当企业业务资源部署在非阿里云业务资源上,且业务组网已经部署了阿里云VBR、CCN、VPN网关,您可以通过SASE网关和阿里云VBR、CCN、VPN网关打通企业本地网络和非阿里云上业务资源的网络通道,实现企业员工通过内网访问非阿里云业务资源。本文介绍如何同步阿里云其他连接器实例、配置回源VPC以及开启或者关闭网络打通开关。
管理多个阿里云账号下的业务资源
如果您需要管理成员账号下的连接器资源,请先添加成员账号。添加完成后SASE页签下显示当前管理账号和已添加的成员账号下的所有VBR、IPsecVPN、SAG资源。如果您未添加任何成员账号,则只显示当前管理账号的VBR、IPsecVPN、SAG资源。更多内容,请参见多账号管理。
网络打通原理图
开启网络打通开关
步骤一:同步云上网络实例
SASE会自动同步您的云上网络实例。同步后的字段说明如下:
字段名称 | 说明 |
连接器类型 | SASE只能识别阿里云专线VBR、CCN、VPN网关这三种类型。 |
实例ID/名称 | 不同类型的连接器(如VBR实例、VPN网关实例、CCN实例)实例ID。 |
所属账号 | 连接器所归属的账号信息,可以是当前管理账号,也可以是添加的成员账号。 |
网络通道 | 连接器使用的网络通道。 其中,VBR对应的网络通道是专线;CCN对应的网络通道是SAG;VPN对应的网络通道是IPsecVPN。 |
内网网段 | 您本地网络的内网网段或者云上VPC的交换机网段。
配置时多个网段用英文逗号隔开。 |
步骤二:配置回源VPC
当您已经通过SAG、IPsecVPN和专线将本地网络与阿里云云上网络连通时,SASE可以通过已经与本地网络打通的VPC去回源访问本地网络,因此将这种VPC称为回源VPC。
当连接器类型为IPsecVPN(即VPN网关)时,有且仅有一个VPC与本地网络连通,回源VPC不能修改。
当连接器类型为VBR时,您需要在回源VPC列手动设置回源地址。
当连接器类型为CCN时,您可以在操作列单击选择回源VPC进行设置。
说明理论上被加入的CCN内的所有VPC都可以与本地网络连通,但是由于实际情况中您可能配置了特定的路由策略或者安全策略,所以需要您选择可以访问本地网络的回源VPC。
步骤三:开启网络打通开关
在云上网络实例页签,为目标实例开启网络打通开关,使SASE终端用户访问非阿里云环境的业务。
关闭网络打通开关
如果某个网络通道无需开启,您可以关闭其网络打通开关。
关闭VBR、IPsec-VPN、SAG网络打通开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
后续步骤
相关文档
如果您配置应用后,需要针对个别IP的流量放行,可以配置应用白名单。具体操作,请参见配置办公应用白名单。
如果您的业务应用部署在阿里云的网络资源上,请参见打通阿里云业务的网络通道。
如果需要解决全球办公场景,请参见打通全球办公的网络通道。