雲端安全服務 (CSS) 會建立從 Edge 到雲端安全服務站台的安全通道。這可確保通往雲端安全服務的流量安全無虞。

若要設定雲端安全服務,請執行下列步驟。

程序

  1. 在企業入口網站的 SD-WAN 服務中,按一下設定 (Configure) > 網路服務 (Network Services)
  2. 在 [網路服務 (Network Services)] 頁面中,導覽至透過 Edge 的非 SD-WAN 目的地 (Non SD-WAN Destinations via Edge) > 雲端安全服務 (Cloud Security Service),然後按一下新增 (New)
  3. 新增雲端安全性提供者 (New Cloud Security Provider) 視窗中,從下拉式功能表中,選取服務類型。VMware SD-WAN 支援以下 CSS 類型:
    • 一般雲端安全服務
    • Symantec/Palo Alto 雲端安全服務
      備註: 從 5.0.0 版開始,可在新服務類型範本「Symantec/Palo Alto 雲端安全服務」下設定 Palo Alto CSS。在 [一般雲端安全服務 (Generic Cloud Security Service)] 下設定了現有 Palo Alto CSS 的所有客戶,必須移到新範本「Symantec/Palo Alto 雲端安全服務」。
    • Zscaler 雲端安全服務
    1. 如果您選取 [一般 (Generic)] 或 [Symantec/Palo Alto] 雲端安全服務作為服務類型,請設定下列必要詳細資料,然後按一下新增 (Add)
      選項 說明
      服務名稱 (Service Name) 輸入雲端安全服務的描述性名稱。
      主要存在點/伺服器 (Primary Point-of-Presence/Server) 輸入主要伺服器的 IP 位址或主機名稱。
      次要存在點/伺服器 (Secondary Point-of-Presence/Server) 輸入次要伺服器的 IP 位址或主機名稱。此為選用操作。
    2. 如果您選取 Zscaler 雲端安全服務作為服務類型,則可以選取自動化雲端服務部署 (Automate Cloud Service Deployment) 核取方塊,從手動部署和自動化部署之間選擇。此外,您還可以設定其他設定 (例如 Zscaler 雲端和第 7 層 (L7) 健全狀況檢查詳細資料),以判斷和監控 Zscaler 伺服器的健全狀況。
    設定從 SD-WAN Edge 指向 Zscaler 的自動通道
    本節說明如何自動建立從 SD-WAN Edge 指向 Zscaler 服務提供者的 GRE 或 IPSec 通道。
    1. 新增雲端安全性提供者 (New Cloud Security Provider) 視窗中,輸入服務名稱。
    2. 選取自動化雲端服務部署 (Automate Cloud Service Deployment) 核取方塊。
    3. 選取 GRE 或 IPSec 通訊協定,以建立通道。
      備註: 每位客戶所能設定的 CSS Zscaler GRE 通道總數,取決於客戶在 Zscaler 中的訂閱。預設值為 100。
    4. 設定其他詳細資料,例如:家庭的喜好設定、Zscaler 雲端、合作夥伴管理員使用者名稱、密碼、合作夥伴金鑰和網域,如下表所述。
      選項 說明
      家庭的喜好設定 啟用這個選項時,會優先使用位於 IP 位址來源國家/地區的 Zscaler 資料中心,即使它們距離其他 Zscaler 資料中心較遠也是如此。
      備註: 只有在選取 GRE 來建立通道時,才能設定此選項。
      Zscaler 雲端 (Zscaler Cloud) 您可以選擇使用現有的 Zscaler 雲端,也可以使用新的 Zscaler 雲端。如果選擇使用現有雲端,請從下拉式功能表中選取 Zscaler 雲端服務。對於新的 Zscaler 雲端,您必須在文字方塊中輸入 Zscaler 雲端服務名稱。
      合作夥伴管理員使用者名稱 (Partner Admin Username) 輸入合作夥伴管理員的已佈建使用者名稱。
      合作夥伴管理員密碼 (Partner Admin Password) 輸入合作夥伴管理員的已佈建密碼。
      備註: 從 4.5 版開始,不再支援在密碼中使用特殊字元「<」。如果使用者已在先前版本的密碼中使用「<」,必須將其移除,才能儲存頁面上的任何變更。
      合作夥伴金鑰 (Partner Key) 輸入已佈建的合作夥伴金鑰。
      網域 (Domain) 輸入將在其中部署雲端服務的網域名稱。
      子雲端 這是一個選擇性參數,Zscaler Internet Access (ZIA) 客戶可以使用此參數設定一個自訂資料中心集區以用於地理位置目的。
      備註: 如果選取 IPSec 來建立通道,則此選項可在 CSS Zscaler 自動部署模式下使用。
    5. 按一下驗證認證 (Validate Credentials)。如果驗證成功,將啟用儲存變更 (Save Changes) 按鈕。
      備註: 您必須驗證認證,才能新增 CSS 提供者。
    6. 選用:設定下列 L7 健全狀況檢查 (L7 Health Check) 資料,以監控 Zscaler 伺服器的健全狀況。
      備註: L7 健全狀況檢查 (L7 Health Check) 功能可測試 Zscaler 後端伺服器的 HTTP 可連線性。啟用 [L7 健全狀況檢查 (L7 Health Check)] 後,Edge 會將 HTTP L7 探查傳送至 Zscaler 目的地 (例如 http://<zscaler cloud>/vpntest),這是要進行 HTTP 健全狀況檢查的 Zscaler 後端伺服器。相較於使用網路層級的保持運作 (GRE 或 IPSec),此方法是一種改進,因為該方法只會測試 Zscaler 伺服器前端的網路可連線性。

      在連續重試 3 次後若未收到 L7 回應,或者出現 HTTP 錯誤,主要通道會被標示為 [關閉 (Down)],且 Edge 會嘗試將 Zscaler 流量容錯移轉至待命通道 (如果可用的話)。如果 Edge 成功將 Zscaler 流量容錯移轉至待命通道,則待命通道將變為新的主要通道。

      在罕見情況下,如果 [L7 健全狀況檢查 (L7 Health Check)] 將主要通道和待命通道都標示為 [關閉 (Down)],Edge 會使用「條件式回傳」原則 (若有設定此類原則的話) 來路由 Zscaler 流量。

      Edge 只會經由主要通道,傳送 L7 探查給主要伺服器,絕不會經由待命通道傳送。

      選項 說明
      L7 健全狀況檢查 (L7 Health Check) 選取此核取方塊,以啟用 Zscaler 雲端安全服務提供者的 L7 健全狀況檢查,並使用預設探查詳細資料 (HTTP 探查間隔 = 5 秒,重試次數 = 3,RTT 臨界值 = 3000 毫秒)。依預設,不會啟用 L7 健全狀況檢查。
      備註: 不支援健全狀況檢查探查詳細資料的組態。
      備註: 對於指定的 Edge/設定檔,使用者無法覆寫在 [網路服務 (Network Service)] 中設定的 L7 健全狀況檢查參數。
      HTTP 探查間隔 (HTTP Probe Interval) 個別 HTTP 探查之間隔的持續時間。預設探查間隔為 5 秒。
      重試次數 (Number of Retries) 指定將雲端服務標記為「已關閉」之前允許的探查重試次數。預設值為 3。
      RTT 臨界值 (RTT Threshold) 以毫秒表示的來回行程時間 (RTT) 臨界值,用以計算雲端服務狀態。如果測量的 RTT 高於已設定的臨界值,則系統會將雲端服務標記為「已關閉」。預設值為 3000 毫秒。
      Zscaler 登入 URL (Zscaler Login URL) 輸入登入 URL,然後按一下登入 Zscaler (Login to Zscaler)。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。
      備註: 如果您已輸入 Zscaler 登入 URL,則 登入 Zscaler (Login to Zscaler) 按鈕將會啟用。
    7. 若要從 Orchestrator 登入 Zscaler 管理入口網站,請輸入 Zscaler 登入 URL,然後按一下登入 Zscaler (Login to Zscaler)。這會將您重新導向至所選 Zscaler 雲端的 Zscaler 管理入口網站。
      備註: 如果您已輸入 Zscaler 登入 URL,則 登入 Zscaler (Login to Zscaler) 按鈕將會啟用。
    備註: 如需有關 Zscaler CSS 自動化部署的詳細資訊,請參閱 《Zscaler 和 VMware SD-WAN 部署指南》
    備註: 如需 Zscaler 如何判斷用於建立 IPSec VPN 通道的最佳資料中心虛擬 IP 位址 (VIP) 的具體詳細資料,請參閱 適用於 IPSec VPN 通道佈建的 SD-WAN API 整合
    設定從 SD-WAN Edge 指向 Zscaler 的手動通道
    本節說明如何手動建立從 SD-WAN Edge 指向 Zscaler 服務提供者的 GRE 或 IPSec 通道。不同於自動通道,設定手動通道時需要指定通道目的地,才能啟動通道。
    1. 新增雲端安全性提供者 (New Cloud Security Provider) 視窗中,輸入服務名稱。
    2. 輸入主要伺服器的 IP 位址或主機名稱。
    3. 您可以選擇性地輸入次要伺服器的 IP 位址或主機名稱。
    4. 從下拉式功能表中選取一項 Zscaler 雲端服務,或在文字方塊中輸入 Zscaler 雲端服務名稱。
    5. 視需要設定其他參數,然後按一下儲存變更 (Save Changes)
    備註: 如果您已選取 Zscaler 雲端安全服務作為服務類型,並計劃要指派 GRE 通道,則建議您僅在主要和次要伺服器中輸入 IP 位址,而非主機名稱,因為 GRE 不支援主機名稱。

結果

已設定的雲端安全服務會顯示在 網路服務 (Network Services) 視窗的 雲端安全服務 (Cloud Security Service) 區域下。

下一步

將雲端安全服務與設定檔或 Edge 建立關聯: