- インターネットとSaaSへのセキュアなアクセス(ZIA)のヘルプ
- トラフィック転送
- 中国のプレミアムアクセス
- 中国でのZIA使用の管理
インターネットとSaaSへのセキュアなアクセス(ZIA)
中国でのZIA使用の管理
Zscalerの中国のプレミアム インターネット アクセス機能は、中国本土に居住するユーザーに高速で安全なインターネット アクセスを提供します。この機能により、ユーザーはSalesforce、Office 365などの国際的なサイトやアプリケーションにアクセスできます。Zscaler Private Access (ZPA)の中国プレミアム サービスをお探しの場合は、「中国でのZPA使用の管理」を参照してください。
プレミアムサービス
中国本土から海外サイトにアクセスする必要のあるユーザーには、以下のプレミアムサービスを提供します。
- 中国プレミアム
中国プレミアム サービスは、中国国内のパートナー サイトでホストされているPrivate Service Edgeを使用します。このパートナー サイトには、中国の国内インターネットへのアクセスと、国際的なWebサイトとSoftware as a Service (SaaS)アプリケーションへのプレミアム アクセスの両方を持つ、プレミアム中国インターネット サービス プロバイダー(ISP)があります。このサービスにより、中国国内のトラフィックを遮断して検査し、パートナー プレミアム ファブリックをあらゆる目的地(国内または国際)で利用できます。このサービスには、トラフィック転送の制限はありません。このサービスを使用すると、任意のエンドポイントから中国のZscalerパートナーが管理するPrivate Service Edgeへのインターネット プロトコル セキュリティ(IPSec)/汎用ルーティング カプセル化(GRE)トンネルを確立できます。このサービスは、パブリックZscalerデータ センター(DC)と同様に使用できます。
Zscalerは、パートナーのプレミアム ファブリックを管理します。
このソリューションの重要なメリットは次のとおりです。
- 共有プレミアム帯域幅
- 複数の入力トンネルが可能です(GRE/IPSec)
- Z-Tunnel 1.0
- Z-Tunnel 2.0 (任意のトラフィック、任意のポート)
- 支店でのトラフィック分割は不要
- 中国国内のトラフィックを遮断し、検査できる
- 国内および国際トラフィックへのアクセス
- 国際トラフィックは中国グレートファイアウォール(GFW)経由でルーティングされます。
- 中国の規制とSLAに準拠
- バックアップが利用可能です。有効にするには、Zscalerサポートにお問い合わせください。
サービスの有効化
お客様の組織でサービスを有効にするには、次のことが必要です。
- このサービスを購入し、Zscalerによるプロビジョニングを受けてください。
- 送信元で帯域幅を制限するか、Zscaler帯域幅コントロールを使用してトラフィックを制限します。
サービスの提供
お客様の組織でサービスをプロビジョニングするには、次のことが必要です。
Zscalerサポートチケットを開いて、GRE用の中国POPに送信元トンネルIPを提供します。
Zscalerは仮想IP(VIP)をサービスに関連付け、48時間以内にZIA Public Service Edgeに必要な変更を行います。
IPSec/GREトンネルの帯域幅制限を設定して、サービス用に購入した帯域幅を超えないようにします。
発注書で購入した帯域幅を表示できます。
- 組織がプロビジョニングされたら、VIPへのトンネルを設定します。
- Zscalerサポートと連携してトラフィックを転送し、トラフィックの流れを確認します。
中国プレミアム バックアップ
Zscalerにより、プライマリーDCの冗長性として、中国内の代替サイト(セカンダリーDC)にトラフィックを送信できるようになります。北京と上海のDCにアクセスし、ユーザーのロケーションに基づいてどちらかをプライマリーDCとして使用できます。また、いずれかのDCの割り当てをリクエストすることもできます。Zscalerは状況を確認し、適切なDCを割り当てます。プライマリーDC(北京など)に障害が発生した場合、トラフィックはセカンダリーDC(上海など)に転送されます。中国プレミアム サービス用に購入した帯域幅を超えないようにする必要があります。たとえば、北京で100Mbpsの帯域幅が必要な場合、上海と北京の全体の帯域幅が100Mbpsを超えてはなりません。
- バックアップ帯域幅は、中国プレミアム サービスを利用している場合にのみ購入できます。中国プレミアム バックアップが必要な場合は、Zscalerサポートにお問い合わせください。
- その際には必ず、北京と上海の間で帯域幅をどのように分割するかをZscalerアカウント チームに伝えるか、北京と上海に近いユーザーの分布を伝えてください。
バックアップ ソリューションを設定して展開する際には、次のことを行う必要があります。
- GRE/IPSecトンネル構成でプライマリーDCとセカンダリーDCを定義します(たとえば、北京のオフィスでトラフィックを北京のZscaler Private Service Edgeに転送する場合、それをGRE/IPSecトンネル構成のプライマリーDCとして定義し、上海をセカンダリーDCとして定義します)。
- リモート ユーザー用のPACファイルで北京DCと上海DCの両方のサブクラウドを定義します。つまり、ユーザーのロケーションに基づいて最も近いDCに接続します。
閉じる
- 中国プレミアムプラス
中国プレミアム プラス サービスは、中国国内のパートナー サイトでホストされているPrivate Service Edgeを使用します。このパートナー サイトは、中国国内のインターネットと、海外のWebサイトとSaaSアプリケーションへの専用リンクの両方にアクセスできる中国のプレミアムISPを備えています。このサービスにより、中国国内のトラフィックを遮断して検査し、パートナー プレミアム ファブリックをあらゆる目的地(国内または国際)で利用できます。このサービスには、トラフィック転送の制限はありません。このサービスは、帯域幅とユーザー数が最も多い組織に最適です。このサービスは、パブリックZscaler DCと同様に使用できます。
Zscalerは、パートナーのプレミアム ファブリックを管理します。
中国プレミアム アクセス プラスのメリットは次のとおりです。
- 専用の国際帯域幅
- 帯域幅コントロールオプション
- 複数のイングレス トンネル(GRE/IPSec)を設定できる
- Z-Tunnel 1.0
- Z-Tunnel 2.0 (任意のトラフィック、任意のポート)
- 支店でのトラフィック分割は不要
- 中国国内のトラフィックを遮断し、検査する
- 国内および国際トラフィックへのアクセス
- 中国の規制とSLAに準拠
- (省略可)コンテンツフィルタリングへの対応
- バックアップが利用可能です。有効にするには、Zscalerサポートにお問い合わせください。
サービスの有効化
お客様の組織でサービスを有効にするには、次のことが必要です。
- このサービスを購入し、Zscalerによるプロビジョニングを受けてください。
- 送信元で帯域幅を制限するか、Zscaler帯域幅コントロールを使用してトラフィックを制限します。
サービスの提供
お客様の組織でサービスをプロビジョニングするには、次のことが必要です。
Zscalerサポートチケットを開いて、GRE用の中国POPに送信元トンネルIPを提供します。
ZscalerはVIPをサービスに関連付け、48時間以内にZIA Public Service Edgeに必要な変更を行います。
IPSec/GREトンネルの帯域幅制限を設定して、サービス用に購入した帯域幅を超えないようにします。
発注書で購入した帯域幅を表示できます。
- 組織がプロビジョニングされたら、VIPへのトンネルを設定します。
- Zscalerサポートと連携してトラフィックを転送し、トラフィックの流れを確認します。
中国プレミアム プラス バックアップ
Zscalerにより、プライマリーDCの冗長性として、中国内の代替サイト(セカンダリーDC)にトラフィックを送信できるようになります。北京と上海のDCにアクセスし、ユーザーのロケーションに基づいてどちらかをプライマリーDCとして使用できます。また、いずれかのDCの割り当てをリクエストすることもできます。Zscalerは状況を確認し、適切なDCを割り当てます。プライマリーDC(北京など)に障害が発生した場合、トラフィックはセカンダリーDC(上海など)に転送されます。China Premium Plus サービス用に購入した帯域幅を超えないようにする必要があります。 たとえば、北京で100Mbpsの帯域幅が必要な場合、上海と北京の全体の帯域幅が100Mbpsを超えてはなりません。
- バックアップ帯域幅は、中国プレミアム プラス サービスを利用している場合にのみ購入できます。中国プレミアム プラス バックアップが必要な場合は、Zscalerサポートにお問い合わせください。
- その際には必ず、北京と上海の間で帯域幅をどのように分割するかをZscalerアカウント チームに伝えるか、北京と上海に近いユーザーの分布を伝えてください。
バックアップ ソリューションを設定して展開する際には、次のことを行う必要があります。
- GRE/IPSecトンネル構成でプライマリーDCとセカンダリーDCを定義します(たとえば、北京のオフィスでトラフィックを北京のZscaler Private Service Edgeに転送する場合、それをGRE/IPSecトンネル構成のプライマリーDCとして定義し、上海をセカンダリーDCとして定義します)。
- リモート ユーザー用のPACファイルで北京DCと上海DCの両方のサブクラウドを定義します。つまり、ユーザーのロケーションに基づいて最も近いDCに接続します。
閉じる
中国でのZIAの詳細は、中国でのZscaler Internet Accessの展開を参照してください。
DNSに問題があるWebサイトにアクセスするには、DNSトラフィックをZscalerに転送する必要があります。問題がDNSポイズニングとして特定された場合、Zscalerはポリシーを変更する時間を必要とします。DNSの変更については、Zscalerサポートにお問い合わせください。変更が行われるまでに最大3日かかります。