスを使用して、手動展開または自動展開を選択することもできます。
    注: Edge から Zscaler への IPsec 自動化のみがサポートされ、Edge から Zscaler への GRE 自動化は現在 4.3 リリースではサポートされていませんが、今後のリリースで使用できるようになります。
    注: 手動展開で、[サービス タイプ (Service Type)] として [Zscaler クラウド セキュリティ サービス (Zscaler Cloud Security Service)] を選択して GRE トンネルの割り当てを計画している場合は、GRE がホスト名をサポートしていないため、ホスト名ではなく、IP アドレスのみを [プライマリ サーバ (Primary Server)] と [セカンダリ サーバ (Secondary Server)] に入力することをお勧めします。
  4. クラウド サービスのデプロイを自動化することを選択した場合は、次の追加の詳細を設定します。
    注: [L7 健全性チェック (L7 Health Check)] 機能は、Zscaler バックエンド サーバへの HTTP 到達可能性をテストします。[L7 健全性チェック (L7 Health Check)] を有効にすると、HTTP L7 プローブが Edge から Zscaler 宛先(例:http://<zscaler cloud>/vpntest)に送信されます。これは、HTTP 健全性チェックのための Zscaler のバックエンド サーバです。この方法は、ネットワーク レベルのキープアライブ(GRE または IPsec)の使用に対する改善点です。この方法では、Zscaler サーバのフロントエンドへのネットワーク到達可能性のみがテストされるためです。

    3 回連続で再試行した後に L7 応答が受信されない場合、または HTTP エラーが発生した場合、プライマリ トンネルは「ダウン」とマークされ、Edge は Zscaler トラフィックをスタンバイ トンネル(使用可能な場合)にフェイルオーバーしようとします。Edge が Zscaler トラフィックをスタンバイ トンネルに正常にフェイルオーバーすると、スタンバイが新しいプライマリ トンネルになります。

    まれに、L7 健全性チェックでプライマリ トンネルとスタンバイ トンネルの両方が「ダウン」としてマークされた場合、Edge は条件付きバックホール ポリシー(そのようなポリシーが設定されている場合)を使用して Zscaler トラフィックをルーティングします。

    Edge はプライマリ トンネル経由でのみ L7 プローブをプライマリ サーバに送信し、スタンバイ トンネル経由では送信しません。

    オプション 説明
    Zscaler クラウド (Zscaler Cloud) ドロップダウン メニューから Zscaler クラウド サービスを選択するか、Zscaler クラウド サービス名をテキスト ボックスに入力します。
    パートナー管理者ユーザー名 (Partner Admin Username) パートナー管理者のプロビジョニングされたユーザー名を入力します。
    パートナー管理者パスワード (Partner Admin Password) パートナー管理者のプロビジョニングされたパスワードを入力します。
    パートナー キー (Partner Key) プロビジョニングされたパートナー キーを入力します。
    ドメイン (Domain) クラウドサービスをデプロイするドメイン名を入力します。
    L7 健全性チェック (L7 Health Check) このチェックボックスをオンにして、Zscaler クラウド セキュリティ サービス プロバイダの L7 健全性チェックを有効にします。デフォルトのプローブ詳細(HTTP プローブ間隔 = 5 秒、再試行回数 = 3、RTT しきい値 = 3,000 ミリ秒)が使用されます。デフォルトでは、[L7 健全性チェック (L7 Health Check)] は無効になっています。
    注: 健全性チェック プローブの詳細の設定はサポートされていません。
    HTTP プローブ間隔 (HTTP Probe Interval) 個々の HTTP プローブ間の間隔の長さ。デフォルトのプローブ間隔は 5 秒です。
    再試行回数 (Number of Retries) クラウド サービスがダウンとマークされる前に許可されるプローブの再試行回数を指定します。デフォルト値は 3 です。
    RTT しきい値 (RTT Threshold) 往復時間 (RTT) しきい値は、ミリ秒単位で表され、クラウド サービスの状態を計算するために使用されます。測定された RTT が設定されたしきい値を超えると、クラウド サービスはダウンとマークされます。デフォルト値は 3000 ミリ秒です。
    Zscaler ログイン URL (Zscaler Login URL) ログイン URL を入力し、[Zscaler にログイン (Login to Zscaler)] をクリックします。これにより、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。
    注: Zscaler ログイン URL を入力すると、 [Zscaler にログイン (Login to Zscaler)] ボタンが有効になります。
    注: 特定の Edge/プロファイルでは、ユーザーはネットワーク サービスで設定された L7 健全性チェック パラメータを上書きできません。
  5. [追加 (Add)] をクリックします。
  6. さらにクラウド セキュリティ サービスを設定するには、上記の手順を繰り返します。
    注: Zscaler CSS の自動化の詳細については、『 Zscaler および VMware SD-WAN デプロイ ガイド』を参照してください。
    注: IPsec VPN トンネルの確立に使用する最適なデータセンターの仮想 IP アドレス (VIP) が、Zscaler によってどのように決められるかについては、 IPsec VPN トンネルのプロビジョニングのための SD-WAN API 統合を参照してください。

結果

設定されたクラウド セキュリティ サービスは、 [ネットワーク サービス (Network Services)] ウィンドウの [クラウド セキュリティ サービス (Cloud Security Service)] 領域に表示されます。

サービスの状態は、 [監視 (Monitor)] > [ネットワーク サービス (Network Services)] > [クラウド セキュリティ サービス サイト (Cloud Security Service Sites)] > [サービスの状態 (Service Status)] から表示できます。
クラウド セキュリティ サービスのレイヤー 7 (L7) 健全性チェックの統計情報を表示するには、 [監視 (Monitor)] > [Edge (Edges)] に移動します。

次のタスク