本文將指導您如何通過配置阿里雲SASE(辦公安全平台)的連接器整合Global Acceleration(GA)服務,為分布在各地的員工提供高速、穩定且安全的加速體驗。
適用範圍
在開始配置前,請確保您已滿足以下條件:
已開通阿里雲辦公安全平台(SASE)。
擁有一個阿里雲帳號,並具備相關產品(SASE、GA、VPC、ECS)的操作許可權。
企業員工裝置已安裝SASE用戶端。
加速流量示意圖
費用成本
啟用Global Acceleration後,會在Global AccelerationGA中自動建立一個隨用隨付的GA執行個體,請注意啟用後產生的額外費用。
配置SASE身份與使用者
步驟一:建立身份源
進入身份接入頁面,切換至身份同步頁簽。
點擊新增身份源,本文以自訂身份源為例進行配置說明。
說明生產環境中,建議與企業的IdP(如AD、LDAP、DingTalk、企業微信等)進行整合。
在基礎配置中,填寫身份源名稱和描述,並將身份源状态設定為已開啟。單擊下一步。
在登录配置中,設定電腦裝置登入方式、行動裝置登入方式。本文樣本均保持預設配置,實際請按需選擇是否開啟雙因素認證。
配置確認無誤後,單擊確認即可完成建立。
步驟二:建立使用者與使用者組
進入身份接入頁面,切換至员工中心頁簽。在左側下拉框中選擇上一步建立的身份源,點擊添加用户,
在添加使用者面板中,填寫使用者名稱、密碼等資訊,並將组织部门歸屬到目標身份源。
切換至用户组管理頁簽。點擊添加使用者組,設定一個名稱(如
dev-group),並按需選擇組範圍。
資訊確認無誤後,單擊確定。
配置連接器打通網路
使用SASE連接器的網路打通方式,即將建立的連接器部署在跨域下車點所在的伺服器上,然後開啟執行個體開關,配置並啟用GA加速執行個體。
步驟一:添加SASE連接器
登入辦公安全平台控制台。在左側導覽列,選擇。
在非阿里雲業務頁簽,添加連接器。
在連接器列表頁簽,單擊添加連接器。
在添加連接器對話方塊,根據實際業務配置。然後單擊確定。
配置項
說明
地區
連接器的地區。為保障訪問品質,建議選擇與您伺服器距離最近的地區。
執行個體名稱
連接器的名稱。
執行個體開關
只有執行個體開關為開啟狀態時,SASE終端使用者才可以訪問連接器相關 App。
您也可以在連接器列表中開啟執行個體開關,或者在連接器詳情面板開啟執行個體開關。
重要關閉連接器執行個體開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。
添加完成後,您可以在連接器列表中查看您已添加的連接器資料。
啟用Global Acceleration。
找到建立完成的連接器執行個體,單擊操作欄的詳情。
在連接器的執行個體資訊頁面,找到全球加速一欄並啟用。
在启用全球加速彈出框中,填寫以下資訊:
重要首次開通Global Acceleration服務時,會提示您自動授權建立服務關聯角色:AliyunServiceRoleForGaCdt、AliyunServiceRoleForGaVpcEndpoint,以使Global AccelerationGA使用此角色來訪問您在SASE中的資源。
配置項
說明
全球实例名称
必填項,填寫Global Acceleration執行個體的名稱。
重要Global Acceleration的費用包含:執行個體費、效能容量單位CU費和流量費用。
资源组
選擇資源群組。
服务协议
點擊提交即表示同意相關服務合約。
資訊確認無誤後,單擊下一步。
配置加速地域、分配带宽。
配置項
說明
加速地域
配置加速地區。請選擇靠近使用者的地區。
說明加速地區暫不支援杜拜。
分配带宽
頻寬的取值範圍是2-10000,支援以下頻寬分配方式:
按地域设置带宽:自訂每個加速地區的頻寬峰值。
统一设置带宽:統一設定所有地區的頻寬峰值。
配置完成後單擊確定,加速執行個體建立需要一定時間,耐心等待即可。
加速執行個體建立成功後,即可在詳情頁面查看相關資訊。
步驟二:在跨域公網下車點上部署連接器
單擊已添加的連接器操作列部署,在部署面板擷取部署連接器的詳細命令。
以root使用者登入待部署的伺服器或者虛擬機器,執行部署命令。在部署面板,您還可以擷取升級連接器命令、卸載連接器的命令、匯出日誌的命令。
部署完成後,即可在詳情頁面的執行個體資訊地區,看到執行個體ID等資訊,執行個體狀態為已串連。
步驟三:配置企業加速策略
在存取控制頁面,切換至企業加速頁簽,單擊添加策略。
在添加策略面板,根據實際業務配置。然後單擊確定。
配置項
說明
策略名稱
企業加速策略名稱稱。
描述
策略的描述資訊。
優先順序
策略優先順序。取值範圍:1~100,數字越小優先順序越高。
加速实例
支援選擇以下幾種執行個體類型:
CEN:需要填寫執行個體地址(IP)、執行個體連接埠。
連接器:選擇connector執行個體。
說明選擇在添加SASE連接器步驟中建立成功的connector執行個體。
加速模式
支援選擇:
全域加速:此時會將所有互連網流量轉寄至加速線路,員工在APP上點擊“關閉加速”按鈕後停止加速。
自定义加速:添加策略後,請配置自訂加速地址,位址範圍內的流量才會通過加速線路轉寄。
加速使用者組
選擇加速生效的使用者組。支援多選。
在客戶端透出
勾選在用戶端透出後,員工可自訂選擇不同的加速策略。
加速模式選擇自定义加速時,需要配置加速地址,操作步驟如下:
在列表中找到已建立的策略,單擊操作一欄的加速地址。
在加速地址面板中,單擊新增加速地址。請參照下表配置加速地址:
配置項
說明
加速地址
手動輸入加速地址,最多支援添加500個地址。
本地批量上傳
可以使用模板檔案,批量上傳加速地址。支援.xlsx格式檔案,最大支援上傳100MB。
資訊確認無誤後,單擊確定即可。
步驟四(可選):在Global Acceleration(GA)控制台配置託管對象
如果對網路傳輸品質有更高的要求,可以參考以下步驟更改傳輸網路品質類型。
進入Global Acceleration控制台的執行個體列表頁面,查看託管對象及狀態。
如果當前帳號支援開通專線跨域加速,那麼自動建立託管的GA執行個體會預設為專線跨域加速模式,否則為精品頻寬模式。
添加企業加速白名單
如果不希望對某些網域名稱訪問或使用者的企業加速行為審計,可以為這些網域名稱或使用者添加企業加速白名單。
進入白名單頁面,切換至企業加速頁簽。
在網域名稱白名單地區,按需添加需要加白的網域名稱。支援添加多個網域名稱。
在用户白名单地區,按需添加需要加白的使用者名稱。支援添加多個使用者。
重要企業加速白名單的使用者,SASE用戶端的網路一欄中,將不顯示網路加速頁面。
添加完成後,單擊提交即可。
日誌審計
進入加速日誌頁面,用戶端訪問應用後,即可在內網日誌中搜尋、查看相應的加速日誌資訊。
