はじめに
こんにちは!
BBSakura Networks でネットワークエンジニアしています大野木です。
9 月 26 日に OCX のサービスとして SaaS Connection をリリースしました。
https://www.bbsakura.net/ja/information/press/ocx-2024-09-26-01
この SaaS Connection を使用すると、お客さまは OCX 網内からインターネットを経由せずに指定の SaaS に接続できます。
SaaS を使用したいが、社内のセキュリティポリシー上、インターネット接続を許容できないといったお客さまのニーズにお応えするべく、SaaS Connection は開発されました。
この記事では、SaaS Connection の使用方法についてご紹介します。
また、BBSakura Networks Advent Calendar 2024 の 13 日目の記事となります。
事前情報
SaaS Connection の接続構成例と実際の使用方法についてご紹介する前に、SaaS Connection の特徴、接続先、設定項目について事前情報の確認をします。
SaaS Connection の特徴
SaaS Connection は、次の特徴があります。
- 指定の SaaS 事業者への閉域接続を NAT 機能(SNAT)とともに提供している
- OCX リソースの VC とアタッチできる
- IPv4 のみ対応している
- SaaS への名前解決は別に用意する必要がある
- お客さま CPE や OCX Router (v1) とは eBGP を使用して接続する
SaaS Connection の接続先
SaaS Connection の接続先として、現在( 2024/12/13 時点)では以下になります。
- Cybozu
- Microsoft Azure Peering Service (以下 MAPS と略する) *1
今後もさらに SaaS Connection の接続先は追加されますので、 より便利にご利用頂けると考えています。
SaaS Connection の設定項目
SaaS Connection では、次の設定項目を入力し SaaS Connection リソースを作成します。
- 名前: OCX ポータル上で表示される SaaS Connection リソース名
- ロケーション: SaaS Connection が作成されるロケーション
- 接続先 SaaS : 接続する SaaS 事業者名
- IPv4 ゲートウェイアドレス:お客さまのネットワークから SaaS へと接続するデフォルトゲートウェイの IP アドレス
- NAT IP アドレス:SaaS 接続時に SNAT するための変換用グローバル IP アドレス
- ローカル ASN : SaaS Connection で動作させる AS 番号
SaaS Connection を作成後、お客さまの CPE や OCX-Router(v1)と接続するために、BGP Parameter を設定します。
- BGP Parameter:SaaS Connection で BGP 機能を使うための設定項目(ローカルアドレス、リモートアドレス、リモート ASN)
「IPv4 ゲートウェイアドレス」と「NAT IP アドレス」の詳細については、Internet Gateway サービス解説 に詳細な記載がありますので、ぜひご覧ください。
SaaS Connection の使用方法
実際に SaaS Connection を使用する手順を説明します。使用する手順を項目で記載すると次のようになります。
- OCX の他のリソース準備を行なう
- Physical Port、VCI、VC 作成しアタッチする
- SaaS Connection を使用する
- SaaS Connection を使用する構成を検討する
- SaaS Connection を作成する
- SaaS Connection の BGP Parameter 作成
- (オプション) OCX-Router(v1)を作成する
- インタフェースを作成する
- OCX-Router(v1 の BGP Parameter 作成
- SaaS Connection を接続したい VC へアタッチする
1 については、OCX の他リソースの説明も含みますので、今回のご説明では省略します。適宜、 ドキュメントサイト をご覧ください。
2 については、次の章で構成例と BGP Prameters の例を示しながら、説明していきます。
SaaS Connection を使用した構成例
SaaS Connection を使用する際の構成例について説明します。
代表的な構成例として、
- ①お客さま用意の CPE と SaaS Connection が BGP 接続を行なう構成
- ② OCX-Router(v1) を使用した構成
ポイントとしては、SaaS Connection の特徴でもご説明した通り、eBGP 接続を使ってお客さま CPE や OCX-Router(v1) と通信を行なうため、事前に BGP の設計を考えておくことが重要になります。
また、OCX-Router(v1) を BGP 接続の集約ポイントとしてご使用いただくことで、OCX の他のリソースである Cloud Connection とも接続が容易なため、おすすめです。
今回の説明では、②の構成で CPE と OCX-Router(v1)間を BGP 接続した構成を使用して、SaaS Connection の使用方法について説明していきます。
次の章で、構成例②を実際に設定項目を記述しながら説明します。
BGP Parameter の設定例
BGP Parameter を次の項目のように決定し、SaaS Connection と OCX-Router(v1) を作成、BGP Parameter の設定をします。
例
- SaaS Connection に関しての設定
- SaaS Connection 作成時に設定入力
- ローカル ASN: 65002
- BGP Parameter 作成時に設定入力
- リモート ASN: 65000
- ローカルアドレス: 10.70.0.1
- リモートアドレス: 10.70.0.2
- SaaS Connection 作成時に設定入力
- OCX-Router(v1) に関しての設定
- OCX-Router(v1)作成時に設定入力
- ローカル ASN: 65000
- (CPE 向け)インタフェース作成時に設定入力
- ローカル IPv4 アドレス: 10.70.0.1
- (SaaS Connection 向け)インタフェース作成時に設定入力
- ローカル IPv4 アドレス: 10.90.0.2
- (CPE 向け) BGP Parameter 作成時に設定入力
- リモート ASN: 65001
- ローカルアドレス: 10.70.0.1
- リモートアドレス: 10.70.0.2
- (SaaS Connection 向け) BGP Parameter 作成時に設定入力
- リモート ASN: 65002
- ローカルアドレス: 10.90.0.2
- リモートアドレス: 10.90.0.1
- OCX-Router(v1)作成時に設定入力
- CPE に関しての設定
- CPE 側の仕様にあわせて設定
- ローカル ASN: 65001
- リモート ASN: 65000
- ローカルアドレス: 10.70.0.2
- リモートアドレス: 10.70.0.1
- CPE 側の仕様にあわせて設定
SaaS Connection と OCX-Router(v1) を作成後、画像の構成例に従って SaaS Connection 等を VC にアタッチします。
アタッチが終了すれば、SaaS Connection を使用する準備は整いました。
SaaS Connection の動作確認
最後に、これまで紹介した構成例に Ubuntu Desktop を接続して、どのような動作になるか確認していきます。
次の図のように、Ubuntu Desktop を CPE に接続します。
また、SaaS Connection では、名前解決は別に用意する必要があります。今回は、CPE 側で Ubuntu Desktop 用の 名前解決用に Google Public DNS (8.8.8.8) 向けへの疎通性を別に用意しました。
今回は、SaaS Connection (Cybozu) を使用しているので、試しに store.cybozu.com にブラウザからのアクセスできるかを試します。
無事に、store.cybozu.com にアクセスできました。
また、コンソールより traceroute の結果を見ても、本日紹介した構成例に従って、ルートを通っていることがわかります。
bbix@bbix-virtual-machine:-$ tracepath -n store.cybozu.com 1?: [LOCALHOST] pmtu 1500 1: 192.168.112.1 0.976ms 1: 192.168.112.1 0.862ms 2: 10.70.0.1 1.329ms 3: 10.90.0.1 1.075ms asymm 4 4: 10.249.77.0 1.547ms 5: 10.249.76.80 2.144ms 6: 101.203.88.167 3.416ms 7: 103.79.12.54 2.851ms 8: no reply 9: no reply
また、違うサイトに閲覧できないことも確認します。例として、Wikipedia のメインページにアクセスします。
問題なくアクセスできないことが確認できました。
おわりに
この記事では OCX の新サービスである SaaS Connection の使用方法について解説しました。
SaaS Connection は今後も機能強化していく予定ですので、楽しみにお待ちください。
もし、今回の記事を通して OCX のご利用に興味を持たれましたら、弊社までお問い合わせください!また、不明点などもありましたら遠慮なくお知らせくださいませ。
*1:MAPSとは、Microsoft が提供する「Microsoft Cloud」(「Microsoft Teams」「Microsoft 365」「Dynamics 365」「Azure」などのクラウドサービスの総称)へ直接接続を行なうことで、品質を強化するネットワークサービスです。
*2:今回の構成例では、説明簡略化のため冗長構成を省略して記述しております。
*3:②の構成の注意点として、CPE と OCX-Router(v1)間を Static Route で経路設定をした場合、OCX-Router(v1)の「Connected と Static Routes の経路再配布」機能を使用することを忘れないようにしてください。