云安全服务 (CSS) 可建立从 Edge 到云安全服务站点的安全隧道。这可确保到云安全服务的流量是安全的。
过程
- 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > 网络服务 (Network Services)。
- 在“网络服务”(Network Services) 页面中,导航到通过 Edge 的非 SD-WAN 目标 (Non SD-WAN Destinations via Edge) > 云安全服务 (Cloud Security Service),然后单击新建 (New)。
- 在新建云安全提供程序 (New Cloud Security Provider) 窗口中,从下拉菜单中选择一种服务类型。VMware SD-WAN 支持以下 CSS 类型:
- 通用云安全服务 (Generic Cloud Security Service)
- Symantec / Palo Alto 云安全服务 (Symantec / Palo Alto Cloud Security Service)
注: 从 5.0.0 版本开始,Palo Alto CSS 将在新服务类型模板“Symantec / Palo Alto 云安全服务”(Symantec / Palo Alto Cloud Security Service) 下配置。在“通用云安全服务”(Generic Cloud Security Service) 下配置了现有 Palo Alto CSS 的所有客户必须移到新模板“Symantec / Palo Alto 云安全服务”(Symantec / Palo Alto Cloud Security Service)。
- Zscaler 云安全服务 (Zscaler Cloud Security Service)
- 如果选择了“通用”或“Symantec / Palo Alto”云安全服务作为服务类型,请配置以下所需的详细信息,然后单击添加 (Add)。
选项 描述 服务名称 (Service Name) 为云安全服务输入描述性名称。 主接入点/服务器 (Primary Point-of-Presence/Server) 输入主服务器的 IP 地址或主机名。 辅助接入点/服务器 (Secondary Point-of-Presence/Server) 输入辅助服务器的 IP 地址或主机名。这是可选的。 - 如果选择了“Zscaler 云安全服务”(Zscaler Cloud Security Service) 作为服务类型,则可以选中自动部署云服务 (Automate Cloud Service Deployment) 复选框,以便在手动部署和自动部署之间进行选择。此外,您还可以配置其他设置,例如“Zscaler 云”(Zscaler Cloud) 和“第 7 层 (L7) 运行状况检查”(Layer 7 (L7) Health Check) 详细信息,以确定和监控 Zscaler 服务器的运行状况。
本节介绍如何自动创建从 SD-WAN Edge 到 Zscaler 服务提供程序的 GRE 或 IPsec 隧道。配置从 SD-WAN Edge 到 Zscaler 的手动隧道- 在新建云安全提供程序 (New Cloud Security Provider) 窗口中,输入服务名称。
- 选中自动部署云服务 (Automate Cloud Service Deployment) 复选框。
- 选择 GRE 或 IPsec 协议以建立隧道。
注: 每个客户可以配置的 CSS Zscaler GRE 隧道总数取决于客户在 Zscaler 中的订阅。默认值为 100。
- 配置其他详细信息,例如本地首选项、Zscaler 云、合作伙伴管理员用户名和密码、合作伙伴密钥以及域,如下表所述。
选项 描述 本地首选项 (Domestic Preference) 启用该选项以便优先使用来自 IP 地址来源国的 Zscaler 数据中心,即使它们距离其他 Zscaler 数据中心较远也是如此。 注: 只有在选择 GRE 以建立隧道时,才能配置该选项。Zscaler 云 (Zscaler Cloud) 您可以选择使用现有的 Zscaler 云,也可以使用新的 Zscaler 云。如果选择使用现有云,请从下拉菜单中选择 Zscaler 云服务。对于新的 Zscaler 云,您必须在文本框中输入 Zscaler 云服务名称。 合作伙伴管理员用户名 (Partner Admin Username) 输入为合作伙伴管理员置备的用户名。 合作伙伴管理员密码 (Partner Admin Password) 输入为合作伙伴管理员置备的密码。 注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。合作伙伴密钥 (Partner Key) 输入置备的合作伙伴密钥。 域 (Domain) 输入要在其中部署云服务的域名。 子云 (Sub Cloud) 这是一个可选参数,Zscaler Internet Access (ZIA) 客户可以使用此参数设置设置一个自定义数据中心池以用于地理位置目的。 注: 如果选择使用 IPsec 建立隧道,则此选项在 CSS Zscaler 自动部署模式下可用。 - 单击验证凭据 (Validate Credentials)。如果验证成功,将激活保存更改 (Save Changes) 按钮。
注: 您必须验证凭据才能添加新的 CSS 提供程序。
- 可选:配置以下 L7 运行状况检查 (7 Health Check) 详细信息,以监控 Zscaler 服务器的运行状况。
注: L7 运行状况检查 (L7 Health Check) 功能可测试 Zscaler 后端服务器的 HTTP 可访问性。启用“L7 运行状况检查”(L7 Health Check) 后,Edge 会将 HTTP L7 探测发送到 Zscaler 目标(示例:http://<zscaler cloud>/vpntest),这是要进行 HTTP 运行状况检查的 Zscaler 后端服务器。相比于使用网络级别保持活动状态(GRE 或 IPsec),此方法是一种改进,因为该方法仅测试 Zscaler 服务器前端的网络可访问性。
如果连续重试 3 次后未收到 L7 响应,或者出现 HTTP 错误,主隧道将被标记为“关闭”(Down),且 Edge 将尝试将 Zscaler 流量故障切换到备用隧道(如果有可用的备用隧道)。如果 Edge 成功将 Zscaler 流量故障切换到备用隧道,则备用隧道将变为新的主隧道。
在罕见情况下,如果“L7 运行状况检查”(L7 Health Check) 将主隧道和备用隧道都标记为“关闭”(Down),Edge 将使用条件回传策略(如果已配置此类策略)路由 Zscaler 流量。
Edge 仅通过主隧道向主服务器发送 L7 探测,而绝不会通过备用隧道发送。
选项 描述 L7 运行状况检查 (L7 Health Check) 选中该复选框以便为 Zscaler 云安全服务提供程序启用“L7 运行状况检查”(L7 Health Check),并使用默认的探测详细信息(“HTTP 探测间隔”(HTTP Probe Interval) = 5 秒,“重试次数”(Number of Retries) = 3,“RTT 阈值”(RTT Threshold) = 3000 毫秒)。默认情况下,不启用“L7 运行状况检查”(L7 Health Check)。 注: 不支持配置运行状况检查探测详细信息。注: 对于给定的 Edge/配置文件,用户无法覆盖在网络服务中配置的 L7 运行状况检查参数。HTTP 探测间隔 (HTTP Probe Interval) 两次 HTTP 探测间隔的持续时间。默认探测间隔为 5 秒。 重试次数 (Number of Retries) 指定在将云服务标记为“关闭”(DOWN) 之前允许的探测重试次数。默认值为 3。 RTT 阈值 (RTT Threshold) 用于计算云服务状态的往返时间 (Round Trip Time, RTT) 阈值(以毫秒为单位)。如果测量的 RTT 高于配置的阈值,则将云服务标记为“关闭”。默认值为 3000 毫秒。 Zscaler 登录 URL (Zscaler Login URL) 输入登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。 注: 如果已输入 Zscaler 登录 URL,则 登录 Zscaler (Login to Zscaler) 按钮将处于启用状态。 - 如果要从 Orchestrator 登录到 Zscaler 管理门户,请输入 Zscaler 登录 URL,然后单击登录 Zscaler (Login to Zscaler)。将重定向到选定 Zscaler 云的 Zscaler 管理门户。
注: 如果已输入 Zscaler 登录 URL,则 登录 Zscaler (Login to Zscaler) 按钮将处于启用状态。
注: 有关 Zscaler CSS 自动部署的更多信息,请参阅 《Zscaler 和 VMware SD-WAN 部署指南》。注: 有关 Zscaler 如何确定用于建立 IPsec VPN 隧道的最佳数据中心虚拟 IP (Virtual IP, VIP) 地址的特定详细信息,请参阅 用于 IPSec VPN 隧道置备的 SD-WAN API 集成。本节介绍了如何手动创建从 SD-WAN Edge 到 Zscaler 服务提供程序的 GRE 或 IPsec 隧道。与自动隧道不同,配置手动隧道需要指定隧道目标才能启动隧道。- 在新建云安全提供程序 (New Cloud Security Provider) 窗口中,输入服务名称。
- 输入主服务器的 IP 地址或主机名。
- (可选)您可以输入辅助服务器的 IP 地址或主机名。
- 从下拉菜单中选择一个 Zscaler 云服务,或在文本框中输入 Zscaler 云服务名称。
- 根据需要配置其他参数,然后单击保存更改 (Save Changes)。
注: 如果选择了“Zscaler 云安全服务”(Zscaler Cloud Security Service) 作为服务类型并计划分配 GRE 隧道,建议仅在“主服务器”(Primary Server) 和“辅助服务器”(Secondary Server) 中输入 IP 地址而不是主机名,因为 GRE 不支持主机名。
结果
下一步做什么
将云安全服务与一个配置文件或 Edge 相关联。