當企業業務資源部署在阿里雲VPC執行個體上,且VPC之間沒有通過阿里雲CEN進行網路執行個體串連。您可以通過SASE網關打通企業本網和阿里雲上業務資源的網路通道,實現企業員工通過內網訪問阿里雲雲上業務資源。本文介紹如何開啟網路打通開關、修改業務回源地址以及關閉網路打通開關。
管理多個阿里雲帳號下的VPC資源
如果您需要管理成員帳號下的VPC資源,請先新增成員帳號。添加完成後,在頁簽下顯示當前管理帳號和已添加的成員帳號下的所有VPC資源。如果您未添加任何成員帳號,則只顯示當前管理帳號的VPC資源。更多內容,請參見多帳號管理。
注意事項
如果網路網段衝突,如不同地區的VPC的網段相同、VPC與資料中心的網段衝突,這種情況下SASE服務無法確定目的地址。所以在打通網路前,您需要先確保當前業務網段不存在衝突的問題。
網路打通原理圖
開啟網路打通開關
登入辦公安全平台控制台。
在左側導覽列,選擇。
在網路設定頁面的頁簽,查看SASE同步的業務資源。
欄位名稱
說明
執行個體ID/名稱
當前管理帳號和已添加的成員帳號下的所有VPC資源。
所屬帳號
VPC執行個體所歸屬的帳號資訊,可以是當前管理帳號,也可以是成員帳號。
所屬地區
VPC執行個體所在的地區資訊。
VPC網段
VPC執行個體內交換器的網段。
在指定VPC執行個體右側,開啟網路打通開關。
開啟網路打通開關後,SASE會展示業務資源預設分配的用於回源的IP地址。
回源地址即來源站點伺服器響應SASE網關發起訪問請求的IP地址。
為VPC串連的其他業務資源打通網路
如果您的業務應用不僅配置在VPC執行個體上,還配置在與VPC網路互連的其他業務資源上。如果這類業務資源無法同步到SASE上(阿里雲業務和非阿里雲業務都無法同步到資產資訊),您可以手動添加該類資產的業務網段(支援添加多個),打通SASE與這類業務資源的網路。
為指定VPC配置自訂網段後,將會使用該VPC的回源IP作為自訂網段的回源IP,請確保指定VPC可以訪問自訂網段的應用。
允許存取回源地址
因為SASE使用代理模式訪問來源站點伺服器,如果您的來源站點伺服器部署了安全管控策略,則安全管控策略會將回源地址判斷為可疑地址,從而攔截由Proxy 伺服器轉寄到來源站點伺服器的流量,導致您的網站或應用無法開啟。因此,您需要在來源站點伺服器的安全管控策略中允許存取該回源地址。
修改回源地址
如果您的業務需要修改回源地址,可以在回源地址列,單擊
表徵圖進行修改。
修改回源地址會導致VPC執行個體與SASE的網路中斷,持續時間長度大約為1分鐘,建議您謹慎操作。
關閉網路打通開關
關閉指定VPC執行個體網路打通開關,表示取消了SASE網關與VPC網路資源構建的回源鏈路,即SASE終端使用者不能訪問業務資源。
關閉網路打通開關,會導致終端使用者無法使用SASE App訪問內網應用。請謹慎操作。
後續步驟
相關文檔
如果您的業務應用部署在非阿里雲的網路資源上,請參見打通非阿里雲業務的網路通道。
如果需要解決全球辦公情境,請參見打通全球辦公的網路通道。
如果您配置應用後,需要針對個別IP的流量允許存取,可以配置應用白名單。具體操作,請參見配置辦公應用白名單。