要使用 SD-WAN Orchestrator 部署 VMware Secure Access 服务,请执行以下操作:

前提条件

  • 确保您已在 Workspace ONE UEM 上完成所需的配置。有关详细信息,请参阅VMware Secure Access 部署入门
  • 确保您已在 SD-WAN Orchestrator 中设置 Secure Access 的最大 PoP 数。最大数量取决于在 SD-WAN Orchestrator 上部署的 VMware SASE PoP 数量。要设置最大 PoP 数,请转到配置 (Configure) > 客户 (Customer) > 客户配置 (Customer Configuration) > 服务访问 (Service Access)

过程

  1. 以企业用户身份登录到 SD-WAN Orchestrator,然后单击启动新 Orchestrator UI (Open New Orchestrator UI)
  2. 在显示的新 Orchestrator UI (New Orchestrator UI) 模式弹出窗口中,单击启动新 Orchestrator UI (Launch New Orchestrator UI)
  3. 企业应用程序 SD-WAN (Enterprise Applications SD-WAN) 下拉列表中,选择 Secure Access
  4. 在显示的 Secure Access 页面中,单击 + 新服务 (+ New Service)
    此时将显示 远程访问 (Remote Access) 向导。
  5. 远程访问 (Remote Access) 向导的 UEM 配置 (UEM Configuration) 屏幕中,完成以下配置:
    1. DNS 名称 (DNS Name) 字段中,输入您在配置 Workspace ONE UEM Tunnel 时提供的主机名。请参阅VMware Secure Access 部署入门中的步骤 4。
    2. UEM URL 字段中,输入与您的 UEM 环境相关的 Workspace ONE UEM API URL。
    3. UEM 组织组 ID (UEM Org Group ID) 字段中,输入您在 Workspace ONE UEM 配置期间创建的组织组标识符。请参阅VMware Secure Access 部署入门中的步骤 1。
    4. WS1 UEM 凭据 (WS1 UEM Credentials) 部分中,输入您在 Workspace ONE UEM Console 中创建管理员帐户时设置的用户名和密码。请参阅VMware Secure Access 部署入门中的步骤 2。
    5. 选中是 (Yes) 复选框以在您创建的组织组内配置 UEM 隧道主机名。
    6. 单击检查 (Check)
      此时将对 UEM 服务器进行 API 调用以验证您输入的详细信息。验证成功后,单击 下一步 (Next)
  6. 远程访问 (Remote Access) 向导的企业和网络设置 (Enterprise and Network settings) 屏幕中,完成以下配置:
    1. 企业 DNS 服务器 (Enterprise DNS Server) 下拉列表中,选择为企业配置的所需 DNS 服务器。默认值为 GoogleOpenDNS
    2. SD WAN 分段 (SD WAN Segment) 下拉列表中,选择要启用 Secure Access 服务的所需分段。默认值为全局分段 (Global Segment)
    3. 企业 IP 范围 (Enterprise IP Ranges) 部分中,输入以下详细信息:
      • 客户子网 (Customer Subnet) - 这是客户拥有的子网,远程用户在访问网络时将使用该子网。此客户子网充当一个超级网络,该网络将划分并分布到用户为其部署配置的多个 SASE PoP 中(最多可配置五个 PoP)。
      • 子网位 (Subnet Bits) - 配置 1 到 3 个子网位,以将客户子网划分为可分配给 PoP 的单个子网。
      下表说明了客户子网与子网位之间的关系:
      客户子网 子网位 子网数 每个 PoP 的子网
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      所选的子网位数决定将从客户子网创建的子网数。如上表所示,如果您配置:
      • 一个子网位,客户子网将被划分为两个子网,可以分配给两个 PoP。
      • 两个子网位,客户子网将被划分为四个子网,可以分配给四个 PoP。
      • 三个子网位,客户子网将被划分为八个子网,最多可以分配给五个 PoP,有三个子网将保持未分配状态。

      下图描绘了客户子网与子网位之间的关系:

    4. 单击下一步 (Next)
  7. 远程访问 (Remote Access) 向导的选择 PoP (PoP Selection) 屏幕中,从选定的实例 (Selected Instance(s)) 下拉列表中选择将在其中实例化隧道服务器的 PoP 位置。单击下一步 (Next)
  8. 远程访问 (Remote Access) 向导的额外的安全性 (可选) (Additional Security (optional)) 屏幕中,您可以选择在 Secure Access 上启用 Cloud Web Security
    如果启用了 Cloud Web Security,请确保在“SSL 检查”部分下的 CWS 策略中创建 SSL 检查(安全套接字层)绕过/例外规则。SSL 检查的默认行为是解密所有加密流量。《Cloud Web Security 配置指南》中详细介绍了如何创建 SSL 规则。该规则将涵盖发送到域 awmdm.com 的目标流量,并确保 CWS 不会解密此流量。单击 下一步 (Next)
  9. 远程访问 (Remote Access) 向导的名称、说明、标记 (Name, Description, Tags) 屏幕中,输入 Secure Access 服务的名称,根据需要添加任何标记或说明,然后单击完成 (Finish)

结果

可能需要几分钟的时间才能使隧道服务器联机,并建立与 SASE PoP 的连接。进行置备时,部署状态显示为 正在进行中 (In Progress)。可刷新页面以检查状态。建立隧道服务器后,部署状态将显示为 已完成 (Completed)

下一步做什么

您必须使用 VMware Workspace ONE Intelligent Hub 应用程序注册您的设备。请参阅使用 VMware Workspace ONE Intelligent Hub 注册设备