非阿里云业务
当您的业务部署在非阿里云环境时(例如IDC、AWS、腾讯云等),可以通过SASE配置连接器功能连接组网,实现使用SASE终端访问非阿里云环境的业务。本文介绍了配置连接器的具体操作。
背景信息
如果您需要管理成员账号下的连接器资源,请先添加成员账号。添加完成后,配置连接器页面显示当前管理账号和已添加的成员账号下的所有VBR、IPsecVPN、SAG资源。如果您未添加任何成员账号,则配置网络页面下只显示当前管理账号的VBR、IPsecVPN、SAG资源。更多内容,请参见多账号管理。
应用场景
前提条件
配置本地连接器之前您必须完成企业办公应用地配置。具体操作,请参见管理应用。
配置本地连接器
本地连接器所安装部署的虚拟机或者服务器的配置要求:
虚拟机或服务器配置:
CPU:4核
内存:8 GB
磁盘:40 GB
操作系统:CentOS 7版本及以上
网络配置:可以访问公网。如果存在防火墙配置,需要放行部署的服务器或虚拟机出方向443、 8000端口。
规格限制:200 MB流量转发。
端口说明:请确保9000~9010未被占用。
为保障访问连接高可用,建议您一个本地连接器实例安装并启动至少2个服务器或虚拟机。具体操作,请参见购买办公安全平台和安装并登录SASE安全客户端。
登录办公安全平台控制台。在左侧导航栏,选择 。
在网络配置页面,单击非阿里云业务。
添加连接器并关联应用。
按照如下步骤,获取授权license和instance_id值。最多支持添加5个连接器。
在连接器列表页签,单击添加connector。
在添加connector对话框,根据实际业务配置相关参数。然后单击确定。
配置项
说明
地域
连接器的地域。为保障访问质量,建议选择与您服务器距离最近的地域。
名称
连接器的名称。
授权license
允许添加本地连接器的版权许可。
关联应用
连接器关联的应用名称。
只有关联的应用才可以被SASE终端用户通过本地连接器访问。如果您没有在添加connector对话框中为连接器关联应用,您可以通过连接器的详情功能关联应用。
实例开关
只有实例开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。如果您没有在添加connector对话框开启实例开关,添加完成后,可以在连接器列表中开启,或者在连接器详情面板开启实例开关。
升级时间
连接器自动升级的时间。建议您设置在业务不繁忙的时间段内。
安装并部署连接器。
您可以单击操作列部署,在部署面板查看部署连接器的详细命令。
以root用户登录部署的服务器或者虚拟机,执行如下命令下载连接器。
wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.sh
执行如下命令修改权限。
chmod a+x /tmp/install_connector.sh
执行如下命令安装连接器。
sudo /tmp/install_connector.sh 163710033944**** 4C3D2495-560039C8-7266CC38-E001**** connector-143682282ee1****
执行如下命令启动连接器。
systemctlstartaliyun_sase_connector
如果需要开启开机自启动功能,执行如下命令。
systemctlenablealiyun_sase_connector
执行如下命令检查应用进程是否正常。
ps aux|grep sproxy_reverse_client
说明如果显示进程信息,表示进程正常运行。
您还可以根据业务需要,执行如下操作:
执行如下命令可以查看connector版本。
rpm-qa|grept-csas-sproxy-reverse-client
执行如下命令导出运行日志。
/opt/aliyun/csas/t-csas-sproxy-reverse-client/bin/export_log.sh
执行如下命令停止connector服务。
systemctl stop aliyun_sase_connector
配置阿里云网络通道
登录办公安全平台控制台。在左侧导航栏,选择 。
在网络配置页面,单击非阿里云业务。
在非阿里云业务页面,单击其他页签,查看使用阿里云网络通道的实例信息。
根据实际业务,配置回源VPC和网络打通开关,实现使用SASE终端用户访问非阿里云环境的业务。
字段说明
说明
连接器类型
SASE只能识别阿里云连接器。可识别的连接器类型如下:
VBR
CCN
VPN网关
实例ID/名称
不同类型的连接器(如VBR实例、VPN网关实例、CCN实例)实例ID。
所属账号
连接器所归属的账号信息,可是当前管理账号,也可以是添加的成员账号。
网络通道
连接器使用的网络通道。具体如下:
专线
SAG
IPsecVPN
内网网段
您本地网络的内网网段。
当网络通道为SAG和IPsecVPN时,SASE可以获取到您本地网络的内网网段,此时您无需做任何配置;当网络通道为专线时,SASE无法自动获取您本地网络的内网网段,此时需要您手动配置内网网段。配置时多个网段用英文逗号隔开。
回源地址
当您已经通过SAG、IPsecVPN和专线将本地网络与阿里云云上网络连通时,SASE可以通过已经与本地网络打通的VPC去回源访问本地网络,因此将这种VPC称为回源地址。
当连接器类型为IPsecVPN时,有且仅有一个VPC与本地网络连通,回源地址不能修改;当连接器类型为VBR或CCN时,由于VBR或CCN可以加入到某个CEN中,理论上被加入的CEN内的所有VPC都可以与本地网络连通。但是由于实际情况中您可能配置了特定的路由策略或者安全策略,所以需要您手动配置可以访问本地网络的VPC。
网络打通
设置网络打通开关,实现使用SASE终端用户访问非阿里云环境的业务。具体如下:
网络打通
开启了连接器网络打通开关,表示SASE终端用户能够访问您本地网络环境资源。
网络关闭
关闭了连接器网络打通开关,表示SASE终端用户不能访问您本地网络环境资源。
重要关闭VBR网络打通开关、IPsec-VPN网络打通开关、SAG网络打通开关、connector网络打通开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
后续步骤
配置完阿里云网络通道业务后,您需要再配置相关应用才能使用内网访问功能。详细信息,请参见管理应用。