全部产品
Search
文档中心

办公安全平台:业务资源部署在VPC实例(未关联CEN场景)

更新时间:Nov 13, 2024

当企业业务资源部署在阿里云VPC实例上,且VPC之间没有通过阿里云CEN进行网络实例连接。您可以通过SASE网关打通企业本地网络和阿里云上业务资源的网络通道,实现企业员工通过内网访问阿里云云上业务资源。本文介绍如何开启网络打通开关、修改业务回源地址以及关闭网络打通开关。

管理多个阿里云账号下的VPC资源

如果您需要管理成员账号下的VPC资源,请先添加成员账号。添加完成后,在网络配置 > 阿里云业务页签下显示当前管理账号和已添加的成员账号下的所有VPC资源。如果您未添加任何成员账号,则只显示当前管理账号的VPC资源。更多内容,请参见多账号管理

注意事项

如果网络网段冲突,如不同地域的VPC的网段相同、VPC与数据中心的网段冲突,这种情况下SASE服务无法确定目的地址。所以在打通网络前,您需要先确保当前业务网段不存在冲突的问题。

网络打通原理图

image

开启网络打通开关

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择内网访问 > 网络配置

  3. 网络配置页面的阿里云业务 > VPC实例(未关联CEN)页签,查看SASE同步的业务资源。

    字段名称

    说明

    实例ID/名称

    当前管理账号和已添加的成员账号下的所有VPC资源。

    所属账号

    VPC实例所归属的账号信息,可以是当前管理账号,也可以是成员账号。

    所属地域

    VPC实例所在的地域信息。

    VPC网段

    VPC实例内交换机的网段。

  4. 在指定VPC实例右侧,开启网络打通开关。

    开启网络打通开关后,SASE会展示业务资源默认分配的用于回源的IP地址。

    回源地址即源站服务器响应SASE网关发起访问请求的IP地址。

为VPC连接的其他业务资源打通网络

如果您的业务应用不仅配置在VPC实例上,还配置在与VPC网络互通的其他业务资源上。如果这类业务资源无法同步到SASE上(阿里云业务和非阿里云业务都无法同步到资产信息),您可以手动添加该类资产的业务网段(支持添加多个),打通SASE与这类业务资源的网络。

重要

为指定VPC配置自定义网段后,将会使用该VPC的回源IP作为自定义网段的回源IP,请确保指定VPC可以访问自定义网段的应用。

image.png

放行回源地址

因为SASE使用代理模式访问源站服务器,如果您的源站服务器部署了安全管控策略,则安全管控策略会将回源地址判断为可疑地址,从而拦截由代理服务器转发到源站服务器的流量,导致您的网站或应用无法打开。因此,您需要在源站服务器的安全管控策略中放行该回源地址。

修改回源地址

如果您的业务需要修改回源地址,可以在回源地址列,单击image.png图标进行修改。

image

重要

修改回源地址会导致VPC实例与SASE的网络中断,持续时长大约为1分钟,建议您谨慎操作。

关闭网络打通开关

关闭指定VPC实例网络打通开关,表示取消了SASE网关与VPC网络资源构建的回源链路,即SASE终端用户不能访问业务资源。

警告

关闭网络打通开关,会导致终端用户无法使用SASE App访问内网应用。请谨慎操作。

后续步骤

网络打通后,您需要配置企业员工可访问的业务应用。详细信息,请参见配置办公应用配置零信任策略

相关文档