全球辦公主要是解決企業員工使用Secure Access Service Edge (SASE) App進行全球辦公安全接入的情境,包括企業的海外員工訪問海外辦公業務情境、企業海外員工訪問中國內地應用的情境、企業中國內地員工訪問海外業務的情境。本文介紹如何使用SASE配合企業自有的跨境專線,打造全球安全辦公的方案。
跨境網路打通原理圖
SASE全球辦公功能是基於動態路由的原理。當企業的員工在海外時,管理員可指定海外員工接入的POP點+SASE連接器+自有跨境專線的接入路由,構建企業全球安全辦公的網路拓撲;當企業的員工在中國內地時,由於中國內地的POP叢集較多,SASE App可以智能選路串連網路,所以您只需要根據業務所在地區,建立中國內地地區的SASE連接器即可。
當前支援的跨境訪問情境和網路拓撲如下:
企業的海外員工訪問海外辦公業務的情境
企業海外員工訪問中國內地辦公業務的情境
企業中國內地員工訪問海外辦公業務的情境
前提條件
已開通SASE內網訪問安全進階版。具體操作,請參見辦公安全平台計費概述。
企業已具備在電訊廠商備案的跨境專線產品。同時企業自有跨境專線,需滿足兩地辦公區路由連通。
已建立SASE連接器。具體操作,請參見打通非阿里雲業務的網路通道。
為了避免網路時延,需要企業員工接入距離辦公地區最近的SASE POP叢集節點,所以建立的SASE連接器就需要選擇距離辦公地區最近的POP叢集的連接器。
操作步驟
步驟一:開啟全球辦公開關
開啟全球辦公功能,系統會將應用管理,零信任策略的配置同步至SASE海外服務節點,用于海外員工就近訪問SASE伺服器的許可權驗證。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在全球辦公頁簽,單擊授權管理。
在授權管理對話方塊,開啟全球辦公功能開關,並選擇授權的SASE海外服務節點。
目前支援的海外服務節點包含:
新加坡POP叢集(新加坡)
美東POP叢集(維吉尼亞)
美西POP叢集(矽谷)
步驟二:建立動態路由
企業管理員在SASE控制台上建立動態路由,關聯企業自有的跨境專線,通過SASE連接器將SASE POP叢集節點和跨境的企業業務的網路打通。
在全球辦公頁簽,單擊建立路由。
在建立路由面板,按照下表進行接入配置。
配置項
說明
路由名稱
路由的名稱。
路由描述
關於路由的描述。
優先順序
這個路由的優先順序。
路由模式選擇
唯一取值:自有專線。
說明自有專線模式,需滿足兩地辦公區路由聯通。
選擇應用
選擇內網訪問的應用。
POP存取點
選擇您已授權的海外服務節點。
狀態
只有路由開啟時才有效。
單擊下一步,選擇已建立的SASE連接器執行個體。然後單擊確定。
後續步驟
企業員工登入SASE App,然後選擇對應的POP叢集存取點接入網路,訪問跨境的業務應用。具體操作,請參見安裝並登入SASE App、開啟或關閉內網訪問的安全防護。
常見問題
SASE連接器和動態路由都會配置業務應用,如果配置的業務應用不一致時,企業員工可以訪問哪個應用?
動態路由相關 App。因為動態路由的優先順序高於SASE連接器,所以企業員工可訪問的應用是動態路由相關 App。