クラウド セキュリティ サービス (CSS) は、Edge からクラウド セキュリティ サービス サイトへのセキュアなトンネルを確立します。これにより、クラウド セキュリティ サービスへのセキュアなトラフィック フローが確保されます。
手順
- [ネットワーク サービス (Network Services)] ページで、[Edge 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Edge)] > [クラウド セキュリティ サービス (Cloud Security Service)] の順に移動し、[新規 (New)] をクリックします。
- [新規クラウド セキュリティ プロバイダ (New Cloud Security Provider)] ウィンドウで、ドロップダウン メニューからサービス タイプを選択します。VMware SD-WAN は、次の CSS タイプをサポートします。
- 汎用クラウド セキュリティ サービス (Generic Cloud Security Service)
- Symantec/Palo Alto クラウド セキュリティ サービス
注: 5.0.0 リリース以降、Palo Alto CSS は新しいサービス タイプ テンプレート「Symantec/Palo Alto クラウド セキュリティ サービス (Symantec/Palo Alto Cloud Security Service)」で設定されます。「汎用クラウド セキュリティ サービス (Generic Cloud Security Service)」で既存の Palo Alto CSS を設定しているすべてのカスタマーは、新しいテンプレート「Symantec/Palo Alto クラウド セキュリティ サービス (Symantec/Palo Alto Cloud Security Service)」に移行する必要があります。
- Zscaler クラウド セキュリティ サービス (Zscaler Cloud Security Service)
- サービス タイプとして「汎用」または「Symantec / Palo Alto」クラウド セキュリティ サービスのいずれかを選択した場合は、次の必要な詳細を設定し、[追加 (Add)] をクリックします。
オプション 説明 サービス名 (Service Name) クラウド セキュリティ サービスのわかりやすい名前を入力します。 プライマリ ポイント オブ プレゼンス/サーバ (Primary Point-of-Presence/Server) プライマリ サーバの IP アドレスまたはホスト名を入力します。 セカンダリ ポイント オブ プレゼンス/サーバ (Secondary Point-of-Presence/Server) セカンダリ サーバの IP アドレスまたはホスト名を入力します。これはオプションです。 - サービス タイプとして [Zscaler クラウド セキュリティ サービス (Zscaler Cloud Security Service)] を選択した場合は、[クラウド サービスの展開を自動化 (Automate Cloud Service Deployment)] チェックボックスを使用して、手動展開と自動化展開のいずれかを選択できます。また、Zscaler クラウドやレイヤー 7 (L7) 健全性チェックの詳細などの追加設定を行って、Zscaler サーバの健全性を判断および監視できます。
このセクションでは、SD-WAN Edge から Zscaler サービス プロバイダへの GRE または IPsec トンネルを自動的に作成する方法について説明します。[SD-WAN Edge から Zscaler への手動トンネルを設定する]
- [新規クラウド セキュリティ プロバイダ (New Cloud Security Provider)] ウィンドウに、サービス名を入力します。
- [クラウド サービスの展開を自動化 (Automate Cloud Service Deployment)] チェックボックスをオンにします。
- トンネルを確立するために GRE または IPsec プロトコルを選択します。
注: カスタマーごとに設定できる CSS Zscaler GRE トンネルの合計数は、Zscaler でのカスタマーのサブスクリプションによって異なります。デフォルト値は 100 です。
- 次の表の説明に従って、[ドメスティック プリファレンス (Domestic Preference)]、[Zscaler クラウド (Zscaler Cloud)]、[パートナー管理者ユーザー名 (Partner Admin Username)]、[パスワード (Password)]、[パートナー キー (Partner Key)]、[ドメイン (Domain)] などの追加の詳細を設定します。
オプション 説明 ドメスティック プリファレンス (Domestic Preference) 他の Zscaler データセンターから離れていても、IP アドレスの送信元の国の Zscaler データセンターを優先するには、このオプションを有効にします。 注: このオプションは、トンネルの確立に GRE が選択されている場合にのみ設定できます。Zscaler クラウド (Zscaler Cloud) 既存の Zscaler クラウドを使用するか、新しい Zscaler クラウドを使用するかを選択できます。既存のクラウドを使用する場合は、ドロップダウン メニューから Zscaler クラウド サービスを選択します。新しい Zscaler クラウドの場合は、テキスト ボックスに Zscaler クラウド サービス名を入力する必要があります。。 パートナー管理者ユーザー名 (Partner Admin Username) パートナー管理者のプロビジョニングされたユーザー名を入力します。 パートナー管理者パスワード (Partner Admin Password) パートナー管理者のプロビジョニングされたパスワードを入力します。 注: 4.5 リリース以降では、パスワードに特殊文字「<」を使用することはサポートされなくなりました。ユーザーが以前のリリースでパスワードに「<」を使用している場合、ページでの変更を保存するにはこの文字を削除する必要があります。パートナー キー (Partner Key) プロビジョニングされたパートナー キーを入力します。 ドメイン (Domain) クラウドサービスをデプロイするドメイン名を入力します。 サブクラウド (Sub Cloud) これは、Zscaler インターネット アクセス (ZIA) のカスタマーが、地域的な位置の目的でデータセンターのカスタム プールを持つために使用するオプションのパラメータです。 注: トンネルの確立に IPsec が選択されている場合、このオプションは CSS Zscaler の自動展開モードで使用できます。 - [認証情報の検証 (Validate Credentials)] をクリックします。検証に成功すると、[変更の保存 (Save Changes)] ボタンが有効になります。
注: 新しい CSS プロバイダを追加するには、認証情報を検証する必要があります。
- オプション:Zscaler サーバの健全性を監視するには、次の [L7 健全性チェック (L7 Health Check)] の詳細を設定します。
注: [L7 健全性チェック (L7 Health Check)] 機能は、Zscaler バックエンド サーバへの HTTP 到達可能性をテストします。[L7 健全性チェック (L7 Health Check)] を有効にすると、Edge は HTTP L7 プローブを Zscaler 宛先(例:http://<zscaler cloud>/vpntest)に送信します。これは、HTTP 健全性チェックのための Zscaler のバックエンド サーバです。この方法は、ネットワーク レベルのキープアライブ(GRE または IPsec)の使用に対する改善点です。この方法では、Zscaler サーバのフロントエンドへのネットワーク到達可能性のみがテストされるためです。
3 回連続で再試行した後に L7 応答が受信されない場合、または HTTP エラーが発生した場合、プライマリ トンネルは「ダウン」とマークされ、Edge は Zscaler トラフィックをスタンバイ トンネル(使用可能な場合)にフェイルオーバーしようとします。Edge が Zscaler トラフィックをスタンバイ トンネルに正常にフェイルオーバーすると、スタンバイが新しいプライマリ トンネルになります。
まれに、L7 健全性チェックでプライマリ トンネルとスタンバイ トンネルの両方が「ダウン」としてマークされた場合、Edge は条件付きバックホール ポリシー(そのようなポリシーが設定されている場合)を使用して Zscaler トラフィックをルーティングします。
Edge はプライマリ トンネル経由でのみ L7 プローブをプライマリ サーバに送信し、スタンバイ トンネル経由では送信しません。
オプション 説明 L7 健全性チェック (L7 Health Check) このチェックボックスをオンにして、Zscaler クラウド セキュリティ サービス プロバイダの L7 健全性チェックを有効にします。デフォルトのプローブ詳細(HTTP プローブ間隔 = 5 秒、再試行回数 = 3、RTT しきい値 = 3,000 ミリ秒)が使用されます。デフォルトでは、[L7 健全性チェック (L7 Health Check)] は無効です。 注: 健全性チェック プローブの詳細の設定はサポートされていません。注: 特定の Edge/プロファイルでは、ユーザーはネットワーク サービスで設定された L7 健全性チェック パラメータを上書きできません。HTTP プローブ間隔 (HTTP Probe Interval) 個々の HTTP プローブ間の間隔の長さ。デフォルトのプローブ間隔は 5 秒です。 再試行回数 (Number of Retries) クラウド サービスがダウンとマークされる前に許可されるプローブの再試行回数を指定します。デフォルト値は 3 です。 RTT しきい値 (RTT Threshold) 往復時間 (RTT) しきい値は、ミリ秒単位で表され、クラウド サービスの状態を計算するために使用されます。測定された RTT が設定されたしきい値を超えると、クラウド サービスはダウンとマークされます。デフォルト値は 3000 ミリ秒です。 Zscaler ログイン URL (Zscaler Login URL) ログイン URL を入力し、[Zscaler にログイン (Login to Zscaler)] をクリックします。これにより、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。 注: Zscaler ログイン URL を入力すると、 [Zscaler にログイン (Login to Zscaler)] ボタンが有効になります。 - Orchestrator から Zscaler 管理ポータルにログインする場合は、Zscaler ログイン URL を入力し、[Zscaler にログイン (Login to Zscaler)] をクリックします。これにより、選択した Zscaler クラウドの Zscaler 管理ポータルにリダイレクトされます。
注: Zscaler ログイン URL を入力すると、 [Zscaler にログイン (Login to Zscaler)] ボタンが有効になります。
注: Zscaler CSS の自動展開の詳細については、『 Zscaler および VMware SD-WAN デプロイ ガイド』を参照してください。注: IPsec VPN トンネルの確立に使用する最適なデータセンターの仮想 IP アドレス (VIP) が、Zscaler によってどのように決められるかについては、 IPsec VPN トンネルのプロビジョニングのための SD-WAN API 統合を参照してください。このセクションでは、SD-WAN Edge から Zscaler サービス プロバイダへの GRE または IPsec トンネルを手動で作成する方法について説明します。自動トンネルとは異なり、手動トンネルを設定するには、トンネルを起動するためのトンネルの宛先を指定する必要があります。
- [新規クラウド セキュリティ プロバイダ (New Cloud Security Provider)] ウィンドウに、サービス名を入力します。
- プライマリ サーバの IP アドレスまたはホスト名を入力します。
- オプションで、セカンダリ サーバの IP アドレスまたはホスト名を入力できます。
- ドロップダウン メニューから Zscaler クラウド サービスを選択するか、Zscaler クラウド サービス名をテキスト ボックスに入力します。
- 必要に応じてその他のパラメータを設定し、[変更の保存 (Save Changes)] をクリックします。
注: サービス タイプとして Zscaler クラウド セキュリティ サービスを選択して GRE トンネルの割り当てを計画している場合は、GRE がホスト名をサポートしていないため、ホスト名ではなく、IP アドレスのみを [プライマリ サーバ (Primary Server)] と [セカンダリ サーバ (Secondary Server)] に入力することをお勧めします。
結果
次のタスク
クラウド セキュリティ サービスをプロファイルまたは Edge に関連付けます。
