ビュー:

Zero Trust Secure Accessの内部アプリケーションは、重複するIPアドレスを共有することはできません。競合がどのように検出されるか、どのような種類の競合が発生する可能性があるか、そしてそれをどのように解決するかを学びましょう。

Zero Trust Secure Accessは、内部アプリケーションを構成する際に重複するIPアドレスをサポートしていません。内部アプリケーションは個別にセグメント化されたネットワークであるべきであり、異なる内部アプリケーションは重複するIP範囲を持つべきではありません。これは、ルーティングの競合を防ぎ、アプリケーションへの信頼性の高いアクセスを確保するためのシステム要件です。
Zero Trust Secure Accessは、次の分析によって自動的に競合を検出します:
  • IPアドレス (単一IP、範囲、またはCIDRブロック)
    ドメイン (単一FQDN、ワイルドカードFQDN)
  • ポート番号
  • プロトコル (TCP/UDP)
  • コネクタグループの割り当て
アプリケーションの競合は、予測不可能なトラフィックルーティング、接続障害、またはトラフィックが誤ったアプリケーションに向けられる原因となる可能性があります。
内部アプリケーションを追加すると、既存の内部アプリケーションと1つ以上の競合が発生する可能性があります。Zero Trust Secure Accessは内部環境をスキャンし、競合するアプリケーションを一覧表示します。

IPアドレス形式のサポート

システムは3つのIPアドレス形式をサポートしています:

形式
説明
単一IP
192.168.1.10
個別のIPアドレス
複数のIP
192.168.1.10, 192.168.1.20
複数のIPアドレス
IP範囲
192.168.1.1-192.168.1.10
連続するIPアドレスの範囲
CIDRブロック
192.168.1.0/24
ネットワークブロック (192.168.1.0から192.168.1.255までをカバー)

FQDN形式サポート

形式
説明
単一FQDN
app.example.com
個別のFQDN (完全修飾ドメイン名)
複数のFQDN
app.example.com,
app1.example.com,
app2.example.com
複数の完全修飾ドメイン名
ワイルドカードFQDN
8.example.com
example.comのすべてのサブドメインを表すワイルドカードドメイン
FQDNの競合検出は[exact string matching]を使用します。ワイルドカードFQDN (*.example.com) と単一FQDN (app.example.com) は同じドメインに一致する可能性がありますが、[exact FQDN always takes priority]はワイルドカードよりも優先されます。これは予測可能な動作であり、[not]競合ではありません。ワイルドカードFQDN (例えば、*.example.com) と単一FQDN (例えば、app.example.com) は別々の独立したエントリとして扱われ、互いに競合しません。

アプリケーション競合の種類

  1. 異なるコネクターグループの競合:
    • When it happens: ポートやプロトコルに関係なく、異なるコネクターグループ内でIPアドレスが重複しているアプリケーション。
    • 影響: トラフィックルーティングが予測不可能になります。システムは重複するIPに対してどのコネクターグループがトラフィックを処理すべきかを判断できず、次のような結果を招く可能性があります。
      • トラフィックが誤ったアプリケーションにルーティングされています
      • 接続エラー
  2. 同じコネクターグループの競合:
    • When it happens: 同じコネクターグループ内で、IPアドレスとポートが重複し、同じプロトコルを使用しているアプリケーション。
    • 影響: トラフィックはルールの優先順位に基づいて処理されます。優先度の高いルールが先に処理されます。これにより次のような結果が生じる可能性があります。
      • 意図しないアプリケーションへのトラフィックの転送
      • ルールの順序によってアプリケーションアクセスが不一致になる
      • 接続問題のトラブルシューティングが困難

競合を解決する方法

各アプリケーションに固有のIPアドレスまたは重複しない範囲を割り当ててください。
  • For single IP addresses: 別の重複しないIPアドレスを使用してください。
  • For IP ranges: 重複するアドレスを除外するように範囲を調整してください。
  • For CIDR blocks: 重複しない、より具体的または異なるCIDRブロックを使用してください。
アプリケーションが同じコネクターグループにある場合、アプリケーションを異なるポートで使用するように設定してください。
  • 1つのアプリケーションのTCPポートを変更して重複を避ける。
  • 1つのアプリケーションのUDPポートを変更して重複を避ける。
  • 重複するポートには異なるプロトコル (TCP対UDP) を使用してください。
同じコネクターグループ内で意図的に重複するIPアドレスを設定する場合、ルールの優先順位を確認してください (高度な設定、同じコネクターグループのみ):
  1. [Zero Trust Secure Access] > [Private Access] > [ルール] に移動します。
  2. 内部アプリケーションルールの優先順位を確認してください。
  3. ルールの優先順位が予想されるトラフィック処理と一致していることを確認してください。
  4. 必要に応じてルールの優先順位を調整し、トラフィックが意図したアプリケーションに向かうようにしてください。
  • 特定または制限的なルールを優先度高く設定し、より広範な許可ルールを優先度低く設定してください。
    注意
    注意
    このアプローチには慎重な計画と継続的なメンテナンスが必要です。

ベストプラクティス

  • Network planning
    • Plan your IP address scheme: アプリケーションを追加する前に、潜在的なアプリケーションの競合を最小限に抑えるためにIPアドレスの割り当てを計画してください。
    • Use unique IP addresses when possible: 可能な場合は、異なるグループのアプリケーションにユニークなIPアドレスを割り当ててください。
    • Use network segmentation: 独立したネットワークセグメント用に個別のコネクタを展開します (例えば、互いに通信できない別々のVLAN)。
    • Connector placement: コネクタを、公開するサービスと同じVLAN/ネットワークセグメント内にデプロイしてください。
    • Connector group assignment: サービスと同じVLANに展開されたコネクターグループにアプリケーションを割り当てます。
    • Use logical grouping: 重複するIPが必要になる可能性があるが、異なるポートを使用する関連アプリケーションをグループ化します。
    • Document your IP address allocations: どのIPアドレスがどのアプリケーションで使用されているかのドキュメントを維持します。
  • Configuration guidelines
    • Start with unique IPs: まずは常にユニークなIPアドレスを使用するようにしてください。
    • Avoid unnecessary overlaps: 重複する設定は必要な場合にのみ使用してください。
    • Port planning: 同じグループ内で、同じIPアドレスを使用する際にポートの重複を避けるように計画してください。
    • Test thoroughly: 設定変更後にトラフィックが正しくルートされることを確認してください。
    • Monitor regularly: ルールの優先順位とトラフィックパターンを定期的に確認してください。
    • Review rule priorities: 同じコネクターグループで意図的に重複するIP構成を使用する場合、アクセス要件に合致するようにルールの優先順位を定期的に確認してください。