当企业业务资源部署在阿里云VPC实例上,且VPC之间通过阿里云CEN进行网络实例连接。您可以通过SASE网关打通企业本地网络和阿里云上业务资源的网络通道,实现企业员工通过内网访问阿里云云上业务资源。本文介绍如何开启网络打通开关、修改业务回源地址以及关闭网络打通开关。
管理多个阿里云账号下的VPC资源
如果您需要管理成员账号下的VPC资源,请先添加成员账号。添加完成后,SASE 页签下显示当前管理账号和已添加的成员账号下的所有VPC资源。如果您未添加任何成员账号,则配置网络页面下只显示当前管理账号的VPC资源。更多内容,请参见多账号管理。
注意事项
如果网络网段冲突,如不同地域的VPC的网段相同、VPC与数据中心的网段冲突,这种情况下SASE服务无法确定目的地址。所以在打通网络前,您需要先确保当前业务网段不存在冲突的问题。
网络打通原理图
开启网络打通开关
登录办公安全平台控制台。
在左侧导航栏,选择 。
在网络配置页面的 页签,查看SASE同步的网络资源。
参数名称
说明
CEN实例ID/名称
当前管理账号和已添加的成员账号下的所有CEN资源。
所属账号
CEN实例所归属的账号信息,可以是当前管理账号,也可以是成员账号。
回源地址
SASE网关与CEN回源的地址。
对于已关联CEN的VPC内的ECS资源会自动添加放行回源地址的安全组策略。对于已在CEN关联的VBR、SAG等资源,如果已存在ACL策略,需要对回源地址放行。
在指定CEN实例或者CEN实例关联的某个VPC实例右侧。开启网络打通开关。
您有两种打通网络开关的方式:
开启CEN实例的网络打通开关
表示SASE网关与CEN关联的网络资源构建了回源链路,经过SASE零信任策略校验过的访问流量,会被SASE网关转发至访问的目的地址。该方式打通了CEN连接的所有VPC实例与终端用户的网络。
开启网络打通开关时,SASE需要您选择用于回源的VPC。
选择回源VPC后,SASE会展示回源VPC以及回源VPC自动分配的回源地址。
回源地址即SASE网关与CEN回源的地址。对于已关联CEN的VPC内的ECS资源会自动添加放行回源地址的安全组策略。按照CEN粒度开启回源VPC后,对于已配置的VPC、VBR、SAG粒度的回源地址将被自动释放。
开启CEN连接的某个VPC实例的网络打通开关
表示仅打通指定VPC实例与终端用户的网络,该CEN连接的其他VPC实例与终端用户的网络不打通。
开启网络打通开关后,SASE会展示业务资源默认分配的用于回源的IP地址。
为VPC连接的其他业务资源打通网络
如果您的业务应用不仅配置在VPC实例上,还配置在与VPC网络互通的其他业务资源上。如果这类业务资源无法同步到SASE上(阿里云业务和非阿里云业务都无法同步到资产信息),您可以手动添加该类资产的业务网段(支持添加多个),打通SASE与这类业务资源的网络。
为指定VPC配置自定义网段后,将会使用该VPC的回源IP作为自定义网段的回源IP,请确保指定VPC可以访问自定义网段的应用。
放行回源地址
因为SASE使用代理模式访问源站服务器,如果您的源站服务器部署了安全管控策略,则安全管控策略会将回源地址判断为可疑地址,从而拦截由代理服务器转发到源站服务器的流量,导致您的网站或应用无法打开。因此,您需要在源站服务器的安全管控策略中放行该回源地址。
修改回源VPC
如果您的业务需要修改回源地址,可以在操作列,单击选择回源VPC进行修改。
关闭网络打通开关
关闭指定VPC实例或者CEN实例的网络打通开关,表示取消了SASE网关与VPC网络资源及CEN关联的网络资源构建的回源链路,即SASE终端用户不能访问业务资源。
关闭网络打通开关,会导致终端用户无法使用SASE App访问内网应用。请谨慎操作。
后续步骤
相关文档
如果您配置应用后,需要针对个别IP的流量放行,可以配置应用白名单。具体操作,请参见配置办公应用白名单。
如果您的业务应用部署在非阿里云的网络资源上,请参见打通非阿里云业务的网络通道。
如果需要解决全球办公场景,请参见打通全球办公的网络通道。