使用阿里云其他网络实例(VBR、CCN、VPN网关)

当企业业务资源部署在非阿里云业务资源上,且业务组网已经部署了阿里云VBR、CCN、VPN网关,您可以通过SASE网关和阿里云VBR、CCN、VPN网关打通企业本地网络和非阿里云上业务资源的网络通道,实现企业员工通过内网访问非阿里云业务资源。本文介绍如何同步阿里云其他连接器实例、配置回源VPC以及开启或者关闭网络打通开关。

管理多个阿里云账号下的业务资源

如果您需要管理成员账号下的连接器资源,请先添加成员账号。添加完成后SASE网络配置 > 非阿里云业务页签下显示当前管理账号和已添加的成员账号下的所有VBR、IPsecVPN、SAG资源。如果您未添加任何成员账号,则只显示当前管理账号的VBR、IPsecVPN、SAG资源。更多内容,请参见多账号管理

网络打通原理图

image

开启网络打通开关

步骤一:同步云上网络实例

SASE会自动同步您的云上网络实例。同步后的字段说明如下:

字段名称

说明

连接器类型

SASE只能识别阿里云专线VBR、CCN、VPN网关这三种类型。

实例ID/名称

不同类型的连接器(如VBR实例、VPN网关实例、CCN实例)实例ID。

所属账号

连接器所归属的账号信息,可以是当前管理账号,也可以是添加的成员账号。

网络通道

连接器使用的网络通道。

其中,VBR对应的网络通道是专线;CCN对应的网络通道是SAG;VPN对应的网络通道是IPsecVPN

内网网段

您本地网络的内网网段或者云上VPC的交换机网段。

  • 当网络通道为SAGIPsecVPN时,SASE可以获取到内网网段,此时您无需做任何配置。

  • 当网络通道为专线时,SASE无法自动获取内网网段,此时需要您手动配置内网网段。

配置时多个网段用英文逗号隔开。

步骤二:配置回源VPC

当您已经通过SAGIPsecVPN专线将本地网络与阿里云云上网络连通时,SASE可以通过已经与本地网络打通的VPC去回源访问本地网络,因此将这种VPC称为回源VPC。

  • 当连接器类型为IPsecVPN(即VPN网关)时,有且仅有一个VPC与本地网络连通,回源VPC不能修改。

  • 当连接器类型为VBR时,您需要在回源VPC列手动设置回源地址。

  • 当连接器类型为CCN时,您可以在操作列单击选择回源VPC进行设置。

    说明

    理论上被加入的CCN内的所有VPC都可以与本地网络连通,但是由于实际情况中您可能配置了特定的路由策略或者安全策略,所以需要您选择可以访问本地网络的回源VPC。

步骤三:开启网络打通开关

云上网络实例页签,为目标实例开启网络打通开关,使SASE终端用户访问非阿里云环境的业务。

关闭网络打通开关

如果某个网络通道无需开启,您可以关闭其网络打通开关。

重要

关闭VBR、IPsec-VPN、SAG网络打通开关,会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

后续步骤

网络打通后,您需要配置企业员工可访问的业务应用。详细信息,请参见配置办公应用配置零信任策略

相关文档