当您的业务部署在非阿里云环境时(例如IDC、AWS、腾讯云等),可以通过SASE配置连接器功能连接组网,实现使用SASE终端访问非阿里云环境的业务。本文介绍了配置连接器的具体操作。

背景信息

如果您需要管理成员账号下的连接器资源,请先添加成员账号。添加完成后,配置连接器页面显示当前管理账号和已添加的成员账号下的所有VBR专线、IPsec VPN、SAG资源。如果您未添加任何成员账号,则配置网络页面下只显示当前管理账号的VBR专线、IPsec VPN、SAG资源。更多内容,请参见多账号管理

应用场景

连接器包含本地连接器和阿里云网络通道,具体应用场景如下:
  • 本地连接器

    适用于您的业务部署在非阿里云环境,通过SASE本地连接器功能,实现SASE终端用户访问部署在非阿里云上的业务。具体步骤,请参见本地连接器

  • 阿里云网络通道

    适用于您的业务部署在非阿里云环境,通过阿里云提供的网络服务(如SAG、专线、IPsecVPN等),实现SASE终端用户访问部署在非阿里云上的业务。具体步骤,请参见阿里云网络通道

本地连接器

本地连接器安装部署配置要求:
  • 虚拟机或服务器配置:
    • CPU:4核
    • 内存:8 GB
    • 磁盘:40 GB
    • 操作系统:CentOS7版本及以上
  • 网络配置:可以访问公网。如果存在防火墙配置,需要放行部署的服务器或虚拟机出方向443、 8000端口。
  • 规格限制:200 MB流量转发。
  • 端口说明:请确保9000~9010未被占用。
说明 已开通SASE,并已安装SASE客户端。为了达到高可用目的,建议您一个本地连接器实例安装并启动至少2个客户端。更多内容,请参见申请免费试用账户设置
  1. 登录办公安全平台控制台
  2. 在左侧导航栏,选择内网访问 > 网络配置
  3. 网络配置页面,单击非阿里云业务
    连接器列表
  4. 添加连接器并关联应用。
    按照如下步骤,获取授权licenseinstance_id值。最多支持添加5个连接器。
    1. 连机器列表页签,单击添加connector
    2. 添加connector对话框,根据实际业务配置相关参数,然后单击确定
      配置项 说明
      地域 连接器的地域。为了您的网络稳定且高速,建议选择与您服务器距离最近的地域。
      名称 连接器的名称。
      授权license 允许添加本地连接器的版权许可。
      关联应用 连接器关联的应用名称。

      只有关联的应用才可以被SASE终端用户通过本地连接器访问。如果您没有在添加connector对话框中为连接器关联应用,您可以通过连接器的详情功能关联应用。

      状态 连接器状态开关。

      只有状态开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。如果您没有在添加connector对话框中打开状态开关,您可以添加完成后,在连接器列表中打开,或者通过连接器的详情功能打开状态开关。

      升级时间 连接器自动升级的时间。建议您设置在业务不繁忙的时间段内。
    3. 单击确定。添加成功的连接器信息显示在连接器列表中。
      添加完成后,您可以根据实际业务,执行如下操作:
      • 查看详情:单击操作列详情,展开右侧详情面板,查看已添加连接器的详细信息。
      • 删除连接器:当您不再需要某个连接器时,您需要先删除该连接器关联的应用,然后单击操作列删除,删除该连接器。
  5. 安装并部署连接器。
    1. 连接器管理页面,单击连接器列表页签右侧的connector安装包下载
    2. root用户登录部署的服务器或者虚拟机,执行如下命令安装连接器。
      sudo rpm -ivh t-csas-sproxy-reverse-client-<version>.rpm
    3. 修改配置文件(/opt/aliyun/csas/t-csas-sproxy-reverse-client/conf/config.yaml)中的阿里云账号ID(阿里云账号UID)授权licenseinstance_id
      说明 config.yaml文件中的配置字段均需要在冒号后添加空格,例如:aliuid: +阿里云账号uid。
    4. 执行如下命令启动connector
      systemctl start aliyun_sase_connector
    5. 可选:执行如下命令开启开机自启动功能。
      systemctl enable aliyun_sase_connector 
    6. 执行如下命令检查应用进程是否正常。
      ps aux|grep sproxy_reverse_client
      说明 如果显示进程信息,表示进程正常运行。
      您还可以根据业务需要,执行如下操作:
      • 执行如下命令可以查看connector版本,目前1.0.4为最新版本。
        rpm -qa | grep t-csas-sproxy-reverse-client 
      • 执行如下命令导出运行日志。
        /opt/aliyun/csas/t-csas-sproxy-reverse-client/bin/export_log.sh
      • 执行如下命令停止connector服务。
        systecmctl stop aliyun_sase_connector

阿里云网络通道

  1. 登录办公安全平台控制台
  2. 在左侧导航栏,选择内网访问 > 连接器管理
  3. 单击其他页签,显示使用阿里云网络通道的实例信息。其他
  4. 根据实际业务,配置回源地址网络打通开关,实现使用SASE终端用户访问非阿里云环境的业务。
    参数名称 说明
    连接器类型 SASE只能识别阿里云连接器。可识别的连接器类型如下:
    • 专线VBR
    • CCN
    • VPN网关
    实例ID/名称 不同类型的连接器(如VBR实例、VPN网关实例、CCN实例)实例ID。
    所属账号 连接器所归属的账号信息,可是当前管理账号,也可以是添加的成员账号。
    网络通道 连接器使用的网络通道。具体如下:
    • 专线
    • SAG
    • IPsecVPN
    内网网段 您本地网络的内网网段。

    当网络通道为SAGIPsecVPN时,SASE可以获取到您本地网络的内网网段,此时您无需做任何配置;当网络通道为专线时,SASE无法自动获取您本地网络的内网网段,此时需要您手动配置内网网段。配置时多个网段用英文逗号隔开。

    回源地址 当您已经通过SAGIPsecVPN专线将本地网络与阿里云云上网络连通时,SASE可以通过已经与本地网络打通的VPC去回源访问本地网络,因此将这种VPC称为回源地址。

    当连接器类型为IPsecVPN时,有且仅有一个VPC与本地网络连通,因此回源地址不能修改;当连接器类型为VBRCCN时,由于他们可以加入到某个CEN中,因此理论上被加入的CEN内的所有VPC都可以与本地网络连通。但是由于实际情况中您可能配置了特定的路由策略或者安全策略,因此需要您手动配置可以访问本地网络的VPC。

    网络打通 设置网络打通开关,实现使用SASE终端用户访问非阿里云环境的业务。具体如下:
    • 网络打通

      开启了连接器网络打通开关,表示SASE终端用户能够访问您本地网络环境资源。

    • 网络关闭

      关闭了连接器网络打通开关,表示SASE终端用户不能访问您本地网络环境资源。

后续步骤

配置完非阿里云业务后,您需要再配置相关应用才能使用内网访问功能。详细信息,请参见配置应用