当企业业务资源部署在阿里云VPC实例上,且VPC之间没有通过阿里云CEN进行网络实例连接。您可以通过SASE网关打通企业本地网络和阿里云上业务资源的网络通道,实现企业员工通过内网访问阿里云云上业务资源。本文介绍如何开启网络打通开关、修改业务回源地址以及关闭网络打通开关。
管理多个阿里云账号下的VPC资源
如果您需要管理成员账号下的VPC资源,请先添加成员账号。添加完成后,在多账号管理。
页签下显示当前管理账号和已添加的成员账号下的所有VPC资源。如果您未添加任何成员账号,则只显示当前管理账号的VPC资源。更多内容,请参见注意事项
如果网络网段冲突,如不同地域的VPC的网段相同、VPC与数据中心的网段冲突,这种情况下SASE服务无法确定目的地址。所以在打通网络前,您需要先确保当前业务网段不存在冲突的问题。
网络打通原理图
开启网络打通开关
登录办公安全平台控制台。
在左侧导航栏,选择 。
在网络配置页面的SASE同步的业务资源。 页签,查看
字段名称
说明
实例ID/名称
当前管理账号和已添加的成员账号下的所有VPC资源。
所属账号
VPC实例所归属的账号信息,可以是当前管理账号,也可以是成员账号。
所属地域
VPC实例所在的地域信息。
VPC网段
VPC实例内交换机的网段。
在指定VPC实例右侧,开启网络打通开关。
开启网络打通开关后,SASE会展示业务资源默认分配的用于回源的IP地址。
回源地址即源站服务器响应SASE网关发起访问请求的IP地址。
为VPC连接的其他业务资源打通网络
如果您的业务应用不仅配置在VPC实例上,还配置在与VPC网络互通的其他业务资源上。如果这类业务资源无法同步到SASE上(阿里云业务和非阿里云业务都无法同步到资产信息),您可以手动添加该类资产的业务网段(支持添加多个),打通SASE与这类业务资源的网络。
为指定VPC配置自定义网段后,将会使用该VPC的回源IP作为自定义网段的回源IP,请确保指定VPC可以访问自定义网段的应用。
放行回源地址
因为SASE使用代理模式访问源站服务器,如果您的源站服务器部署了安全管控策略,则安全管控策略会将回源地址判断为可疑地址,从而拦截由代理服务器转发到源站服务器的流量,导致您的网站或应用无法打开。因此,您需要在源站服务器的安全管控策略中放行该回源地址。
修改回源地址
如果您的业务需要修改回源地址,可以在回源地址列,单击图标进行修改。
修改回源地址会导致VPC实例与SASE的网络中断,持续时长大约为1分钟,建议您谨慎操作。
关闭网络打通开关
关闭指定VPC实例网络打通开关,表示取消了SASE网关与VPC网络资源构建的回源链路,即SASE终端用户不能访问业务资源。
关闭网络打通开关,会导致终端用户无法使用SASE App访问内网应用。请谨慎操作。
后续步骤
相关文档
如果您的业务应用部署在非阿里云的网络资源上,请参见打通非阿里云业务的网络通道。
如果需要解决全球办公场景,请参见打通全球办公的网络通道。
如果您配置应用后,需要针对个别IP的流量放行,可以配置应用白名单。具体操作,请参见配置办公应用白名单。