當企業業務資源部署在非阿里雲業務資源上,且業務組網已經部署了阿里雲VBR、CCN、VPN網關,您可以通過SASE網關和阿里雲VBR、CCN、VPN網關打通企業本網和非阿里雲上業務資源的網路通道,實現企業員工通過內網訪問非阿里雲業務資源。本文介紹如何同步阿里雲其他連接器執行個體、配置回源VPC以及開啟或者關閉網路打通開關。
管理多個阿里雲帳號下的業務資源
如果您需要管理成員帳號下的連接器資源,請先新增成員帳號。添加完成後SASE頁簽下顯示當前管理帳號和已添加的成員帳號下的所有VBR、IPsecVPN、SAG資源。如果您未添加任何成員帳號,則只顯示當前管理帳號的VBR、IPsecVPN、SAG資源。更多內容,請參見多帳號管理。
網路打通原理圖
開啟網路打通開關
步驟一:同步雲上網路執行個體
SASE會自動同步您的雲上網路執行個體。同步後的欄位說明如下:
欄位名稱 | 說明 |
連接器類型 | SASE只能識別阿里雲專線VBR、CCN、VPN網關這三種類型。 |
執行個體ID/名稱 | 不同類型的連接器(如VBR執行個體、VPN網關執行個體、CCN執行個體)執行個體ID。 |
所屬帳號 | 連接器所歸屬的帳號資訊,可以是當前管理帳號,也可以是添加的成員帳號。 |
網路通道 | 連接器使用的網路通道。 其中,VBR對應的網路通道是專線;CCN對應的網路通道是SAG;VPN對應的網路通道是IPsecVPN。 |
內網網段 | 您本網的內網網段或者雲上VPC的交換器網段。
配置時多個網段用英文逗號隔開。 |
步驟二:配置回源VPC
當您已經通過SAG、IPsecVPN和專線將本網與阿里雲雲上網路連通時,SASE可以通過已經與本網打通的VPC去回源訪問本網,因此將這種VPC稱為回源VPC。
當連接器類型為IPsecVPN(即VPN網關)時,有且僅有一個VPC與本網連通,回源VPC不能修改。
當連接器類型為VBR時,您需要在回源VPC列手動設定回源地址。
當連接器類型為CCN時,您可以在操作列單擊選擇回源VPC進行設定。
說明理論上被加入的CCN內的所有VPC都可以與本網連通,但是由於實際情況中您可能配置了特定的路由策略或者安全性原則,所以需要您選擇可以訪問本網的回源VPC。
步驟三:開啟網路打通開關
在雲上網路執行個體頁簽,為目標執行個體開啟網路打通開關,使SASE終端使用者訪問非阿里雲環境的業務。
關閉網路打通開關
如果某個網路通道無需開啟,您可以關閉其網路打通開關。
關閉VBR、IPsec-VPN、SAG網路打通開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。
後續步驟
相關文檔
如果您配置應用後,需要針對個別IP的流量允許存取,可以配置應用白名單。具體操作,請參見配置辦公應用白名單。
如果您的業務應用部署在阿里雲的網路資源上,請參見打通阿里雲業務的網路通道。
如果需要解決全球辦公情境,請參見打通全球辦公的網路通道。