SaaS Connection を使用してみる

アドベントカレンダー2024 OCX

はじめに

こんにちは!

BBSakura Networks でネットワークエンジニアしています大野木です。

9 月 26 日に OCX のサービスとして SaaS Connection をリリースしました。

https://www.bbsakura.net/ja/information/press/ocx-2024-09-26-01

この SaaS Connection を使用すると、お客さまは OCX 網内からインターネットを経由せずに指定の SaaS に接続できます。

SaaS を使用したいが、社内のセキュリティポリシー上、インターネット接続を許容できないといったお客さまのニーズにお応えするべく、SaaS Connection は開発されました。

この記事では、SaaS Connection の使用方法についてご紹介します。

また、BBSakura Networks Advent Calendar 2024 の 13 日目の記事となります。

事前情報

SaaS Connection の接続構成例と実際の使用方法についてご紹介する前に、SaaS Connection の特徴、接続先、設定項目について事前情報の確認をします。

SaaS Connection の特徴

SaaS Connection は、次の特徴があります。

  • 指定の SaaS 事業者への閉域接続を NAT 機能(SNAT)とともに提供している
  • OCX リソースの VC とアタッチできる
  • IPv4 のみ対応している
  • SaaS への名前解決は別に用意する必要がある
  • お客さま CPE や OCX Router (v1) とは eBGP を使用して接続する

SaaS Connection の接続先

SaaS Connection の接続先として、現在( 2024/12/13 時点)では以下になります。

  • Cybozu
  • Microsoft Azure Peering Service (以下 MAPS と略する) *1

今後もさらに SaaS Connection の接続先は追加されますので、 より便利にご利用頂けると考えています。

SaaS Connection の設定項目

SaaS Connection では、次の設定項目を入力し SaaS Connection リソースを作成します。

  • 名前: OCX ポータル上で表示される SaaS Connection リソース名
  • ロケーション: SaaS Connection が作成されるロケーション
  • 接続先 SaaS : 接続する SaaS 事業者名
  • IPv4 ゲートウェイアドレス:お客さまのネットワークから SaaS へと接続するデフォルトゲートウェイの IP アドレス
  • NAT IP アドレス:SaaS 接続時に SNAT するための変換用グローバル IP アドレス
  • ローカル ASN : SaaS Connection で動作させる AS 番号

OCX ポータル上での SaaS Connection (Cybozu)の作成画面
SaaS Connection (Cybozu)の作成画面

SaaS Connection を作成後、お客さまの CPE や OCX-Router(v1)と接続するために、BGP Parameter を設定します。

  • BGP Parameter:SaaS Connection で BGP 機能を使うための設定項目(ローカルアドレス、リモートアドレス、リモート ASN)

SaaS Connection の BGP Parameter の設定後の画面
SaaS Connection の BGP Parameter の設定後の画面

「IPv4 ゲートウェイアドレス」と「NAT IP アドレス」の詳細については、Internet Gateway サービス解説 に詳細な記載がありますので、ぜひご覧ください。

SaaS Connection の使用方法

実際に SaaS Connection を使用する手順を説明します。使用する手順を項目で記載すると次のようになります。

  1. OCX の他のリソース準備を行なう
    • Physical Port、VCI、VC 作成しアタッチする
  2. SaaS Connection を使用する
    • SaaS Connection を使用する構成を検討する
    • SaaS Connection を作成する
      • SaaS Connection の BGP Parameter 作成
    • (オプション) OCX-Router(v1)を作成する
      • インタフェースを作成する
      • OCX-Router(v1 の BGP Parameter 作成
    • SaaS Connection を接続したい VC へアタッチする

1 については、OCX の他リソースの説明も含みますので、今回のご説明では省略します。適宜、 ドキュメントサイト をご覧ください。

2 については、次の章で構成例と BGP Prameters の例を示しながら、説明していきます。

SaaS Connection を使用した構成例

SaaS Connection を使用する際の構成例について説明します。

代表的な構成例として、

  • ①お客さま用意の CPE と SaaS Connection が BGP 接続を行なう構成
  • ② OCX-Router(v1) を使用した構成

の2種類が挙げられます。*2 *3

ポイントとしては、SaaS Connection の特徴でもご説明した通り、eBGP 接続を使ってお客さま CPE や OCX-Router(v1) と通信を行なうため、事前に BGP の設計を考えておくことが重要になります。

また、OCX-Router(v1) を BGP 接続の集約ポイントとしてご使用いただくことで、OCX の他のリソースである Cloud Connection とも接続が容易なため、おすすめです。

今回の説明では、②の構成で CPE と OCX-Router(v1)間を BGP 接続した構成を使用して、SaaS Connection の使用方法について説明していきます。

SaaS Connectionを使った構成を2つ例に挙げている
SaaS Connectionを使った構成例

次の章で、構成例②を実際に設定項目を記述しながら説明します。

BGP Parameter の設定例

BGP Parameter を次の項目のように決定し、SaaS Connection と OCX-Router(v1) を作成、BGP Parameter の設定をします。

  1. SaaS Connection に関しての設定
    • SaaS Connection 作成時に設定入力
      • ローカル ASN: 65002
    • BGP Parameter 作成時に設定入力
      • リモート ASN: 65000
      • ローカルアドレス: 10.70.0.1
      • リモートアドレス: 10.70.0.2
  2. OCX-Router(v1) に関しての設定
    • OCX-Router(v1)作成時に設定入力
      • ローカル ASN: 65000
    • (CPE 向け)インタフェース作成時に設定入力
      • ローカル IPv4 アドレス: 10.70.0.1
    • (SaaS Connection 向け)インタフェース作成時に設定入力
      • ローカル IPv4 アドレス: 10.90.0.2
    • (CPE 向け) BGP Parameter 作成時に設定入力
      • リモート ASN: 65001
      • ローカルアドレス: 10.70.0.1
      • リモートアドレス: 10.70.0.2
    • (SaaS Connection 向け) BGP Parameter 作成時に設定入力
      • リモート ASN: 65002
      • ローカルアドレス: 10.90.0.2
      • リモートアドレス: 10.90.0.1
  3. CPE に関しての設定
    • CPE 側の仕様にあわせて設定
      • ローカル ASN: 65001
      • リモート ASN: 65000
      • ローカルアドレス: 10.70.0.2
      • リモートアドレス: 10.70.0.1

BGP Parameter を設定した構成例
BGP Parameter を設定した構成例

SaaS Connection と OCX-Router(v1) を作成後、画像の構成例に従って SaaS Connection 等を VC にアタッチします。

アタッチが終了すれば、SaaS Connection を使用する準備は整いました。

SaaS Connection の動作確認

最後に、これまで紹介した構成例に Ubuntu Desktop を接続して、どのような動作になるか確認していきます。

次の図のように、Ubuntu Desktop を CPE に接続します。

また、SaaS Connection では、名前解決は別に用意する必要があります。今回は、CPE 側で Ubuntu Desktop 用の 名前解決用に Google Public DNS (8.8.8.8) 向けへの疎通性を別に用意しました。

Ubuntu Desktop をCPEに接続するイメージ図
Ubuntu Desktop をCPEに接続するイメージ図

今回は、SaaS Connection (Cybozu) を使用しているので、試しに store.cybozu.com にブラウザからのアクセスできるかを試します。

store.cybozu.comにアクセスが成功している図
store.cybozu.comにアクセスが成功している図

無事に、store.cybozu.com にアクセスできました。

また、コンソールより traceroute の結果を見ても、本日紹介した構成例に従って、ルートを通っていることがわかります。

bbix@bbix-virtual-machine:-$ tracepath -n store.cybozu.com
1?: [LOCALHOST]    pmtu 1500
1: 192.168.112.1    0.976ms
1: 192.168.112.1    0.862ms
2: 10.70.0.1        1.329ms
3: 10.90.0.1        1.075ms asymm 4
4: 10.249.77.0      1.547ms
5: 10.249.76.80     2.144ms
6: 101.203.88.167   3.416ms
7: 103.79.12.54     2.851ms
8: no reply
9: no reply

また、違うサイトに閲覧できないことも確認します。例として、Wikipedia のメインページにアクセスします。

Wikipedia にアクセスができない図
Wikipedia にアクセスができない図

問題なくアクセスできないことが確認できました。

おわりに

この記事では OCX の新サービスである SaaS Connection の使用方法について解説しました。

SaaS Connection は今後も機能強化していく予定ですので、楽しみにお待ちください。

もし、今回の記事を通して OCX のご利用に興味を持たれましたら、弊社までお問い合わせください!また、不明点などもありましたら遠慮なくお知らせくださいませ。

*1:MAPSとは、Microsoft が提供する「Microsoft Cloud」(「Microsoft Teams」「Microsoft 365」「Dynamics 365」「Azure」などのクラウドサービスの総称)へ直接接続を行なうことで、品質を強化するネットワークサービスです。

*2:今回の構成例では、説明簡略化のため冗長構成を省略して記述しております。

*3:②の構成の注意点として、CPE と OCX-Router(v1)間を Static Route で経路設定をした場合、OCX-Router(v1)の「Connected と Static Routes の経路再配布」機能を使用することを忘れないようにしてください。