云安全服务可建立从 Edge 到云安全服务站点的安全隧道。这可确保到云安全服务的流量是安全的。

要配置云安全提供程序,请执行以下步骤。

过程

  1. 在企业门户中,单击配置 (Configure) > 网络服务 (Network Services)
  2. 云安全服务 (Cloud Security Service) 部分中,单击新建 (New)
  3. 新建云安全提供程序 (New Cloud Security Provider) 窗口中,提供所需的详细信息以配置新的云安全提供程序。
    选项 描述
    服务名称 (Service Name) 为云安全服务输入描述性名称。
    服务类型 (Service Type) 选择以下选项之一:
    • 通用云安全服务 (Generic Cloud Security Service)
    • Symantec Web 安全服务 (Symantec Web Security Service)
    • Zscaler 云安全服务 (Zscaler Cloud Security Service)
    主接入点/服务器 (Primary Point-of-Presence/Server) 输入主服务器的 IP 地址或主机名。
    辅助接入点/服务器 (Secondary Point-of-Presence/Server) 输入辅助服务器的 IP 地址或主机名。这是可选的。
    如果已选择 Zscaler 云安全服务 (Zscaler Cloud Security Service) 作为 服务类型 (Service Type),您可以配置其他设置,例如“Zscaler 云”(Zscaler Cloud) 和“第 7 层 (L7) 运行状况检查”(Layer 7 (L7) Health Check) 详细信息,以确定和监控 Zscaler 服务器的运行状况。您还可以选中 自动部署云服务 (Automate Cloud Service Deployment) 复选框,以便在手动部署和自动部署之间进行选择。
    注: 目前在 4.3 版本中,仅支持从 Edge 到 Zscaler 的 IPsec 隧道自动化,而不支持从 Edge 到 Zscaler 的 GRE 隧道自动化,但计划在未来版本中支持这种自动化。
    注: 在手动部署中,如果选择了“Zscaler 云安全服务”(Zscaler Cloud Security Service) 作为服务类型并计划分配 GRE 隧道,建议仅在“主服务器”(Primary Server) 和“辅助服务器”(Secondary Server) 中输入 IP 地址,而不输入主机名,因为 GRE 不支持主机名。
  4. 如果您选择自动部署云服务,请配置以下其他详细信息。
    注: L7 运行状况检查 (L7 Health Check) 功能可测试 Zscaler 后端服务器的 HTTP 可访问性。启用“L7 运行状况检查”(L7 Health Check) 后,HTTP L7 探测会从 Edge 发送到 Zscaler 目标(示例:http://<zscaler cloud>/vpntest),这是要进行 HTTP 运行状况检查的 Zscaler 后端服务器。相比于使用网络级别保持活动状态(GRE 或 IPsec),此方法是一种改进,因为该方法仅测试 Zscaler 服务器前端的网络可访问性。

    如果连续重试 3 次后未收到 L7 响应,或者出现 HTTP 错误,主隧道将被标记为“关闭”(Down),且 Edge 将尝试将 Zscaler 流量故障切换到备用隧道(如果有可用的备用隧道)。如果 Edge 成功将 Zscaler 流量故障切换到备用隧道,则备用隧道将变为新的主隧道。

    在罕见情况下,如果“L7 运行状况检查”(L7 Health Check) 将主隧道和备用隧道都标记为“关闭”(Down),Edge 将使用条件回传策略(如果已配置此类策略)路由 Zscaler 流量。

    Edge 仅通过主隧道向主服务器发送 L7 探测,而绝不会通过备用隧道发送。

    选项 描述
    Zscaler 云 (Zscaler Cloud) 从下拉菜单中选择一个 Zscaler 云服务,或在文本框中输入 Zscaler 云服务名称。
    合作伙伴管理员用户名 (Partner Admin Username) 输入为合作伙伴管理员置备的用户名。
    合作伙伴管理员密码 (Partner Admin Password) 输入为合作伙伴管理员置备的密码。
    合作伙伴密钥 (Partner Key) 输入置备的合作伙伴密钥。
    域 (Domain) 输入要在其中部署云服务的域名。
    L7 运行状况检查 (L7 Health Check) 选中该复选框以便为 Zscaler 云安全服务提供程序启用“L7 运行状况检查”(L7 Health Check),并使用默认的探测详细信息(“HTTP 探测间隔”(HTTP Probe Interval) = 5 秒,“重试次数”(Number of Retries) = 3,“RTT 阈值”(RTT Threshold) = 3000 毫秒)。默认情况下,“L7 运行状况检查”(L7 Health Check) 处于禁用状态。
    注: 不支持配置运行状况检查探测详细信息。
    HTTP 探测间隔 (HTTP Probe Interval) 两次 HTTP 探测间隔的持续时间。默认探测间隔为 5 秒。
    重试次数 (Number of Retries) 指定在将云服务标记为“关闭”(DOWN) 之前允许的探测重试次数。默认值为 3。
    RTT 阈值 (RTT Threshold) 用于计算云服务状态的往返时间 (Round Trip Time, RTT) 阈值(以毫秒为单位)。如果测量的 RTT 高于配置的阈值,则将云服务标记为“关闭”。默认值为 3000 毫秒。
    Zscaler 登录 URL 输入登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。
    注: 如果已输入 Zscaler 登录 URL,则 登录 Zscaler (Login to Zscaler) 按钮将处于启用状态。
    注: 对于给定的 Edge/配置文件,用户无法覆盖在网络服务中配置的 L7 运行状况检查参数。
  5. 单击添加 (Add)
  6. 重复上述步骤以配置更多云安全服务。
    注: 有关 Zscaler CSS 自动化的更多信息,请参阅 《Zscaler 和 VMware SD-WAN 部署指南》
    注: 有关 Zscaler 如何确定用于建立 IPsec VPN 隧道的最佳数据中心虚拟 IP (Virtual IP, VIP) 地址的特定详细信息,请参阅 用于 IPSec VPN 隧道置备的 SD-WAN API 集成

结果

配置的云安全服务将显示在 网络服务 (Network Services) 窗口中的 云安全服务 (Cloud Security Service) 区域下。

您可以在 监控 (Monitor) > 网络服务 (Network Services) > 云安全服务站点 (Cloud Security Service Sites) > 服务状态 (Service Status) 中查看服务状态。
要查看云安全服务的第 7 层 (L7) 运行状况检查统计信息,请转到 监控 (Monitor) > Edge (Edges)

下一步做什么