SD-WAN Orchestrator を使用して VMware Secure Access サービスを展開するには、次の手順を実行します。
前提条件
- Workspace ONE UEM で必要な設定を完了したことを確認します。詳細については、VMware Secure Access の展開の開始を参照してください。
- SD-WAN Orchestrator で Secure Access の PoP の最大数を設定したことを確認します。最大数は、SD-WAN Orchestrator に展開された VMware SASE PoP の数によって異なります。PoP の最大数を設定するには、[設定 (Configure)] > [カスタマー (Customer)] > [カスタマー設定 (Customer Configuration)] > [サービス アクセス (Service Access)] に移動します。
手順
- [リモート アクセス (Remote Access)] ウィザードの [UEM 設定 (UEM Configuration)] 画面で、次の設定を完了します。
- [DNS 名 (DNS Name)] フィールドに、Workspace ONE UEM トンネルの設定時に指定したホスト名を入力します。VMware Secure Access の展開の開始の手順 4 を参照してください。
- [UEM URL] フィールドに、ご利用の UEM 環境に関連した Workspace ONE UEM API URL を入力します。
- [UEM 組織グループ ID (UEM Org Group ID)] フィールドに、Workspace ONE UEM の設定時に作成した組織グループ ID を入力します。VMware Secure Access の展開の開始の手順 1 を参照してください。
- [WS1 UEM 認証情報 (WS1 UEM Credentials)] セクションに、Workspace ONE UEM Console で管理者アカウントを作成するときに設定したユーザー名とパスワードを入力します。VMware Secure Access の展開の開始の手順 2 を参照してください。
- [はい (Yes)] チェック ボックスを選択して、作成した組織グループ内で UEM トンネル ホスト名を設定します。
- [チェック (Check)] をクリックします。
入力した詳細を検証するために、UEM サーバに API 呼び出しが実行されます。検証に成功したら、 [次へ (Next)] をクリックします。
- [リモート アクセス (Remote Access)] ウィザードの [エンタープライズとネットワークの設定 (Enterprise and Network settings)] 画面で、次の設定を完了します。
- [エンタープライズ DNS サーバ (Enterprise DNS Server)] ドロップダウン リストから、エンタープライズ用に設定されている必要な DNS サーバを選択します。デフォルトは、[Google] または [OpenDNS] です。
- [SD-WAN セグメント (SD WAN Segment)] ドロップダウン リストから、[Secure Access] サービスを有効にする必須セグメントを選択します。デフォルトは、[グローバル セグメント (Global Segment)] です。
- [エンタープライズ IP 範囲 (Enterprise IP Ranges)] に、次の詳細を入力します。
- [カスタマー サブネット (Customer Subnet)]:これはカスタマーが所有するサブネットで、ネットワークにアクセスするときにリモート ユーザーが使用します。このカスタマー サブネットはスーパー ネットとして機能し、ユーザーが展開用に設定した数の SASE PoP に分割および配布されます(最大で 5 つの PoP を設定できます)。
- [サブネット ビット (Subnet Bits)]:1 ~ 3 のサブネット ビットを設定して、カスタマー サブネットを PoP に割り当てることができる個別のサブネットに分割します。
次の表は、カスタマー サブネットとサブネット ビットの関係を示しています。
選択したサブネット ビットの数によって、カスタマー サブネットから作成されるサブネットの数が決まります。上記の表で説明したように、設定する場合は次のようになります。カスタマー サブネット サブネット ビット サブネットの数 PoP あたりのサブネット数 10.10.1.0/24 1 2 - 10.10.1.0/25
- 10.10.1.128/25
10.10.1.0/24 2 4 - 10.10.1.0/26
- 10.10.1.64/26
- 10.10.1.128/26
- 10.10.1.192/26
10.10.1.0/24 3 8 - 10.10.1.0/27
- 10.10.1.32/27
- 10.10.1.64/27
- 10.10.1.96/27
- 10.10.1.128/27
- 10.10.1.160/27
- 10.10.1.192/27
- 10.10.1.224/27
- 1 つのサブネット ビット:カスタマー サブネットは 2 つのサブネットに分割され、2 つの PoP に割り当てることができます。
- 2 つのサブネット ビット:カスタマー サブネットは 4 つのサブネットに分割され、4 つの PoP に割り当てることができます。
- 3 つのサブネット ビット:カスタマー サブネットは 8 つのサブネットに分割され、最大 5 つの PoP に割り当て可能で、3 つのサブネットは未割り当てのままになります。
次の図は、カスタマー サブネットとサブネット ビットの関係を示しています。
- [次へ (Next)] をクリックします。
- [リモート アクセス (Remote Access)] ウィザードの [PoP 選択 (PoP Selection)] 画面で、[選択したインスタンス (Selected Instance(s))] ドロップダウン リストから、トンネル サーバがインスタンス化される PoP の場所を選択します。[次へ (Next)] をクリックします。
- [リモート アクセス (Remote Access)] ウィザードの [追加のセキュリティ (オプション) (Additional Security (optional))] 画面で、Secure Access の Cloud Web Security を有効にすることができます。
Cloud Web Security が有効になっている場合、SSL (Secure Socket Layer) インスペクションのバイパス/除外ルールが [SSL インスペクション (SSL Inspection)] セクションの [CWS ポリシー (CWS Policy)] で作成されている必要があります。SSL インスペクションのデフォルトの動作では、すべての暗号化されたトラフィックを復号化します。SSL ルールの作成については、『Cloud Web Security 設定ガイド』を参照してください。このルールは、awmdm.com ドメインに送信される宛先トラフィックを対象とし、CWS がこのトラフィックを復号化しないようにします。 [次へ (Next)] をクリックします。 - [リモート アクセス (Remote Access)] ウィザードの [名前、説明、タグ (Name, Description, Tags)] 画面で、Secure Access サービスの名前を入力し、必要に応じて任意のタグまたは説明を追加して、[終了 (Finish)] をクリックします。
結果
次のタスク
デバイスを Workspace ONE Intelligent Hub アプリケーションに加入する必要があります。詳細については、デバイスを Workspace ONE Intelligent Hub に加入させるを参照してください。
