仮想ネットワークを使用してユーザーの出口IPを変更する

ノート

エンタープライズプランでのみ利用可能です。

このチュートリアルは、管理者がユーザーに割り当てられた専用出口IPアドレスの間で出口IPアドレスを変更する簡単な方法を提供します。ユーザーは、WARPクライアントから直接仮想ネットワークを切り替えることで、使用する出口IPを選択できます。

出口IPを変更することは、ユーザーがローカルの出口位置を使用し、他のリモート位置に切り替えたりシミュレートしたりする品質保証（QA）やその他の類似のシナリオで役立ちます。

始める前に

以下を確認してください：

• WARPクライアントをデプロイして、ユーザーのデバイスにインストールします。
• トンネルを構成して、プライベートネットワークをCloudflareに接続します。このチュートリアルでは、以下のことを前提としています：
  • ダッシュボードを通じて2つのトンネルを作成しました。
  • 10.0.0.0/8を1つのトンネルを通じてルーティングしました。
  • 192.168.88.0/24をもう1つのトンネルを通じてルーティングしました。
• 複数の専用出口IPアドレスを受け取っています。

各出口ルートのための仮想ネットワークを作成する

まず、専用出口IPに対応する仮想ネットワークを作成します。

ダッシュボード

1. Zero Trust ↗に移動し、設定 > WARPクライアントに進みます。
2. ネットワークの場所で、仮想ネットワークに移動し、管理を選択します。
3. 仮想ネットワークを作成を選択します。
4. 仮想ネットワークに名前を付けます。対応する専用出口IPの場所に関連する名前を使用することをお勧めします。たとえば、ユーザーがアメリカ大陸から出口する場合、仮想ネットワークをvnet-AMERと名付けることができます。
5. 保存を選択します。
6. ユーザーが切り替えることができる各専用出口IPのために、手順3-5を繰り返します。たとえば、ヨーロッパ、中東、アフリカからの出口用にvnet-EMEAという別の仮想ネットワークを作成できます。

API

1. 専用出口IPの1つに対応する仮想ネットワークを作成します。対応する専用出口IPの場所に関連する名前を使用することをお勧めします。たとえば、ユーザーがアメリカ大陸から出口する場合、仮想ネットワークをvnet-AMERと名付けることができます。

   curl https://api.cloudflare.com/client/v4/accounts/{account_id}/teamnet/virtual_networks \
   --header "Authorization: Bearer <API_TOKEN>" \
   --header "Content-Type: application/json" \
   --data '{
     "comment": "アメリカ大陸から出口するための仮想ネットワーク",
     "is_default": false,
     "name": "vnet-AMER"
   }'

   詳細については、仮想ネットワークを作成するを参照してください。

2. ユーザーが切り替えることができる各専用出口IPのために手順1を繰り返します。たとえば、ヨーロッパ、中東、アフリカからの出口用にvnet-EMEAという別の仮想ネットワークを作成できます。

各トンネルに各仮想ネットワークを割り当てる

仮想ネットワークを作成した後、プライベートネットワークCIDRを各仮想ネットワークを通じてルーティングします。これにより、ユーザーは使用する出口IPに関係なく、ネットワーク上のすべてのサービスにアクセスできるようになります。

ダッシュボード

1. ネットワーク > トンネルに移動します。
2. 10.0.0.0/8をルーティングしているトンネルを選択し、構成を選択します。
3. プライベートネットワークに移動します。10.0.0.0/8ルートを選択します。
4. 追加設定で、最初の仮想ネットワークを選択します。たとえば、vnet-AMER。
5. プライベートネットワークを保存を選択します。
6. 別の仮想ネットワークを通じて10.0.0.0/8をルーティングするには、プライベートネットワークを追加を選択します。
7. CIDRに10.0.0.0/8を入力します。追加設定で、2番目の仮想ネットワークを選択します。たとえば、vnet-EMEA。
8. プライベートネットワークを保存を選択します。
9. 作成した各仮想ネットワークのために手順6-8を繰り返します。
10. ネットワーク > トンネルに戻ります。各プライベートネットワークトンネルルートのために手順2-9を繰り返します。

API

1. 最初の仮想ネットワークをプライベートネットワークルートに割り当てます。たとえば、10.0.0.0/8をルーティングしているトンネルにvnet-AMERを割り当てます：

   curl --request PATCH \
   https://api.cloudflare.com/client/v4/accounts/{account_id}/teamnet/routes/{route_id} \
   --header "Authorization: Bearer <API_TOKEN>" \
   --header "Content-Type: application/json" \
   --data '{
     "network": "10.0.0.0/8",
     "tunnel_id": <TUNNEL_UUID>,
     "virtual_network_id": <VNET_AMER_UUID>
   }'

   詳細については、トンネルルートを更新するを参照してください。

2. 作成した各仮想ネットワークのためにこのプロセスを繰り返します。たとえば：

   curl --request PATCH \
   https://api.cloudflare.com/client/v4/accounts/{account_id}/teamnet/routes/{route_id} \
   --header "Authorization: Bearer <API_TOKEN>" \
   --header "Content-Type: application/json" \
   --data '{
     "network": "10.0.0.0/8",
     "tunnel_id": <TUNNEL_UUID>,
     "virtual_network_id": <VNET_EMEA_UUID>
   }'

3. 各プライベートネットワークトンネルルートのために手順1-2を繰り返します。

プライベートネットワークに接続された各トンネルには、各仮想ネットワークが割り当てられている必要があります。たとえば、10.0.0.0/8と192.168.88.0/24をルーティングしているトンネルがある場合、両方のトンネルにはvnet-AMERとvnet-EMEAの仮想ネットワークが割り当てられている必要があります。

トンネル	CIDR	仮想ネットワーク
トンネル1	10.0.0.0/8	vnet-AMER
	10.0.0.0/8	vnet-EMEA
トンネル2	192.168.88.0/24	vnet-AMER
	192.168.88.0/24	vnet-EMEA

仮想ネットワーク出口ポリシーを作成する

次に、Gateway出口ポリシーを使用して、各仮想ネットワークに専用出口IPを割り当てます。

ダッシュボード

1. Zero Trust ↗に移動し、Gateway > 出口ポリシーに進みます。

2. ポリシーを追加を選択します。

3. ポリシーに名前を付けます。トラフィックが出口する国または地域を含めることをお勧めします。

4. _仮想ネットワーク_セレクターを使用して仮想ネットワークを追加します。たとえば：

   セレクター	演算子	値
   仮想ネットワーク	は	vnet-AMER

5. 出口IPを選択で、専用Cloudflare出口IPを使用を選択します。トラフィックが出口する専用IPv4およびIPv6アドレスを選択します。

6. ポリシーを作成を選択します。

7. 作成した各仮想ネットワークのために手順1-6を繰り返して、別の出口ポリシーを作成します。

API

1. 対応する仮想ネットワークに一致するGateway出口ポリシーを追加します。たとえば：

   curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \
   --header "Authorization: Bearer <API_TOKEN>" \
   --header "Content-Type: application/json" \
   --data '{
     "action": "egress",
     "description": "vnet-AMERに接続して北アメリカから出口",
     "enabled": true,
     "filters": [
     "egress"
     ],
     "name": "出口 AMER vnet",
     "precedence": 0,
     "traffic": "net.vnet_id == <VNET_AMER_UUID>",
     "rule_settings": {
       "egress": {
         "ipv4": <DEDICATED_IPV4_ADDRESS>,
         "ipv4_fallback": <SECONDARY_DEDICATED_IPV6_ADDRESS>,
         "ipv6": <DEDICATED_IPV6_ADDRESS>
         }
     }
   }'

   詳細については、Zero Trust Gatewayルールを作成するを参照してください。

2. 作成した各仮想ネットワークのために手順1を繰り返して、出口ポリシーを作成します。

作成する各ポリシーは、異なる専用出口IPに対応する必要があります。

仮想ネットワーク出口をテストする

Windows、macOS、およびLinux

1. ユーザーのデバイスで、WARPクライアントにログインしてZero Trust組織に接続します。

2. ターミナルで、デフォルトの出口IPアドレスを確認するために次のコマンドを実行します。

   curl ifconfig.me -4

   コマンドは、組織のデフォルト出口IPを出力する必要があります。

3. WARPクライアントで、ギアアイコンを選択し、仮想ネットワークを選択します。作成した仮想ネットワークを選択します。

4. 再度curl ifconfig.me -4を実行して出口IPアドレスを確認します。コマンドは、出口ポリシーで指定されたIPアドレスを出力する必要があります。

iOSおよびAndroid

1. ユーザーのデバイスで、Cloudflare One AgentアプリにログインしてZero Trust組織に接続します。
2. ブラウザでifconfig.me ↗に移動します。組織のデフォルト出口IPがIPアドレスに表示されるはずです。
3. Cloudflare One Agentで、詳細 > 接続オプション > 仮想ネットワークに移動します。作成した仮想ネットワークを選択します。
4. ステップ1のブラウザページを再読み込みして出口IPアドレスを確認します。出口ポリシーで指定されたIPアドレスがIPアドレスに表示されるはずです。

ユーザーが仮想ネットワークに接続している間、トラフィックは指定された専用出口IPを通じてルーティングされます。これらの手順を繰り返して、各仮想ネットワークが正しいIPから出口していることをテストできます。