若要使用 SASE Orchestrator 部署 VMware Secure Access 服務:

必要條件

  • 確定您已完成 Workspace ONE UEM 上的必要設定。如需詳細資料,請參閱開始進行 VMware Secure Access 部署
  • 確定您已在 SASE Orchestrator 中設定 Secure Access 的 PoP 數目上限。數目上限取決於在 SASE Orchestrator 上部署的 VMware SASE PoP 數目。若要設定 PoP 的數目上限,請移至設定 (Configure) > 客戶 (Customer) > 客戶組態 (Customer Configuration) > 服務存取 (Service Access)

程序

  1. 以企業使用者身分登入 SASE Orchestrator,然後按一下開啟新的 Orchestrator UI (Open New Orchestrator UI)
  2. 在顯示的新的 Orchestrator UI (New Orchestrator UI) 強制回應快顯視窗中,按一下啟動新的 Orchestrator UI (Launch New Orchestrator UI)
  3. 企業應用程式 SD-WAN (Enterprise Applications SD-WAN) 下拉式清單中,選取 Secure Access
  4. 在顯示的 Secure Access 頁面中,按一下 + 新增服務 (+ New Service)
    遠端存取 (Remote Access) 精靈隨即出現。
  5. 遠端存取 (Remote Access) 精靈的 UEM 組態 (UEM Configuration) 畫面中,完成下列設定:
    1. DNS 名稱 (DNS Name) 欄位中,輸入您在設定 Workspace ONE UEM 通道時提供的主機名稱。請參閱開始進行 VMware Secure Access 部署中的步驟 4。
    2. UEM URL 欄位中,輸入與您的 UEM 環境相關的 Workspace ONE UEM API URL。
    3. UEM 組織群組識別碼 (UEM Org Group ID) 欄位中,輸入您在設定 Workspace ONE UEM 期間建立的組織群組識別碼。請參閱開始進行 VMware Secure Access 部署中的步驟 1。
    4. WS1 UEM 認證 (WS1 UEM Credentials) 區段中,輸入您在 Workspace ONE UEM Console 中建立管理員帳戶時設定的使用者名稱和密碼。請參閱開始進行 VMware Secure Access 部署中的步驟 2。
    5. 選取是 (Yes) 核取方塊,以在已建立的組織群組內設定 UEM 通道主機名稱。
    6. 按一下檢查 (Check)
      此時會對 UEM 伺服器進行 API 呼叫,以驗證您輸入的詳細資料。驗證成功後,請按 下一步 (Next)
  6. 遠端存取 (Remote Access) 精靈的企業和網路設定 (Enterprise and Network settings) 畫面中,完成下列設定:
    1. 企業 DNS 伺服器 (Enterprise DNS Server) 下拉式清單中,選取為企業設定的必要 DNS 伺服器。預設值為 GoogleOpenDNS
    2. SD WAN 區段 (SD WAN Segment) 下拉式清單中,選取要啟用安全存取 (Secure Access) 服務的必要區段。預設值為全域區段 (Global Segment)
    3. 企業 IP 範圍 (Enterprise IP Ranges) 區段中,輸入下列詳細資料:
      • 客戶子網路 (Customer Subnet) - 這是客戶所擁有的子網路,供遠端使用者在存取網路時使用。此客戶子網路會用作超級網路,並根據使用者為其部署設定的 SASE PoP 數量進行區分和分配 (最多可以設定五個 PoP)。
      • 子網路位元 (Subnet Bits) - 設定 1 到 3 個子網路位元,以將客戶子網路區分為可配置給 PoP 的個別子網路。
      下表說明客戶子網路與子網路位元之間的關係:
      客戶子網路 子網路位元 子網路數目 每個 PoP 的子網路
      10.10.1.0/24 1 2
      • 10.10.1.0/25
      • 10.10.1.128/25
      10.10.1.0/24 2 4
      • 10.10.1.0/26
      • 10.10.1.64/26
      • 10.10.1.128/26
      • 10.10.1.192/26
      10.10.1.0/24 3 8
      • 10.10.1.0/27
      • 10.10.1.32/27
      • 10.10.1.64/27
      • 10.10.1.96/27
      • 10.10.1.128/27
      • 10.10.1.160/27
      • 10.10.1.192/27
      • 10.10.1.224/27
      選擇的子網路位元數目會決定將從客戶子網路建立的子網路數目。如上表所說明,如果您設定:
      • 一個子網路位元,則客戶子網路會區分為兩個子網路,而可指派給兩個 PoP。
      • 兩個子網路位元,則客戶子網路會區分為四個子網路,而可指派給四個 PoP。
      • 三個子網路位元,則客戶子網路會區分為八個子網路,最多可指派給五個 PoP,三個子網路將不會配置。

      下圖說明客戶子網路與子網路位元之間的關係:

    4. 下一步 (Next)
  7. 遠端存取 (Remote Access) 精靈的 PoP 選取項目 (PoP Selection) 畫面中,從選取的執行個體 (Selected Instance(s)) 下拉式清單中,選取將用來具現化通道伺服器的 PoP 位置。按下一步 (Next)
  8. 遠端存取 (Remote Access) 精靈的其他安全性 (選用) (Additional Security (optional)) 畫面中,您可以選擇在 Secure Access 上啟用 Cloud Web Security
    如果啟用 Cloud Web Security,請確定已在 CWS 原則中的 [SSL 檢查 (SSL Inspection)] 區段下建立 SSL 檢查 (安全通訊端層) 略過/免除規則。SSL 檢查的預設行為是解密所有加密的流。《Cloud Web Security 組態指南》中詳細說明了如何建立 SSL 規則。規則將涵蓋傳送至網域 awmdm.com 的目的地流量,並將確保 CWS 不會解密此流量。按 下一步 (Next)
  9. 遠端存取 (Remote Access) 精靈的名稱、說明、標籤 (Name, Description, Tags) 畫面中,輸入 Secure Access 服務的名稱,並視需要新增任何標籤或說明,然後按一下完成 (Finish)

結果

如果要讓通道伺服器上線,並建立 SASE PoP 的連線,則可能需要幾分鐘的時間。在佈建的過程中,部署狀態會顯示為 進行中 (In Progress)。重新整理頁面可查看其狀態。在通道伺服器建立後,部署狀態會顯示為 已完成 (Completed)

如需 Secure Access 服務的資料行標題說明,請參閱下表。

下一步

您必須向 Workspace ONE Intelligent Hub 應用程式註冊您的裝置。請參閱向 Workspace ONE Intelligent Hub 註冊裝置

修改和更新通道服務

編輯或刪除 Secure Access 服務

在您使用上一節所述的步驟來建立新服務後,您可以編輯 (Edit)刪除 (Delete)重新啟動 (Restart) 該服務。按一下服務名稱 (Service Name) 旁的核取方塊,以選取要編輯或刪除的服務。按一下編輯 (Edit),可變更 [Workspace ONE UEM 組態 (Workspace ONE UEM Configuration)] 對話方塊。按一下刪除 (Delete),可刪除 Secure Access 服務。

重新啟動 Secure Access 服務

Secure Access 原則 (Secure Access Policies) 畫面中的 [重新啟動 (Restart)] 功能可將客戶使用的 UEM 通道伺服器版本更新為最新版本,其中包含更多的錯誤修正和記錄管理功能。在 UEM 通道伺服器更新期間中,會暫時中斷連線批量中的使用者,然後再自動重新連線。在此程序完成後,透過企業 Secure Access 入口網站中的 [監控 (Monitor)] > [記錄 (Logs)] > [Secure Access 記錄 (Secure Access Logs)],即可檢視使用者記錄。

若要重新啟動 Secure Access 服務,請按一下適當服務名稱旁的核取方塊,然後按一下重新啟動 (Restart)

後續步驟:

透過企業 Secure Access 入口網站中的 [監控 (Monitor)] > [記錄 (Logs)] > [Secure Access 記錄 (Secure Access Logs)],以檢視 Secure Access 記錄。