本文将指导您如何通过配置阿里云SASE(办公安全平台)的连接器打通企业内网,并无缝集成全球加速(GA)服务,为分布在各地的员工提供访问企业内部应用的高速、稳定且安全的加速体验。
适用范围
在开始配置前,请确保您已满足以下条件:
已开通阿里云办公安全平台(SASE)。
拥有一个阿里云账号,并具备相关产品(SASE、GA、VPC、ECS)的操作权限。
加速地域的员工设备已安装SASE客户端。
加速流量示意图
下图以中国上海用户访问美国硅谷业务为例。
费用成本
启用全球加速后,会在全球加速GA中自动创建一个按量付费的GA实例,请注意启用后产生的额外费用。
配置SASE身份与用户
步骤一:创建身份源
进入身份接入页面,切换至身份同步页签。
点击新增身份源,本文以自定义身份源为例进行配置说明。
说明生产环境中,建议与企业的IdP(如AD、LDAP、钉钉、企业微信等)进行集成。
在基础配置中,填写身份源名称和描述,并将身份源状态设置为已开启。单击下一步。
在登录配置中,设置电脑设备登录方式、移动设备登录方式。本文示例均保持默认配置,实际请按需选择是否开启双因素认证。
配置确认无误后,单击确认即可完成创建。
步骤二:创建用户与用户组
进入身份接入页面,切换至员工中心页签。在左侧下拉框中选择上一步创建的身份源,点击添加用户,
在添加用户面板中,填写用户名、密码等信息,并将组织部门归属到目标身份源。
切换至用户组管理页签。点击添加用户组,设置一个名称(如
dev-group),并按需选择组范围。
信息确认无误后,单击确定。
配置连接器打通网络
使用SASE连接器的网络打通方式,即将创建的连接器部署在业务资源所在的线下IDC机房,或业务资源所在的其他云厂商的服务器、虚拟机上,然后开启实例开关。
步骤一:添加SASE连接器
登录办公安全平台控制台。在左侧导航栏,选择。
在非阿里云业务页签,添加连接器。
在连接器列表页签,单击添加连接器。
在添加连接器对话框,根据实际业务配置。然后单击确定。
配置项
说明
地域
连接器的地域。为保障访问质量,建议选择与您服务器距离最近的地域。
实例名称
连接器的名称。
实例开关
只有实例开关为开启状态时,SASE终端用户才可以访问连接器关联的应用。
您也可以在连接器列表中开启实例开关,或者在连接器详情面板开启实例开关。
重要关闭连接器实例开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
添加完成后,您可以在连接器列表中查看您已添加的连接器数据。
启用全球加速。
找到创建完成的连接器实例,单击操作栏的详情。
在连接器的实例信息页面,找到全球加速一栏并启用。
在启用全球加速弹出框中,填写以下信息:
重要首次开通全球加速服务时,会提示您自动授权创建服务关联角色:AliyunServiceRoleForGaCdt、AliyunServiceRoleForGaVpcEndpoint,以使全球加速GA使用此角色来访问您在SASE中的资源。
配置项
说明
全球实例名称
必填项,填写全球加速实例的名称。
重要全球加速的费用包含:实例费、性能容量单位CU费和流量费用。
资源组
选择资源组。
服务协议
点击提交即表示同意相关服务协议。
信息确认无误后,单击下一步。
配置加速地域、分配带宽。
配置项
说明
加速地域
配置加速地域。请选择靠近用户的地域。
说明加速地域暂不支持迪拜。
分配带宽
带宽的取值范围是2-10000,支持以下带宽分配方式:
按地域设置带宽:自定义每个加速区域的带宽峰值。
统一设置带宽:统一设置所有区域的带宽峰值。
配置完成后单击确定,加速实例创建需要一定时间,耐心等待即可。
加速实例创建成功后,即可在详情页面查看相关信息。
步骤二:在业务资源服务器上部署连接器
单击已添加的连接器操作列部署,在部署面板获取部署连接器的详细命令。
以root用户登录待部署的服务器或者虚拟机,执行部署命令。在部署面板,您还可以获取升级连接器命令、卸载连接器的命令、导出日志的命令。
部署完成后,即可在详情页面的实例信息区域,看到实例ID等信息,实例状态为已连接。
步骤三(可选):在全球加速(GA)控制台配置托管对象
如果对网络传输质量有更高的要求,可以参考以下步骤更改传输网络质量类型。
进入全球加速控制台的实例列表页面,查看托管对象及状态。
如果当前账号支持开通专线跨域加速,那么自动创建托管的GA实例会默认为专线跨域加速模式,否则为精品带宽模式。
步骤四:在应用中添加访问地址
进入应用管理页面,点击添加应用。
在基础配置中配置如下信息:
应用名称:填写应用名称。
描述:填写应用描述。
标签:选择应用标签。
状态:设置应用状态为启用/禁用。
访问模式:
APP访问:需要安装SASE APP才能访问办公应用,支持访问四层、七层应用,满足员工办公与运维的需求,同时支持丰富的终端安全检测与管控策略。
浏览器访问:无需安装SASE APP,使用浏览器即可访问企业的web办公应用,此模式不支持终端安全检测及管控策略。
确认无误后单击下一步,进入应用地址配置,并填写以下信息:
应用地址:填写应用服务器的域名或IP。
端口:填写应用的起始端口和结束端口。
描述:填写应用描述。
协议:选择TCP协议、UDP协议。
web应用访问加固(高级设置):可选,请按需配置访问加固。
应用地址信息确认无误后,单击确定即可。
配置完成后,如下图:
使用已配置的访问模式(如APP访问),访问相应的加速地址验证即可。
步骤五:配置连接器转发策略
在连接器列表页签,单击转发策略。
在转发策略页面,单击创建策略。
在创建策略面板,根据实际业务配置。然后单击确定。
配置项
说明
策略名称
连接器转发策略的名称。
描述
策略的描述信息。
优先级
策略优先级。取值范围:1~100,数字越小优先级越高。
策略详情
添加生效用户和关联应用。
关联连接器
选择策略关联的连接器。
策略状态
只有策略状态为开启状态时,该策略才生效。
步骤六:配置零信任策略
在零信任策略页面,单击添加策略。
在新增策略面板,根据实际业务配置。然后单击确定。
配置项
说明
策略名称
零信任策略的名称。
描述
策略的描述信息。
优先级
策略优先级。优先级范围在 1~45 之间,且起始输入不能为0。
动作
支持配置允许访问(默认)、禁止访问。
策略详情
添加生效用户和关联应用。
可信进程
默认不启用。
说明启用后,零信任网关会校验发起此次访问的进程是否为可信进程,非可信进程的访问将被阻断。
安全基线
选择配置安全基线。非必选。
触发模板
选择配置触发模板。非必选。
策略状态
默认启用。只有策略状态为已启用状态时,该策略才生效。
添加内网访问白名单
如果不希望对部分IP或域名的加速行为进行审计,可以添加内网访问白名单。
操作流程如下:
进入白名单页面,切换至内网访问页签。
在IP白名单区域,按需添加需要加白的IP。支持添加多个IP。
在域名白名单区域,按需添加需要加白的域名。支持添加多个域名。
添加完成后,单击提交即可。
内网访问审计
进入内网访问审计下的常规日志页面,客户端访问应用后,即可在内网日志中搜索、查看相应的日志信息。
网络诊断
创建诊断任务
进入网络诊断页面,单击创建任务。
在弹出面板中配置如下信息:
任务类型:可选择全链路诊断、应用诊断。办公加速诊断任务,选择全链路诊断。
任务对象:设置此次诊断的任务对象,可以添加多个。
用户名:选择用户。
应用协议:支持选择TCP、UDP两种协议类型。
应用地址:填写应用的域名或IP地址、端口号。
接入点:默认为自动选择。也可以手动指定接入点。
信息确认无误后,单击确定。
查看诊断结果
进入网络诊断页面,在任务列表中找到已经创建的诊断任务。
单击操作栏中的查看,即可展开任务诊断详情。
