2024/8/5 作成
特定のサービスのみをエッジサービス経由にする
クライアントへのSecureEdge Access エージェントのインストールおよび、エンロールメントは完了しているものとする。
SecureEdge側の設定
エッジサービスの作成
インフラストラクチャ > Edge Service
入口の作成
アクセス > 入口
カスタムアプリケーションを作成(エッジサービスを通過させたいサービスがプリセットされている場合は不要)
セキュリティポリシー > アプリとリソース
セキュリティ ポリシー > ゼロトラストアクセス
ここでは、リソースタイプが重要で、プリセットされているものは「パブリックエンドポイント」で、カスタムアプリケーション(アプリとリソースで作成)は「社内リソース」を選択する。
エージェント側(クライアント側)の確認
エージェントが起動していない場合のアクセス結果
エージェントの設定画面を表示して、「トラブルシューティング」でカスタムアプリケーションとして登録した「確認くんのURL」を入力してチェックし、すべてがグリーンになることを確認。
実際の動作としては、確認くん(www.ugtop.com)の名前解決をすると、エージェントが動作していないときには、219.94.129.26が返りますが、エージェントが正しく動作すると 192.18.0.5といった内部動作のアドレスが返り、エージェントとエッジサービス間で接続されている TINAトンネル(Barracudaの IPSec拡張プロトコルを TINAと呼んでいます。)を通じてアクセスが行われます。
エッジサービスとエージェントに情報が伝搬するまで少し時間がかかりますが、正常に伝搬が完了すると、確認くんへのアクセスが、エッジサービスのアドレスを使って実施されます。
エージェントのトラブルシューティング機能
これを使うとどこでアクセスに問題が発生しているのかわかります。
例:Testing tunnel is connected :これはエージェントとエッジサービス間でトンネルが張れていることを意味します。
この中で、リソース登録されていないURLをチェックすると、Resolve given domainが×となります。
正しくは、192.18.0.xといった、SecureEdgeの内部IPアドレスが返ってくる必要があるのですが、グローバルの正規のIPアドレスが返ってきた場合エラーとなります。
確認は以上となります。