コンテンツにスキップ

Egress traffic

Magic Transitを使用して出口トラフィックを実装している場合、Cloudflareへの成功した接続を作成するために考慮すべき技術的側面のリストは以下の通りです。

  • Cloudflareに送信するパケットのソースIPは、Magic Transitプレフィックスから取得する必要があります。Magic TransitのリースされたIPを持つ顧客やBYOIPプレフィックスを持つ顧客の場合、エッジデバイスでNATを実装するか、プレフィックスを自側のルーティングされたLANインターフェースとして使用するかを選択できます。
  • Cloudflareは、BYOIPプレフィックスまたはMagic TransitリースされたIPアドレスからのトラフィックのみが、GRE/IPsecトンネルを介してCloudflareに送信されるように、ポリシーベースのルーティング(PBR)ルールを作成することを推奨します。Cloudflareは、承認されたプレフィックスからの出口トラフィックのみを受け入れます。そのため、PBRポリシーはこれに合わせる必要があります。 PBRの実装が不可能で、Magic Transitトンネルを介してデフォルトルートを実装する必要がある場合は、トンネルの宛先anycast IPのルートがアンダーレイのトランジットパスを介してルーティングされることを確認してください。
  • PBRトラフィックを再ルーティングするためのトンネル障害検出メカニズムが必要です。これは、Cloudflareへの上流チャネルに障害が発生した場合にパケットが再ルーティングされることを保証するためです。たとえば、デバイスを設定してトンネルの反対側にpingを送信したり、インターネットのウェブサイトにプローブを送信したりすることができます。プローブが失敗応答を返した場合、デバイスはPBR転送パスを無効にし、バックアップトンネルに切り替えることを望みます。これを実装する方法については、機器の設定ガイドを参照してください。
  • Cloudflareを介してインターネットに送信されるトラフィックを負荷分散する方法として、複数のGRE/IPsecトンネルを構成する必要があるかもしれません。これを実現するために、2つの異なるPBRを適用できます。したがって、1つのIP/サブネットからのトラフィックは1つのトンネルを介してルーティングされ、別のIP/サブネットからのトラフィックは別のトンネルを介して送信されます。
  • Magic Firewallルールは両方向に適用されます。意図したトラフィックフロー(入出力)のためにMagic Firewallルールが設定されていることを確認してください。
  • Magic Transit出口を使用する場合は、GREまたはIPSECトンネルのヘルスチェック設定を双方向に設定することをお勧めします。これにより、Cloudflareのヘルスチェックがデータプレーントラフィックフローと同期します。
Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings