Egress IPのベストプラクティス

専用のEgress IPをアカウントに設定すると、Cloudflareはユーザーの物理的な位置やリソースの位置などのいくつかの要因に基づいて、すべてのユーザーのトラフィックを自動的にIP間でバランスを取ります。たとえば、アムステルダム、ロンドン、ワシントンD.C.にEgress IPのロケーションがあり、ポリシーを設定していない場合、Cloudflareは次のEgress IPをユーザーに割り当てます：

オランダ近くのユーザーにはアムステルダムのEgress IP
イギリス近くのユーザーにはロンドンのEgress IP
北アメリカのユーザーにはワシントンD.C.のEgress IP

Cloudflareのネットワーク設計により、ユーザーは目的地に到達するためにCloudflareネットワーク上で最も速いルートを利用します。Egress IPの追加は、ほとんどのシナリオで最小限のレイテンシを追加します。

地理的分布

Cloudflareは、ユーザーの物理的な位置に最も正確に一致する地域で分散IPを予約することを推奨しています。たとえば、すべてのユーザーが北アメリカにいる場合、冗長性とパフォーマンスを確保するために、さまざまな北アメリカのデータセンターにIPのシリーズを考慮すべきです。

明示的なEgressが必要なロケーションがある場合は、複数のEgress IPを予約する必要があります。たとえば、ロンドンからEgressする必要があり、ダブリンにフォールバックできないユーザーがいる場合、冗長性を確保するために、さまざまなロンドンのロケーションに複数のIPを展開する必要があります。別途、この要件を持つすべてのユーザーに関連するポリシーを構築し、すべてのトラフィックがロンドンのEgress IPの1つを使用してEgressするようにする必要があります。

アクセス許可されたソース

Egressポリシーの最も一般的なユースケースの1つは、SAMLをサポートしていないSaaSアプリケーションにアクセスするユーザーのために、一貫したEgress IPを確保することです（またはIPレベルの制御のみを使用できるベンダーサービス）。オプションがある場合、またはビジネスがアプリケーションを制御している場合、CloudflareはCloudflare Accessを使用して、IPレベルの認証から継続的評価を使用するアイデンティティ認識認証に移行することを強く推奨します。

ポリシー管理を過度に複雑にすることなく、ほとんどのユースケースをカバーできるベースラインEgressポリシーを構築することをお勧めします。すべてのユーザーが特定のEgress IPを必要とする一連のアプリケーションにアクセスする必要がある場合、そのユーザー（またはすべてのユーザー）に明示的なポリシーを構築し、すべてのトラフィックがそのEgress IPを使用してEgressするようにする必要があります。たとえば、財務データにアクセスできるユーザーのために特定のEgress IPを定義できます：

Dashboard
API

Selector	Operator	Value	Egress method
User Group Email	in	Finance Users	専用のCloudflare Egress IPを使用

Primary IPv4 address	IPv6 address
`203.0.113.0`	`2001:db8::/32`

curl https://api.cloudflare.com/client/v4/accounts/{account_id}/gateway/rules \
--header "Authorization: Bearer <API_TOKEN>" \
--header "Content-Type: application/json" \
--data '{
  "action": "egress",
  "description": "財務チームの静的Egressを定義",
  "enabled": true,
  "filters": [
    "egress"
  ],
  "name": "財務チーム静的Egress",
  "precedence": 0,
  "identity": "any(identity.groups.name[*] in {\"finance\"})",
  "rule_settings": {
    "egress": {
      "ipv4": <DEDICATED_IPV4_ADDRESS>,
      "ipv4_fallback": <SECONDARY_DEDICATED_IPV6_ADDRESS>,
      "ipv6": <DEDICATED_IPV6_ADDRESS>
    }
  }
}'

ユーザー選択可能なEgressロケーション

特定のユーザーグループがEgressする場所を変更する必要があるユースケースがあるかもしれません。Cloudflareは、異なる事前に決められたロケールからアクセスしているかのようにリソースをテストする必要があるアプリケーションやサイトの品質保証（QA）チームでこれを頻繁に観察しています。必要に応じてEgressポリシーを介してこれを管理できますが、ほとんどのCloudflareユーザーは、管理パネルや既存のポリシーに継続的な変更を加えずに管理することを好みます。これに対応するために、Egressポリシーでセレクターとして使用するための仮想ネットワークを構築できます。これにより、ユーザーは接続された仮想ネットワークを変更し、選択に応じてEgress IPを変更できます。

ユーザーはWARPクライアント内でEgress IPを変更するために仮想ネットワークを選択できます

詳細については、ユーザー選択可能なEgress IPのチュートリアルを参照してください。

Cloudflare Dashboard Discord Community Learning Center Support Portal

Cookie Settings