本文將指導您如何通過配置阿里雲SASE(辦公安全平台)的連接器打通企業內網,並無縫整合Global Acceleration(GA)服務,為分布在各地的員工提供訪問企業內部應用的高速、穩定且安全的加速體驗。
適用範圍
在開始配置前,請確保您已滿足以下條件:
已開通阿里雲辦公安全平台(SASE)。
擁有一個阿里雲帳號,並具備相關產品(SASE、GA、VPC、ECS)的操作許可權。
加速地區的員工裝置已安裝SASE用戶端。
加速流量示意圖
下圖以中國上海使用者訪問美國矽谷業務為例。
費用成本
啟用Global Acceleration後,會在Global AccelerationGA中自動建立一個隨用隨付的GA執行個體,請注意啟用後產生的額外費用。
配置SASE身份與使用者
步驟一:建立身份源
進入身份接入頁面,切換至身份同步頁簽。
點擊新增身份源,本文以自訂身份源為例進行配置說明。
說明生產環境中,建議與企業的IdP(如AD、LDAP、DingTalk、企業微信等)進行整合。
在基礎配置中,填寫身份源名稱和描述,並將身份源状态設定為已開啟。單擊下一步。
在登录配置中,設定電腦裝置登入方式、行動裝置登入方式。本文樣本均保持預設配置,實際請按需選擇是否開啟雙因素認證。
配置確認無誤後,單擊確認即可完成建立。
步驟二:建立使用者與使用者組
進入身份接入頁面,切換至员工中心頁簽。在左側下拉框中選擇上一步建立的身份源,點擊添加用户,
在添加使用者面板中,填寫使用者名稱、密碼等資訊,並將组织部门歸屬到目標身份源。
切換至用户组管理頁簽。點擊添加使用者組,設定一個名稱(如
dev-group),並按需選擇組範圍。
資訊確認無誤後,單擊確定。
配置連接器打通網路
使用SASE連接器的網路打通方式,即將建立的連接器部署在業務資源所在的線下IDC機房,或業務資源所在的其他雲廠商的伺服器、虛擬機器上,然後開啟執行個體開關。
步驟一:添加SASE連接器
登入辦公安全平台控制台。在左側導覽列,選擇。
在非阿里雲業務頁簽,添加連接器。
在連接器列表頁簽,單擊添加連接器。
在添加連接器對話方塊,根據實際業務配置。然後單擊確定。
配置項
說明
地區
連接器的地區。為保障訪問品質,建議選擇與您伺服器距離最近的地區。
執行個體名稱
連接器的名稱。
執行個體開關
只有執行個體開關為開啟狀態時,SASE終端使用者才可以訪問連接器相關 App。
您也可以在連接器列表中開啟執行個體開關,或者在連接器詳情面板開啟執行個體開關。
重要關閉連接器執行個體開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。
添加完成後,您可以在連接器列表中查看您已添加的連接器資料。
啟用Global Acceleration。
找到建立完成的連接器執行個體,單擊操作欄的詳情。
在連接器的執行個體資訊頁面,找到全球加速一欄並啟用。
在启用全球加速彈出框中,填寫以下資訊:
重要首次開通Global Acceleration服務時,會提示您自動授權建立服務關聯角色:AliyunServiceRoleForGaCdt、AliyunServiceRoleForGaVpcEndpoint,以使Global AccelerationGA使用此角色來訪問您在SASE中的資源。
配置項
說明
全球实例名称
必填項,填寫Global Acceleration執行個體的名稱。
重要Global Acceleration的費用包含:執行個體費、效能容量單位CU費和流量費用。
资源组
選擇資源群組。
服务协议
點擊提交即表示同意相關服務合約。
資訊確認無誤後,單擊下一步。
配置加速地域、分配带宽。
配置項
說明
加速地域
配置加速地區。請選擇靠近使用者的地區。
說明加速地區暫不支援杜拜。
分配带宽
頻寬的取值範圍是2-10000,支援以下頻寬分配方式:
按地域设置带宽:自訂每個加速地區的頻寬峰值。
统一设置带宽:統一設定所有地區的頻寬峰值。
配置完成後單擊確定,加速執行個體建立需要一定時間,耐心等待即可。
加速執行個體建立成功後,即可在詳情頁面查看相關資訊。
步驟二:在業務資原始伺服器上部署連接器
單擊已添加的連接器操作列部署,在部署面板擷取部署連接器的詳細命令。
以root使用者登入待部署的伺服器或者虛擬機器,執行部署命令。在部署面板,您還可以擷取升級連接器命令、卸載連接器的命令、匯出日誌的命令。
部署完成後,即可在詳情頁面的執行個體資訊地區,看到執行個體ID等資訊,執行個體狀態為已串連。
步驟三(可選):在Global Acceleration(GA)控制台配置託管對象
如果對網路傳輸品質有更高的要求,可以參考以下步驟更改傳輸網路品質類型。
進入Global Acceleration控制台的執行個體列表頁面,查看託管對象及狀態。
如果當前帳號支援開通專線跨域加速,那麼自動建立託管的GA執行個體會預設為專線跨域加速模式,否則為精品頻寬模式。
步驟四:在應用中添加訪問地址
進入應用管理頁面,點擊添加應用。
在基礎配置中配置如下資訊:
應用程式名稱:填寫應用程式名稱。
描述:填寫應用描述。
標籤:選擇應用標籤。
狀態:設定應用狀態為啟用/禁用。
访问模式:
APP訪問:需要安裝SASE APP才能訪問辦公應用,支援訪問四層、七層應用,滿足員工辦公與營運的需求,同時支援豐富的終端安全檢測與管控策略。
浏览器访问:無需安裝SASE APP,使用瀏覽器即可訪問企業的web辦公應用,此模式不支援終端安全檢測及管控策略。
確認無誤後單擊下一步,進入應用地址配置,並填寫以下資訊:
應用地址:填寫應用伺服器的網域名稱或IP。
連接埠:填寫應用的開始端點口和結束連接埠。
描述:填寫應用描述。
協議:選擇TCP協議、UDP協議。
web應用訪問加固(進階設定):可選,請按需配置訪問加固。
應用地址資訊確認無誤後,單擊確定即可。
配置完成後,如下圖:
使用已配置的訪問模式(如APP訪問),訪問相應的加速地址驗證即可。
步驟五:配置連接器轉寄策略
在連接器列表頁簽,單擊轉寄策略。
在轉寄策略頁面,單擊建立策略。
在建立策略面板,根據實際業務配置。然後單擊確定。
配置項
說明
策略名稱稱
連接器轉寄策略的名稱。
描述
策略的描述資訊。
優先順序
策略優先順序。取值範圍:1~100,數字越小優先順序越高。
策略詳情
添加生效使用者和關聯應用。
關聯連接器
選擇策略關聯的連接器。
策略狀態
只有策略狀態為開啟狀態時,該策略才生效。
步驟六:配置零信任策略
在零信任策略頁面,單擊添加策略。
在新增策略面板,根據實際業務配置。然後單擊確定。
配置項
說明
策略名稱
零信任策略的名稱。
描述
策略的描述資訊。
優先順序
策略優先順序。優先順序範圍在 1~45 之間,且起始輸入不能為0。
動作
支援配置允许访问(預設)、禁止访问。
策略詳情
添加生效使用者和關聯應用。
可信进程
預設不啟用。
說明啟用後,零信任網關會校正發起此次訪問的進程是否為可信進程,非可信進程的訪問將被阻斷。
安全基準
選擇配置安全基準。非必選。
触发模板
選擇配置觸發模板。非必選。
策略狀態
預設啟用。只有策略狀態為已啟用狀態時,該策略才生效。
添加內網訪問白名單
如果不希望對部分IP或網域名稱的加速行為進行審計,可以添加內網訪問白名單。
操作流程如下:
進入白名單頁面,切換至內網訪問頁簽。
在IP白名單地區,按需添加需要加白的IP。支援添加多個IP。
在網域名稱白名單地區,按需添加需要加白的網域名稱。支援添加多個網域名稱。
添加完成後,單擊提交即可。
內網訪問審計
進入內網訪問審計下的常規日誌頁面,用戶端訪問應用後,即可在內網日誌中搜尋、查看相應的日誌資訊。
網路診斷
建立診斷任務
進入網路診斷頁面,單擊创建任务。
在彈出面板中配置如下資訊:
任務類型:可選擇全链路诊断、应用诊断。辦公加速診斷任務,選擇全鏈路診斷。
任务对象:設定此次診斷的任務對象,可以添加多個。
使用者名稱:選擇使用者。
应用协议:支援選擇TCP、UDP兩種協議類型。
應用地址:填寫應用的網域名稱或IP地址、連接埠號碼。
接入点:預設為自动选择。也可以手動指定存取點。
資訊確認無誤後,單擊確定。
查看診斷結果
進入網路診斷頁面,在工作清單中找到已經建立的診斷任務。
單擊操作欄中的查看,即可展開任務診斷詳情。
