Για την ανάπτυξης της υπηρεσίας VMware Secure Access με χρήση του SASE Orchestrator:

Προϋποθέσεις

  • Βεβαιωθείτε ότι έχετε ολοκληρώσει την απαιτούμενη διαμόρφωση στο Workspace ONE UEM. Για λεπτομέρειες, δείτε Γρήγορα αποτελέσματα με την ανάπτυξη του VMware Secure Access.
  • Βεβαιωθείτε ότι έχετε ορίσει τον μέγιστο αριθμό σημείων PoP για το Secure Access στο SASE Orchestrator. Ο μέγιστος αριθμός εξαρτάται από τον αριθμό των σημείων VMware SASEPoP που έχουν αναπτυχθεί στο SASE Orchestrator. Για να ορίσετε τον μέγιστο αριθμό PoP, μεταβείτε στις επιλογές Διαμόρφωση > Πελάτης > Διαμόρφωση πελατών > Πρόσβαση υπηρεσίας (Configure > Customer > Customer Configuration > Service Access).

Διαδικασία

  1. Συνδεθείτε στο SASE Orchestrator ως εταιρικός χρήστης και, στη συνέχεια, κάντε κλικ στην επιλογή Άνοιγμα νέου περιβάλλοντος χρήστη Orchestrator (Open New Orchestrator UI).
  2. Στο αποκλειστικό αναδυόμενο παράθυρο Νέο περιβάλλον εργασίας χρήστη Orchestrator (New Orchestrator UI) που εμφανίζεται, κάντε κλικ στην επιλογή Εκκίνηση νέου περιβάλλοντος εργασίας χρήστη Orchestrator (Launch New Orchestrator UI).
  3. Από την αναπτυσσόμενη λίστα Εταιρικές εφαρμογές SD-WAN (Enterprise Applications SD-WAN), επιλέξτε Secure Access.
  4. Στη σελίδα Secure Access που εμφανίζεται, κάντε κλικ στην επιλογή + Νέα υπηρεσία (+ New Service).
    Εμφανίζεται ο Οδηγός απομακρυσμένης πρόσβασης (Remote Access Wizard).
  5. Στην οθόνη Διαμόρφωση UEM (UEM Configuration) του Οδηγού απομακρυσμένης πρόσβασης (Remote Access Wizard), ολοκληρώστε τις ακόλουθες διαμορφώσεις:
    1. Στο πεδίο Όνομα DNS (DNS Name), εισαγάγετε το όνομα κεντρικού υπολογιστή που δώσατε όταν διαμορφώσατε τη διοχέτευση του Workspace ONE UEM. Ανατρέξτε στο βήμα 4 στο Γρήγορα αποτελέσματα με την ανάπτυξη του VMware Secure Access.
    2. Στο πεδίο UEM URL, εισαγάγετε τη διεύθυνση URL API του Workspace ONE UEM που σχετίζεται με το περιβάλλον UEM.
    3. Στο πεδίο Αναγνωριστικό ομάδας οργανισμού UEM (UEM Org Group ID), εισαγάγετε το αναγνωριστικό ομάδας οργανισμού που δημιουργήσατε κατά τη διαμόρφωση του Workspace ONE UEM. Ανατρέξτε στο βήμα 1 στο Γρήγορα αποτελέσματα με την ανάπτυξη του VMware Secure Access.
    4. Στην ενότητα Διαπιστευτήρια UEM WS1 (WS1 UEM Credentials), εισαγάγετε το όνομα χρήστη και τον κωδικό πρόσβασης που είχατε ορίσει όταν δημιουργήσατε τον λογαριασμό διαχειριστή στην κονσόλα Workspace ONE UEM. Ανατρέξτε στο βήμα 2 στο Γρήγορα αποτελέσματα με την ανάπτυξη του VMware Secure Access.
    5. Επιλέξτε το πλαίσιο ελέγχου Ναι (Yes), για να διαμορφώσετε το όνομα κεντρικού υπολογιστή της διοχέτευσης UEM εντός της ομάδας οργανισμού που δημιουργήσατε.
    6. Κάντε κλικ στην επιλογή Έλεγχος (Check).
      Γίνεται μια κλήση API στον διακομιστή UEM για να επικυρωθούν τα στοιχεία που έχετε εισαγάγει. Μόλις ολοκληρωθεί με επιτυχία η επικύρωση, κάντε κλικ στην επιλογή Επόμενο (Next).
  6. Στην οθόνη Ρυθμίσεις επιχείρησης και δικτύου (Enterprise and Network settings) του Οδηγού απομακρυσμένης πρόσβασης (Remote Access Wizard), ολοκληρώστε τις ακόλουθες διαμορφώσεις:
    1. Από την αναπτυσσόμενη λίστα Διακομιστής DNS επιχείρησης (Enterprise DNS Server), επιλέξτε τον απαιτούμενο διακομιστή DNS που έχει ρυθμιστεί για την επιχείρηση. Η προεπιλογή είναι Google ή OpenDNS.
    2. Από την αναπτυσσόμενη λίστα Τμήμα SD WAN (SD WAN Segment), επιλέξτε το απαιτούμενο τμήμα για το οποίο θέλετε να ενεργοποιήσετε την υπηρεσία Secure Access. Η προεπιλογή είναι Καθολικό τμήμα (Global Segment).
    3. Στην ενότητα Εύρη διευθύνσεων IP επιχείρησης (Enterprise IP Ranges), εισαγάγετε τις ακόλουθες λεπτομέρειες:
      • Υποδίκτυο πελάτη (Customer Subnet) — Πρόκειται για ένα υποδίκτυο που ανήκει στον πελάτη και το οποίο θα χρησιμοποιείται από απομακρυσμένους χρήστες κατά την πρόσβαση στο δίκτυο. Αυτό το υποδίκτυο πελάτη λειτουργεί ως ένα υπερδίκτυο που θα διαιρεθεί και θα διανεμηθεί μεταξύ όσων SASE PoP έχει ρυθμίσει ο χρήστης για την ανάπτυξή του (μπορούν να ρυθμιστούν έως και πέντε PoP).
      • Bit υποδικτύου (Subnet Bits) — Διαμορφώστε από 1 έως 3 bit υποδικτύου για να διαιρεθεί το υποδίκτυο πελάτη σε μεμονωμένα υποδίκτυα που μπορούν να εκχωρηθούν στα PoP.
      Ο παρακάτω πίνακας απεικονίζει τη σχέση μεταξύ του υποδικτύου πελάτη και των bit υποδικτύου:
      Υποδίκτυο πελάτη Bit υποδικτύου Αριθμός υποδικτύων Υποδίκτυο ανά PoP
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      Ο αριθμός των bit υποδικτύου που θα επιλεγούν καθορίζει τον αριθμό των υποδικτύων που θα δημιουργηθούν από το υποδίκτυο πελάτη. Όπως σημειώνεται στον παραπάνω πίνακα, εάν διαμορφώσετε:
      • Ένα bit υποδικτύου, το υποδίκτυο πελάτη διαιρείται σε δύο υποδίκτυα, τα οποία μπορούν να εκχωρηθούν σε δύο PoP.
      • Δύο bit υποδικτύου, το υποδίκτυο πελάτη διαιρείται σε τέσσερα υποδίκτυα, τα οποία μπορούν να εκχωρηθούν σε τέσσερα PoP.
      • Τρία bit υποδικτύου, το υποδίκτυο πελάτη διαιρείται σε οκτώ υποδίκτυα, τα οποία μπορούν να εκχωρηθούν το ανώτερο σε πέντε PoP, ενώ τρία υποδίκτυα δεν θα εκχωρηθούν.

      Στο παρακάτω διάγραμμα απεικονίζεται η σχέση μεταξύ υποδικτύου πελάτη και bit υποδικτύου:

    4. Κάντε κλικ στο κουμπί Επόμενο (Next).
  7. Στην οθόνη Επιλογή PoP (PoP Selection) του Οδηγού απομακρυσμένης πρόσβασης (Remote Access Wizard), από την αναπτυσσόμενη λίστα Επιλεγμένες παρουσίες (Selected Instance(s)), επιλέξτε τη θέση PoP όπου θα εκκινηθεί ο διακομιστής διοχέτευσης. Κάντε κλικ στο κουμπί Επόμενο (Next).
  8. Στην οθόνη Πρόσθετη ασφάλεια (προαιρετικά) (Additional Security (optional)) του Οδηγού απομακρυσμένης πρόσβασης (Remote Access Wizard), μπορείτε να επιλέξετε την ενεργοποίηση του Cloud Web Security στο Secure Access.
    Εάν είναι ενεργοποιημένο το Cloud Web Security, φροντίστε να δημιουργηθεί ένας κανόνας παράκαμψης/εξαίρεσης (Bypass/Exemption) επιθεώρησης SSL (Secure Socket Layer) στην Πολιτική CWS στην ενότητα Επιθεώρηση SSL (SSL Inspection). Η προεπιλεγμένη συμπεριφορά της επιθεώρησης SSL είναι να αποκρυπτογραφείται όλη η κρυπτογραφημένη κυκλοφορία. Η δημιουργία κανόνων SSL καλύπτεται λεπτομερώς στον Οδηγό διαμόρφωσης Cloud Web Security. Ο κανόνας θα καλύψει την κυκλοφορία προορισμού που αποστέλλεται στον τομέα awmdm.com και θα διασφαλίσει ότι το CWS δεν θα αποκρυπτογραφεί αυτήν την κυκλοφορία. Κάντε κλικ στο κουμπί Επόμενο (Next).
  9. Στην οθόνη Όνομα, Περιγραφή, Ετικέτες (Name, Description, Tags) του Οδηγού απομακρυσμένης πρόσβασης (Remote Access Wizard), εισαγάγετε το όνομα της υπηρεσίας Secure Access και προσθέστε ετικέτες ή περιγραφή, εάν απαιτείται, και στη συνέχεια κάντε κλικ στην επιλογή Τέλος (Finish).

Αποτελέσματα

Ίσως να χρειαστούν λίγα λεπτά για να συνδεθεί ο διακομιστής διοχέτευσης και να δημιουργηθεί σύνδεση με το SASE PoP. Η κατάσταση ανάπτυξης εμφανίζεται ως Σε εξέλιξη (In Progress) στη διάρκεια της παροχής. Ανανεώστε τη σελίδα για να ελέγξετε την κατάσταση. Μόλις δημιουργηθεί ο διακομιστής διοχέτευσης, η κατάσταση ανάπτυξης εμφανίζεται ως Ολοκληρώθηκε (Completed).

Ανατρέξτε στον παρακάτω πίνακα για μια περιγραφή των τίτλων στηλών για υπηρεσία secure access.

Επόμενες ενέργειες

Πρέπει να εγγράψετε τις συσκευές σας με την εφαρμογή Workspace ONE Intelligent Hub. Ανατρέξτε στο Εγγραφή συσκευών με το Workspace ONE Intelligent Hub.

Τροποποίηση και ενημέρωση υπηρεσιών διοχέτευσης

Επεξεργασία ή διαγραφή υπηρεσίας Secure Access

Αφού δημιουργήσετε μια νέα υπηρεσία χρησιμοποιώντας τα βήματα που περιγράφονται στην προηγούμενη ενότητα, μπορείτε να κάνετε Επεξεργασία (Edit), Διαγραφή (Delete) ή Επανεκκίνηση (Restart) της υπηρεσίας. Επιλέξτε την υπηρεσία που θέλετε να επεξεργαστείτε ή να διαγράψετε, κάνοντας κλικ στο πλαίσιο ελέγχου δίπλα στο Όνομα υπηρεσίας (Service Name). Κάντε κλικ στην επιλογή Επεξεργασία (Edit) για να κάνετε αλλαγές στο παράθυρο διαλόγου Διαμόρφωση Workspace ONE UEM (Configuration Workspace ONE UEM). Κάντε κλικ στην επιλογή Διαγραφή (Delete) για να διαγράψετε την υπηρεσία Secure Access.

Επανεκκίνηση της υπηρεσίας Secure Access

Η δυνατότητα επανεκκίνησης στην οθόνη Πολιτικές Secure Access (Secure Access Policies) ενημερώνει την έκδοση διακομιστή διοχέτευσης UEM που χρησιμοποιεί ο πελάτης στην πιο πρόσφατη έκδοση, η οποία περιλαμβάνει περισσότερες επιδιορθώσεις σφαλμάτων και τη δυνατότητα διαχείρισης αρχείων καταγραφής. Κατά την ενημέρωση του διακομιστή διοχέτευσης UEM, οι χρήστες αποσυνδέονται στιγμιαία σε δέσμες και, στη συνέχεια, επανασυνδέονται αυτόματα. Μετά την ολοκλήρωση αυτής της διαδικασίας, θα υπάρχει δυνατότητα προβολής των αρχείων καταγραφής χρηστών μέσω των επιλογών Παρακολούθηση > Αρχεία καταγραφής > Αρχεία καταγραφής Secure Access (Monitor > Logs > Secure Access Logs) στην πύλη Secure Access της επιχείρησης.

Για να επανεκκινήσετε την υπηρεσία Secure Access, κάντε κλικ στο πλαίσιο ελέγχου δίπλα στο όνομα της κατάλληλης υπηρεσίας και κάντε κλικ στην επιλογή Επανεκκίνηση (Restart).

Τι να κάνετε στη συνέχεια:

Προβάλλετε τα αρχεία καταγραφής Secure Access μέσω των επιλογών Παρακολούθηση > Αρχεία καταγραφής > Αρχεία καταγραφής Secure Access (Monitor > Logs > Secure Access Logs) στην πύλη Secure Access της επιχείρησης.