本文将指导您如何通过配置阿里云SASE(办公安全平台)的连接器集成全球加速(GA)服务,为分布在各地的员工提供高速、稳定且安全的加速体验。
适用范围
在开始配置前,请确保您已满足以下条件:
已开通阿里云办公安全平台(SASE)。
拥有一个阿里云账号,并具备相关产品(SASE、GA、VPC、ECS)的操作权限。
企业员工设备已安装SASE客户端。
加速流量示意图
费用成本
启用全球加速后,会在全球加速GA中自动创建一个按量付费的GA实例,请注意启用后产生的额外费用。
配置SASE身份与用户
步骤一:创建身份源
进入身份接入页面,切换至身份同步页签。
点击新增身份源,本文以自定义身份源为例进行配置说明。
说明生产环境中,建议与企业的IdP(如AD、LDAP、钉钉、企业微信等)进行集成。
在基础配置中,填写身份源名称和描述,并将身份源状态设置为已开启。单击下一步。
在登录配置中,设置电脑设备登录方式、移动设备登录方式。本文示例均保持默认配置,实际请按需选择是否开启双因素认证。
配置确认无误后,单击确认即可完成创建。
步骤二:创建用户与用户组
进入身份接入页面,切换至员工中心页签。在左侧下拉框中选择上一步创建的身份源,点击添加用户,
在添加用户面板中,填写用户名、密码等信息,并将组织部门归属到目标身份源。
切换至用户组管理页签。点击添加用户组,设置一个名称(如
dev-group),并按需选择组范围。
信息确认无误后,单击确定。
配置连接器打通网络
使用SASE连接器的网络打通方式,即将创建的连接器部署在跨域下车点所在的服务器上,然后开启实例开关,配置并启用GA加速实例。
步骤一:添加SASE连接器
登录办公安全平台控制台。在左侧导航栏,选择。
在非阿里云业务页签,添加连接器。
在连接器列表页签,单击添加连接器。
在添加连接器对话框,根据实际业务配置。然后单击确定。
配置项
说明
地域
连接器的地域。为保障访问质量,建议选择与您服务器距离最近的地域。
实例名称
连接器的名称。
实例开关
只有实例开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。
您也可以在连接器列表中开启实例开关,或者在连接器详情面板开启实例开关。
重要关闭连接器实例开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
添加完成后,您可以在连接器列表中查看您已添加的连接器数据。
启用全球加速。
找到创建完成的连接器实例,单击操作栏的详情。
在连接器的实例信息页面,找到全球加速一栏并启用。
在启用全球加速弹出框中,填写以下信息:
重要首次开通全球加速服务时,会提示您自动授权创建服务关联角色:AliyunServiceRoleForGaCdt、AliyunServiceRoleForGaVpcEndpoint,以使全球加速GA使用此角色来访问您在SASE中的资源。
配置项
说明
全球实例名称
必填项,填写全球加速实例的名称。
重要全球加速的费用包含:实例费、性能容量单位CU费和流量费用。
资源组
选择资源组。
服务协议
点击提交即表示同意相关服务协议。
信息确认无误后,单击下一步。
配置加速地域、分配带宽。
配置项
说明
加速地域
配置加速地域。请选择靠近用户的地域。
说明加速地域暂不支持迪拜。
分配带宽
带宽的取值范围是2-10000,支持以下带宽分配方式:
按地域设置带宽:自定义每个加速区域的带宽峰值。
统一设置带宽:统一设置所有区域的带宽峰值。
配置完成后单击确定,加速实例创建需要一定时间,耐心等待即可。
加速实例创建成功后,即可在详情页面查看相关信息。
步骤二:在跨域公网下车点上部署连接器
单击已添加的连接器操作列部署,在部署面板获取部署连接器的详细命令。
以root用户登录待部署的服务器或者虚拟机,执行部署命令。在部署面板,您还可以获取升级连接器命令、卸载连接器的命令、导出日志的命令。
部署完成后,即可在详情页面的实例信息区域,看到实例ID等信息,实例状态为已连接。
步骤三:配置企业加速策略
在访问控制页面,切换至企业加速页签,单击添加策略。
在添加策略面板,根据实际业务配置。然后单击确定。
配置项
说明
策略名称
企业加速策略名称。
描述
策略的描述信息。
优先级
策略优先级。取值范围:1~100,数字越小优先级越高。
加速实例
支持选择以下几种实例类型:
CEN:需要填写实例地址(IP)、实例端口。
连接器:选择connector实例。
说明选择在添加SASE连接器步骤中创建成功的connector实例。
加速模式
支持选择:
全局加速:此时会将所有互联网流量转发至加速线路,员工在APP上点击“关闭加速”按钮后停止加速。
自定义加速:添加策略后,请配置自定义加速地址,地址范围内的流量才会通过加速线路转发。
加速用户组
选择加速生效的用户组。支持多选。
在客户端透出
勾选在客户端透出后,员工可自定义选择不同的加速策略。
加速模式选择自定义加速时,需要配置加速地址,操作步骤如下:
在列表中找到已创建的策略,单击操作一栏的加速地址。
在加速地址面板中,单击新增加速地址。请参照下表配置加速地址:
配置项
说明
加速地址
手动输入加速地址,最多支持添加500个地址。
本地批量上传
可以使用模板文件,批量上传加速地址。支持.xlsx格式文件,最大支持上传100MB。
信息确认无误后,单击确定即可。
步骤四(可选):在全球加速(GA)控制台配置托管对象
如果对网络传输质量有更高的要求,可以参考以下步骤更改传输网络质量类型。
进入全球加速控制台的实例列表页面,查看托管对象及状态。
如果当前账号支持开通专线跨域加速,那么自动创建托管的GA实例会默认为专线跨域加速模式,否则为精品带宽模式。
添加企业加速白名单
如果不希望对某些域名访问或用户的企业加速行为审计,可以为这些域名或用户添加企业加速白名单。
进入白名单页面,切换至企业加速页签。
在域名白名单区域,按需添加需要加白的域名。支持添加多个域名。
在用户白名单区域,按需添加需要加白的用户名。支持添加多个用户。
重要企业加速白名单的用户,SASE客户端的网络一栏中,将不显示网络加速页面。
添加完成后,单击提交即可。
日志审计
进入加速日志页面,客户端访问应用后,即可在内网日志中搜索、查看相应的加速日志信息。
