APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > Zscaler > 【Zscaler】サブクラウドの機能と利用方法について

【Zscaler】サブクラウドの機能と利用方法について

Zscaler ゼロトラスト ZIA
See More

目次

はじめに

こんにちは、エーピーコミュニケーションズ iTOC事業部BzD部0-WANの柳田です。
通常、Zscaler利用時のユーザのトラフィックは最も近いデータセンター(以下、DC)に転送されますが、企業によっては特定のDCに接続させたいなどの要件があるかと思います。そこで利用するのがサブクラウド(Subclouds)と呼ばれる機能です。
今回はサブクラウドの機能と利用方法について紹介します。

サブクラウドとは

サブクラウドとはZIA Public Service Edge(以下、ZIA PSE)のサブセット(部分集合)とヘルプに記載されています。 世界中に展開されているZIA PSEを任意にグループ化することで、ユーザの接続先を特定のDCのみに限定することが可能になります。

サブクラウドについて
サブクラウドについて

ユースケースの一例としては、海外拠点のユーザを自国のDCに接続させることが考えられます。
例えば韓国と台湾に展開されているDCは「Regional Surcharge」となっており、設定を行わない限りユーザが接続することはありません。
「Regional Surcharge」のDCをサブクラウドに含めることで、通常時では接続できないDCにも接続することも可能になります。
※Regional Surchargeの詳細については後述
参考:https://help.zscaler.com/ja/zia/understanding-subclouds

サブクラウドの作成方法

サブクラウドを利用するにはZscalerサポートへのプロビジョニング依頼が必要になります。
必要な情報と制限事項は以下となり、問題が無ければ依頼をしてから2~3営業日でプロビジョニングが完了します。

  • サブクラウド名
  • サブクラウドを構成するDC
    サブクラウド名の制限
    サブクラウド名の制限

上述したように「Regional Surcharge」と記載されているDCは設定をしない限り、ユーザが接続することはありません。
それに伴い「Auto Geo Proximity Enabled」のマークも「Regional Surcharge」のDCには付いていません。
「Regional Surcharge」のDCの利用可否はご利用中のライセンスによって異なるので、Zscaler社に相談することをお勧めします。  

利用できるDCについて
利用できるDCについて

サブクラウドを構成するためのDCは以下のページから確認することができます。
※リンクの「zscalerthree」の箇所はご利用の環境によって異なります。
参考:https://config.zscaler.com/zscalerthree.net/cenr

こちらのページからは視覚的にデータセンターの場所が閲覧できるようになっています。
※リンクの「zscalerthree」の箇所はご利用の環境によって異なります。
参考:https://trust.zscaler.com/zscalerthree.net/data-center-map

サブクラウドの利用方法

サブクラウドがプロビジョニングされたかは「ZIA管理ポータル > Administration > Subclouds」から確認することができます。

サブクラウドの確認
サブクラウドの確認

実際にサブクラウドを利用するにはPACファイルでの設定が必要になります。
PACファイルの設定は「ZIA管理ポータル > Administration > Hosted PAC Files」から行います。
デフォルトで記載されているPACファイルのreturn文を確認すると以下のようになっています。

return "PROXY ${GATEWAY_FX}:80; PROXY ${SECONDARY_GATEWAY_FX}:80; DIRECT";

サブクラウドを利用する場合はコードを以下のように書き換えます。

//サブクラウド名が「apc」、Zscalerクラウド名が「zscalerthree」の場合
return "PROXY ${GATEWAY.apc.zscalerthree.net_FX}:80; PROXY ${SECONDARY.GATEWAY.apc.zscalerthree.net_FX}:80; DIRECT";

作成したPACファイルを「ZCC管理ポータル > App Profile > Windows」から任意のApp Profileに設定をすれば完了です。

PACファイルの設定
PACファイルの設定

検証

日本、韓国、台湾のDCを含めたサブクラウドを作成し、実際に利用できるか検証します。
日本のDCに接続してしまうとサブクラウドを利用しているのか判断できないため、一時的に無効にします。

DCの無効化
DCの無効化

以下のサイトにアクセスし、接続しているDCを確認します。
参考:https://ip.zscaler.com/

地理的に一番近いソウルDCに接続し、想定通りに動作していることが確認できました。

接続先DCの確認
接続先DCの確認

まとめ

サブクラウドの機能とユースケースの一例を紹介しました。 国内拠点のみであれば利用するケースはほとんどないかもしれませんが、グローバルに拠点を展開している企業であれば、利用する場面が出てくるかと思います。 最後までお読みいただきありがとうございました!

0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。 ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。 お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。

www.ap-com.co.jp