Secure Access Service Edge:Secure Access Service Edge:Sumber daya bisnis yang dideploy di VPC yang tidak terhubung ke CEN

Cara kerja

Gerbang SASE membuat koneksi outbound ke VPC dan berfungsi sebagai proxy. Seluruh lalu lintas dari klien SASE diarahkan melalui gerbang menuju server origin. Karena gerbang melakukan source network address translation (SNAT), server origin melihat alamat back-to-origin gerbang—bukan alamat IP perangkat pengguna. Jika server origin menerapkan kebijakan kontrol akses, tambahkan alamat back-to-origin ke daftar izin (allowlist) agar lalu lintas tidak diblokir.

Prasyarat

Sebelum memulai, pastikan hal-hal berikut:

• Blok CIDR di seluruh VPC dan pusat data Anda tidak saling tumpang tindih. Jika VPC lintas wilayah menggunakan blok CIDR yang sama, atau jika VPC dan pusat data menggunakan blok CIDR identik, SASE tidak dapat menentukan alamat tujuan. Selesaikan konflik IP sebelum melanjutkan.

• (Opsional) Jika Anda ingin mengelola VPC dalam anggota direktori sumber daya, tambahkan anggota tersebut terlebih dahulu. Untuk detailnya, lihat Multi-account management. Tanpa penambahan anggota, halaman Services on Alibaba Cloud hanya menampilkan VPC yang ada di akun manajemen Anda.

Diagram koneksi jaringan

Aktifkan koneksi jaringan untuk VPC

1. Masuk ke Konsol SASE.

2. Pada panel navigasi kiri, pilih Private Access > Network Settings.

3. Pada halaman Network Settings, buka Services on Alibaba Cloud > VPCs (No CEN Instances Associated). Tab ini menampilkan daftar VPC yang telah disinkronkan ke SASE dari akun manajemen Anda serta dari anggota mana pun yang telah ditambahkan.

   Parameter	Deskripsi
   Instance ID/Name	ID dan nama VPC. VPC dari akun manajemen dan anggota yang ditambahkan dalam direktori sumber daya akan ditampilkan.
   Owner Account	Akun pemilik VPC—baik akun manajemen maupun anggota.
   Region	Wilayah tempat VPC berada.
   VPC CIDR Block	Blok CIDR vSwitch di dalam VPC.

4. Temukan VPC yang ingin Anda hubungkan, lalu aktifkan sakelar di kolom Network Connection. Setelah diaktifkan, SASE akan menetapkan alamat back-to-origin default untuk VPC tersebut. Alamat back-to-origin adalah alamat IP yang digunakan oleh server origin untuk mengirimkan tanggapan setelah gerbang SASE menginisiasi permintaan akses.

Aktifkan koneksi jaringan untuk resource lain yang terhubung ke VPC

Jika aplikasi bisnis dideploy di VPC dan bergantung pada resource lain yang terhubung ke VPC tersebut—tetapi resource tersebut tidak muncul di tab Services Outside Alibaba Cloud—tambahkan blok CIDR-nya secara manual.

Izinkan alamat back-to-origin di server origin Anda

Jika server origin menerapkan kebijakan kontrol akses, alamat back-to-origin mungkin dianggap mencurigakan sehingga lalu lintas dari gerbang bisa diblokir. Untuk mencegah hal ini, tambahkan alamat back-to-origin ke daftar izin (allowlist) dalam kebijakan kontrol akses server origin.

Ubah alamat back-to-origin

Untuk mengubah alamat back-to-origin, arahkan kursor ke alamat tersebut di kolom Back-to-origin Address, lalu klik ikon pada popover.

Nonaktifkan koneksi jaringan untuk VPC

Menonaktifkan Network Connection untuk VPC akan memutus tautan kembali ke asal (back-to-origin link) antara gerbang SASE dan resource di VPC tersebut. Pengguna tidak lagi dapat mengakses resource tersebut melalui klien SASE.

Langkah selanjutnya

Setelah mengaktifkan koneksi jaringan, konfigurasikan akses ke aplikasi Anda:

• Configure office applications — tentukan aplikasi mana saja yang dapat diakses pengguna

• Configure zero trust policies — tetapkan aturan kontrol akses untuk aplikasi tersebut

• Configure an office application allowlist — batasi akses aplikasi hanya ke alamat IP tertentu

Referensi

• Enable network connections for services outside Alibaba Cloud — hubungkan SASE ke aplikasi bisnis yang tidak di-host di Alibaba Cloud

• Enable network connections for applications in global office scenarios — hubungkan SASE ke aplikasi di kantor global