Jika resource bisnis Anda dideploy di virtual private cloud (VPC) Alibaba Cloud yang dilampirkan ke instans Cloud Enterprise Network (CEN), Anda dapat menggunakan gerbang Secure Access Service Edge (SASE) untuk menghubungkan jaringan on-premises ke resource tersebut. Setelah koneksi dibuat, pengguna dengan klien SASE dapat mengakses resource tersebut melalui jaringan internal.
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Langganan SASE Private Access yang diaktifkan
Instans CEN dengan satu atau lebih VPC yang dilampirkan
Blok CIDR semua resource bisnis harus unik di seluruh jaringan Anda. Jika terjadi konflik blok CIDR, SASE tidak dapat menentukan alamat tujuan. Skenario konflik umum meliputi:
VPC lintas-wilayah yang menggunakan blok CIDR yang sama
VPC dan data center yang menggunakan blok CIDR yang sama. Verifikasi bahwa tidak ada konflik blok CIDR sebelum mengaktifkan koneksi jaringan.
Arsitektur jaringan
Diagram berikut menunjukkan cara SASE terhubung ke resource bisnis di VPC yang dilampirkan ke instans CEN.
Aktifkan koneksi jaringan
Masuk ke Konsol SASE.
Di panel navigasi sebelah kiri, pilih Private Access > Network Settings.
Pada tab Services on Alibaba Cloud > CEN Instance, tinjau resource bisnis yang telah disinkronkan.
Parameter Description CEN Instance ID/Name ID dan nama instans CEN. Instans dalam akun manajemen Anda serta akun anggota yang ditambahkan akan ditampilkan. Owner Account Akun pemilik instans CEN. Akun ini bisa berupa akun manajemen atau akun anggota. Back-to-origin Address Alamat yang digunakan oleh gerbang SASE untuk mencapai resource melalui instans CEN. Untuk instans Elastic Compute Service (ECS) di VPC yang terhubung ke instans CEN, sistem secara otomatis menambahkan aturan security group untuk mengizinkan alamat ini. Jika Anda menghubungkan instans Virtual Border Router (VBR) atau Smart Access Gateway (SAG) ke instans CEN dan instans VBR atau SAG dikonfigurasi dengan daftar kontrol akses (ACL), Anda harus mengonfigurasi ACL untuk mengizinkan alamat kembali-ke-asal tersebut. Temukan instans CEN atau VPC, lalu aktifkan toggle Network Connection. Anda dapat mengaktifkan Network Connection baik di tingkat CEN maupun di tingkat VPC:
Koneksi tingkat CEN: Tautan kembali ke asal dibuat antara gerbang SASE dan semua resource jaringan yang terhubung ke instans CEN. Gerbang SASE memverifikasi trafik akses berdasarkan kebijakan percaya nol, lalu meneruskan trafik ke alamat tujuan. Semua VPC yang terhubung ke CEN terhubung ke jaringan pengguna klien SASE. Saat Anda mengaktifkan Network Connection, pilih VPC untuk lalu lintas kembali ke asal.
Setelah memilih VPC tersebut, konsol akan menampilkan VPC kembali ke asal dan alamat kembali ke asal yang ditetapkan secara otomatis. 
> Catatan: Setelah Anda memilih VPC kembali ke asal untuk instans CEN, alamat kembali ke asal yang dikonfigurasi untuk VPC, VBR, dan instans SAG akan secara otomatis dirilis. Sistem juga menambahkan aturan security group untuk mengizinkan alamat kembali ke asal pada instans ECS di VPC yang terhubung ke instans CEN.Koneksi tingkat VPC: Hanya VPC yang ditentukan yang terhubung ke jaringan pengguna klien SASE. VPC lain yang dilampirkan ke instans CEN yang sama tidak terhubung ke jaringan pengguna.
Setelah Anda mengaktifkan Network Connection, konsol akan menampilkan alamat kembali ke asal default yang ditetapkan di VPC tersebut.
Tambahkan blok CIDR kustom
Jika aplikasi bisnis Anda dideploy di VPC dan menggunakan resource terhubung lain yang blok CIDR-nya tidak disinkronkan secara otomatis ke SASE (dan tidak muncul di tab Services on Alibaba Cloud atau Services Outside Alibaba Cloud), tambahkan blok CIDR tersebut secara manual agar SASE dapat terhubung ke resource tersebut.
Setelah Anda menambahkan blok CIDR kustom untuk VPC, alamat kembali ke asal VPC tersebut juga digunakan sebagai alamat kembali ke asal untuk blok CIDR kustom. Pastikan akses dari VPC ke aplikasi yang menggunakan blok CIDR kustom tersebut tersedia.
Izinkan alamat kembali ke asal
SASE mengakses server origin dalam modus proxy. Jika kebijakan kontrol akses dikonfigurasi pada server origin, server tersebut mungkin menganggap alamat kembali ke asal mencurigakan dan memblokir trafik yang diteruskan. Untuk mencegah hal ini, tambahkan alamat kembali ke asal ke daftar putih dalam kebijakan kontrol akses pada server origin.
Ubah VPC kembali ke asal
Untuk mengubah VPC kembali ke asal untuk instans CEN, klik Select Back-to-origin VPC di kolom Actions.
Manajemen VPC multi-akun
Jika Anda ingin mengelola VPC dalam anggota direktori sumber daya Anda, Anda harus menambahkan anggota tersebut terlebih dahulu. Setelah anggota ditambahkan, Anda dapat melihat VPC dalam akun manajemen dan anggota yang ditambahkan di halaman Private Access > Network Settings > Services on Alibaba Cloud. Jika tidak ada anggota yang ditambahkan, Anda hanya dapat melihat VPC dalam akun manajemen di halaman tersebut.
Untuk detailnya, lihat Gunakan fitur manajemen multi-akun.
Nonaktifkan koneksi jaringan
Nonaktifkan Network Connection untuk VPC atau instans CEN guna menghentikan tautan kembali ke asal antara gerbang SASE dan resource terkait. Setelah koneksi dinonaktifkan, pengguna tidak lagi dapat mengakses resource tersebut dari klien SASE.
Menonaktifkan koneksi jaringan akan segera memutus akses jaringan internal ke aplikasi kantor melalui klien SASE. Lakukan dengan hati-hati.
Langkah selanjutnya
Setelah Anda mengaktifkan koneksi jaringan, selesaikan tugas-tugas berikut:
Konfigurasikan aplikasi kantor untuk menentukan aplikasi mana saja yang dapat diakses pengguna
Konfigurasikan kebijakan percaya nol untuk mengontrol akses berdasarkan identitas dan konteks
Referensi
Konfigurasikan daftar putih aplikasi kantor untuk mengizinkan trafik dari alamat IP tertentu
Aktifkan koneksi jaringan untuk layanan di luar Alibaba Cloud untuk menghubungkan SASE ke aplikasi bisnis non-Alibaba Cloud
Aktifkan koneksi jaringan untuk aplikasi dalam skenario kantor global untuk menghubungkan SASE ke aplikasi di kantor global