雲端安全服務會建立從 Edge 到雲端安全服務站台的安全通道。這可確保通往雲端安全服務的流量安全無虞。
程序
- 在企業入口網站中,按一下設定 (Configure) > 網路服務 (Network Services)。
- 在雲端安全服務 (Cloud Security Service) 區段中,按一下新增 (New)。
- 在新增雲端安全性提供者 (New Cloud Security Provider) 視窗中,提供設定新的雲端安全性提供者所需的詳細資料。
選項 說明 服務名稱 (Service Name) 輸入雲端安全服務的描述性名稱。 服務類型 (Service Type) 選取下列其中一項: - 一般雲端安全服務
- Symantec Web Security Service
- Zscaler 雲端安全服務
主要存在點/伺服器 (Primary Point-of-Presence/Server) 輸入主要伺服器的 IP 位址或主機名稱。 次要存在點/伺服器 (Secondary Point-of-Presence/Server) 輸入次要伺服器的 IP 位址或主機名稱。此為選用操作。 如果您已選取 Zscaler 雲端安全服務 (Zscaler Cloud Security Service) 作為 服務類型 (Service Type),則可以設定其他設定 (例如 Zscaler 雲端和第 7 層 (L7) 健全狀況檢查詳細資料),以判斷和監控 Zscaler 伺服器的健全狀況。您也可以選取 自動化雲端服務部署 (Automate Cloud Service Deployment) 核取方塊,藉以從手動部署和自動化部署之間選擇。備註: 目前在 4.3 版本中,僅支援從 Edge 到 Zscaler 的 IPSec 通道自動化,而不支援從 Edge 到 Zscaler 的 GRE 通道自動化,但是未來版本中將支援這種自動化。備註: 在手動部署中,如果您已選取 Zscaler 雲端安全服務作為服務類型,並計劃要指派 GRE 通道,則建議您僅在主要和次要伺服器中輸入 IP 位址,而非主機名稱,因為 GRE 不支援主機名稱。 - 如果您選擇自動執行雲端服務部署,請設定下列額外的詳細資料。
備註: L7 健全狀況檢查 (L7 Health Check) 功能可測試 Zscaler 後端伺服器的 HTTP 可連線性。啟用 [L7 健全狀況檢查 (L7 Health Check)] 後,HTTP L7 探查會從 Edge 傳送至 Zscaler 目的地 (例如 http://<zscaler cloud>/vpntest),這是要進行 HTTP 健全狀況檢查的 Zscaler 後端伺服器。相較於使用網路層級的保持運作 (GRE 或 IPsec),此方法是一種改進,因為該方法只會測試 Zscaler 伺服器前端的網路可連線性。
在連續重試 3 次後若未收到 L7 回應,或者出現 HTTP 錯誤,主要通道會被標示為 [關閉 (Down)],且 Edge 會嘗試將 Zscaler 流量容錯移轉至待命通道 (如果可用的話)。如果 Edge 成功將 Zscaler 流量容錯移轉至待命通道,則待命通道將變為新的主要通道。
在罕見情況下,如果 [L7 健全狀況檢查 (L7 Health Check)] 將主要通道和待命通道都標示為 [關閉 (Down)],Edge 會使用「條件式回傳」原則 (若有設定此類原則的話) 來路由 Zscaler 流量。
Edge 只會經由主要通道,傳送 L7 探查給主要伺服器,絕不會經由待命通道傳送。
選項 說明 Zscaler 雲端 (Zscaler Cloud) 從下拉式功能表中選取一項 Zscaler 雲端服務,或在文字方塊中輸入 Zscaler 雲端服務名稱。 合作夥伴管理員使用者名稱 (Partner Admin Username) 輸入合作夥伴管理員的已佈建使用者名稱。 合作夥伴管理員密碼 (Partner Admin Password) 輸入合作夥伴管理員的已佈建密碼。 合作夥伴金鑰 (Partner Key) 輸入已佈建的合作夥伴金鑰。 網域 (Domain) 輸入將在其中部署雲端服務的網域名稱。 L7 健全狀況檢查 (L7 Health Check) 選取此核取方塊,以啟用 Zscaler 雲端安全服務提供者的 L7 健全狀況檢查,並使用預設探查詳細資料 (HTTP 探查間隔 = 5 秒,重試次數 = 3,RTT 臨界值 = 3000 毫秒)。依預設會停用 L7 健全狀況檢查。 備註: 不支援健全狀況檢查探查詳細資料的組態。HTTP 探查間隔 (HTTP Probe Interval) 個別 HTTP 探查之間隔的持續時間。預設探查間隔為 5 秒。 重試次數 (Number of Retries) 指定將雲端服務標記為「已關閉」之前允許的探查重試次數。預設值為 3。 RTT 臨界值 (RTT Threshold) 以毫秒表示的來回行程時間 (RTT) 臨界值,用以計算雲端服務狀態。如果測量的 RTT 高於已設定的臨界值,則系統會將雲端服務標記為「已關閉」。預設值為 3000 毫秒。 Zscaler 登入 URL (Zscaler Login URL) 輸入登入 URL,然後按一下登入 Zscaler (Login to Zscaler)。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。 備註: 如果您已輸入 Zscaler 登入 URL,則 登入 Zscaler (Login to Zscaler) 按鈕將會啟用。備註: 對於指定的 Edge/設定檔,使用者無法覆寫在 [網路服務 (Network Service)] 中設定的 L7 健全狀況檢查參數。 - 按一下新增 (Add)。
- 重複上述步驟以設定更多雲端安全服務。
備註: 如需有關 Zscaler CSS 自動化的詳細資訊,請參閱 Zscaler 和 VMware SD-WAN 部署指南。備註: 如需 Zscaler 如何判斷用於建立 IPsec VPN 通道的最佳資料中心虛擬 IP 位址 (VIP) 的具體詳細資料,請參閱 適用於 IPSec VPN 通道佈建的 SD-WAN API 整合。
結果
您可以從
監控 (Monitor) > 網路服務 (Network Services) > 雲端安全服務站台 (Cloud Security Service Sites) > 服務狀態 (Service Status) 檢視服務狀態。
若要檢視雲端安全服務的第 7 層 (L7) 健全狀況檢查的統計資料,請移至
監控 (Monitor) > Edges。
下一步
- 將雲端安全服務與設定檔相關聯。請參閱為設定檔設定雲端安全性服務。