當企業業務資源部署在阿里雲VPC執行個體上,且VPC之間通過阿里雲CEN進行網路執行個體串連。您可以通過SASE網關打通企業本網和阿里雲上業務資源的網路通道,實現企業員工通過內網訪問阿里雲雲上業務資源。本文介紹如何開啟網路打通開關、修改業務回源地址以及關閉網路打通開關。
管理多個阿里雲帳號下的VPC資源
如果您需要管理成員帳號下的VPC資源,請先新增成員帳號。添加完成後,SASE頁簽下顯示當前管理帳號和已添加的成員帳號下的所有VPC資源。如果您未添加任何成員帳號,則配置網路頁面下只顯示當前管理帳號的VPC資源。更多內容,請參見多帳號管理。
注意事項
如果網路網段衝突,如不同地區的VPC的網段相同、VPC與資料中心的網段衝突,這種情況下SASE服務無法確定目的地址。所以在打通網路前,您需要先確保當前業務網段不存在衝突的問題。
網路打通原理圖
開啟網路打通開關
登入辦公安全平台控制台。
在左側導覽列,選擇。
在網路設定頁面的頁簽,查看SASE同步的網路資源。
參數名稱
說明
CEN執行個體ID/名稱
當前管理帳號和已添加的成員帳號下的所有CEN資源。
所屬帳號
CEN執行個體所歸屬的帳號資訊,可以是當前管理帳號,也可以是成員帳號。
回源地址
SASE網關與CEN回源的地址。
對於已關聯CEN的VPC內的ECS資源會自動添加允許存取回源地址的安全性群組策略。對於已在CEN關聯的VBR、SAG等資源,如果已存在ACL策略,需要對回源地址允許存取。
在指定CEN執行個體或者CEN執行個體關聯的某個VPC執行個體右側。開啟網路打通開關。
您有兩種打通網路開關的方式:
開啟CEN執行個體的網路打通開關
表示SASE網關與CEN關聯的網路資源構建了回源鏈路,經過SASE零信任策略校正過的訪問流量,會被SASE網關轉寄至訪問的目的地址。該方式打通了CEN串連的所有VPC執行個體與終端使用者的網路。
開啟網路打通開關時,SASE需要您選擇用於回源的VPC。
選擇回源VPC後,SASE會展示回源VPC以及回源VPC自動分配的回源地址。
回源地址即SASE網關與CEN回源的地址。對於已關聯CEN的VPC內的ECS資源會自動添加允許存取回源地址的安全性群組策略。按照CEN粒度開啟回源VPC後,對於已配置的VPC、VBR、SAG粒度的回源地址將被自動釋放。
開啟CEN串連的某個VPC執行個體的網路打通開關
表示僅打通指定VPC執行個體與終端使用者的網路,該CEN串連的其他VPC執行個體與終端使用者的網路不打通。
開啟網路打通開關後,SASE會展示業務資源預設分配的用於回源的IP地址。
為VPC串連的其他業務資源打通網路
如果您的業務應用不僅配置在VPC執行個體上,還配置在與VPC網路互連的其他業務資源上。如果這類業務資源無法同步到SASE上(阿里雲業務和非阿里雲業務都無法同步到資產資訊),您可以手動添加該類資產的業務網段(支援添加多個),打通SASE與這類業務資源的網路。
為指定VPC配置自訂網段後,將會使用該VPC的回源IP作為自訂網段的回源IP,請確保指定VPC可以訪問自訂網段的應用。
允許存取回源地址
因為SASE使用代理模式訪問來源站點伺服器,如果您的來源站點伺服器部署了安全管控策略,則安全管控策略會將回源地址判斷為可疑地址,從而攔截由Proxy 伺服器轉寄到來源站點伺服器的流量,導致您的網站或應用無法開啟。因此,您需要在來源站點伺服器的安全管控策略中允許存取該回源地址。
修改回源VPC
如果您的業務需要修改回源地址,可以在操作列,單擊選擇回源VPC進行修改。
關閉網路打通開關
關閉指定VPC執行個體或者CEN執行個體的網路打通開關,表示取消了SASE網關與VPC網路資源及CEN關聯的網路資源構建的回源鏈路,即SASE終端使用者不能訪問業務資源。
關閉網路打通開關,會導致終端使用者無法使用SASE App訪問內網應用。請謹慎操作。
後續步驟
相關文檔
如果您配置應用後,需要針對個別IP的流量允許存取,可以配置應用白名單。具體操作,請參見配置辦公應用白名單。
如果您的業務應用部署在非阿里雲的網路資源上,請參見打通非阿里雲業務的網路通道。
如果需要解決全球辦公情境,請參見打通全球辦公的網路通道。