非阿里云业务

当您的业务部署在非阿里云环境时(例如IDC、AWS、腾讯云等),可以通过SASE配置连接器功能连接组网,实现使用SASE终端访问非阿里云环境的业务。本文介绍了配置连接器的具体操作。

背景信息

如果您需要管理成员账号下的连接器资源,请先添加成员账号。添加完成后,配置连接器页面显示当前管理账号和已添加的成员账号下的所有VBR、IPsecVPN、SAG资源。如果您未添加任何成员账号,则配置网络页面下只显示当前管理账号的VBR、IPsecVPN、SAG资源。更多内容,请参见多账号管理

应用场景

连接器包含本地连接器和阿里云网络通道,具体应用场景如下:

  • 本地连接器

    适用于您的业务部署在非阿里云环境,通过SASE本地连接器功能,实现SASE终端用户访问部署在非阿里云上的业务。具体步骤,请参见配置本地连接器

  • 阿里云网络通道

    适用于您的业务部署在非阿里云环境,通过阿里云提供的网络服务(如SAG、专线、IPsecVPN等),实现SASE终端用户访问部署在非阿里云上的业务。具体步骤,请参见配置阿里云网络通道

前提条件

配置本地连接器之前您必须完成企业办公应用地配置。具体操作,请参见管理应用

配置本地连接器

本地连接器所安装部署的虚拟机或者服务器的配置要求:

  • 虚拟机或服务器配置:

    • CPU:4核

    • 内存:8 GB

    • 磁盘:40 GB

    • 操作系统:CentOS 7版本及以上

  • 网络配置:可以访问公网。如果存在防火墙配置,需要放行部署的服务器或虚拟机出方向443、 8000端口。

  • 规格限制:200 MB流量转发。

  • 端口说明:请确保9000~9010未被占用。

为保障访问连接高可用,建议您一个本地连接器实例安装并启动至少2个服务器或虚拟机。具体操作,请参见购买办公安全平台安装并登录SASE安全客户端

  1. 登录办公安全平台控制台。在左侧导航栏,选择内网访问 > 网络配置

  2. 网络配置页面,单击非阿里云业务

  3. 添加连接器并关联应用。

    按照如下步骤,获取授权licenseinstance_id值。最多支持添加5个连接器。

    1. 连接器列表页签,单击添加connector

    2. 添加connector对话框,根据实际业务配置相关参数。然后单击确定

      配置项

      说明

      地域

      连接器的地域。为保障访问质量,建议选择与您服务器距离最近的地域。

      名称

      连接器的名称。

      授权license

      允许添加本地连接器的版权许可。

      关联应用

      连接器关联的应用名称。

      只有关联的应用才可以被SASE终端用户通过本地连接器访问。如果您没有在添加connector对话框中为连接器关联应用,您可以通过连接器的详情功能关联应用。

      实例开关

      只有实例开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。如果您没有在添加connector对话框开启实例开关,添加完成后,可以在连接器列表中开启,或者在连接器详情面板开启实例开关。

      升级时间

      连接器自动升级的时间。建议您设置在业务不繁忙的时间段内。

  4. 安装并部署连接器。

    您可以单击操作部署,在部署面板查看部署连接器的详细命令。

    1. root用户登录部署的服务器或者虚拟机,执行如下命令下载连接器。

      wget 'https://sase-app.oss-cn-hangzhou.aliyuncs.com/connector/install_connector.latest.sh' -O /tmp/install_connector.sh
    2. 执行如下命令修改权限。

      chmod a+x /tmp/install_connector.sh
    3. 执行如下命令安装连接器。

      sudo /tmp/install_connector.sh 163710033944**** 4C3D2495-560039C8-7266CC38-E001**** connector-143682282ee1****
    4. 执行如下命令启动连接器。

      systemctlstartaliyun_sase_connector
    5. 如果需要开启开机自启动功能,执行如下命令。

      systemctlenablealiyun_sase_connector
    6. 执行如下命令检查应用进程是否正常。

      ps aux|grep sproxy_reverse_client
      说明

      如果显示进程信息,表示进程正常运行。

      您还可以根据业务需要,执行如下操作:

      • 执行如下命令可以查看connector版本。

        rpm-qa|grept-csas-sproxy-reverse-client
      • 执行如下命令导出运行日志。

        /opt/aliyun/csas/t-csas-sproxy-reverse-client/bin/export_log.sh
      • 执行如下命令停止connector服务。

        systemctl stop aliyun_sase_connector

配置阿里云网络通道

  1. 登录办公安全平台控制台。在左侧导航栏,选择内网访问 > 网络配置

  2. 网络配置页面,单击非阿里云业务

  3. 非阿里云业务页面,单击其他页签,查看使用阿里云网络通道的实例信息。

  4. 根据实际业务,配置回源VPC网络打通开关,实现使用SASE终端用户访问非阿里云环境的业务。

    字段说明

    说明

    连接器类型

    SASE只能识别阿里云连接器。可识别的连接器类型如下:

    • VBR

    • CCN

    • VPN网关

    实例ID/名称

    不同类型的连接器(如VBR实例、VPN网关实例、CCN实例)实例ID。

    所属账号

    连接器所归属的账号信息,可是当前管理账号,也可以是添加的成员账号。

    网络通道

    连接器使用的网络通道。具体如下:

    • 专线

    • SAG

    • IPsecVPN

    内网网段

    您本地网络的内网网段。

    当网络通道为SAGIPsecVPN时,SASE可以获取到您本地网络的内网网段,此时您无需做任何配置;当网络通道为专线时,SASE无法自动获取您本地网络的内网网段,此时需要您手动配置内网网段。配置时多个网段用英文逗号隔开。

    回源地址

    当您已经通过SAGIPsecVPN专线将本地网络与阿里云云上网络连通时,SASE可以通过已经与本地网络打通的VPC去回源访问本地网络,因此将这种VPC称为回源地址。

    当连接器类型为IPsecVPN时,有且仅有一个VPC与本地网络连通,回源地址不能修改;当连接器类型为VBRCCN时,由于VBRCCN可以加入到某个CEN中,理论上被加入的CEN内的所有VPC都可以与本地网络连通。但是由于实际情况中您可能配置了特定的路由策略或者安全策略,所以需要您手动配置可以访问本地网络的VPC。

    网络打通

    设置网络打通开关,实现使用SASE终端用户访问非阿里云环境的业务。具体如下:

    • 网络打通

      开启了连接器网络打通开关,表示SASE终端用户能够访问您本地网络环境资源。

    • 网络关闭

      关闭了连接器网络打通开关,表示SASE终端用户不能访问您本地网络环境资源。

      重要

      关闭VBR网络打通开关、IPsec-VPN网络打通开关、SAG网络打通开关、connector网络打通开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

后续步骤

配置完阿里云网络通道业务后,您需要再配置相关应用才能使用内网访问功能。详细信息,请参见管理应用

阿里云首页 办公安全平台 相关技术圈