步骤1:开通零信任服务
零信任服务无需重复开通,开通后可直接登录边缘安全加速平台进行步骤2操作,如未开通,可参考以下方式进行开通:
- 登录天翼云官网,进入边缘安全加速平台产品详情页,单击【立即开通】进入产品开通页。
- 在产品开通页,选择零信任,如果想体验产品或需求不明确时,可选择免费版的套餐,单击【立即购买】,完成零信任服务开通。
步骤2:配置用户与组织&身份源
- 登录天翼云官网,进入边缘安全加速平台产品详情页,单击【管理控制台】,登录边缘安全加速平台。
- 单击【零信任网络>身份管理>用户组管理】,新增用户组,如果已有用户组无需新增可直接忽略此步骤。
- 添加完用户组后,再添加用户,单击【零信任网络>身份管理>用户与组织】,选择【添加用户】,在添加用户页面同时选择已创建的用户组,填写其他参数,单击【保存】,完成用户添加。也可以先添加用户,在新增用户组之后,将用户添加到指定的用户组。
- 添加组织,单击【零信任网络>身份管理>用户与组织】,选择组织页签,单击【添加组织】,设置相关参数,单击【保存】,完成组织创建。
步骤3:配置应用
- 登录边缘安全加速平台,单击【零信任网络>应用管理>应用配置】,单击【+添加应用】,按需填写应用基础配置,单击下一步,进入应用配置,本次实践应用分类选择网络应用,后面我们通过ping测验证连通性,应用地址选择IP网段,应用地址填写需要访问的ECX云内VPC网段,协议类型选择全部,端口选择0-65535,相关参数仅供参考,实际填写应结合实际业务,单击下一步,进入应用授权,可添加至已有授权策略,或新增授权策略,本实践选择新增授权策略,可根据实际需求选择,本实践授权粒度选择组织,单击【保持】完成应用添加。
- 在应用列表可查看已添加的应用名称。
- 在应用访问策略页面可查看已创建的策略,可对策略进行设置授权有效期及其他参数,此处暂不做修改。
- 另外可以添加标签,并给应用打上标签,通过标签可以对应用进行分组管理。
步骤4:配置应用授权
在应用访问策略可以新增策略,修改已有策略、授权应用范围、授权用户范围。在创建应用时我们已经新增授权策略和设置生效范围,此步骤无需再操作。
步骤5:创建连接器集群
连接器集群是零信任网络的关键,它是作为网络的接入点。
- 登录边缘安全加速平台,单击【零信任网络>网络管理>连接器管理】,填写基础信息。
- 单击【下一步】进入安装连接器配置页,在这里系统会生产一个连接器部署命令,待会需要将该命令复制粘贴到ECX控制台。
- 继续点击【下一步】,进入配置关联应用配置页,单击【关联应用】,选择前面已经创建好的应用。
- 单击【完成】,完成创建连接器集群。
步骤6:部署连接器
使用零信任接入ECX云内VPC,系统会自动创建免费的部署实例,免去您手动部署。
- 登录ECX控制台。
- 单击左侧导航栏的【边缘网络>虚拟私有云>零信任接入】,在ECX连接器集群列表,单击【部署连接器】。
- 选择要部署连接器实例的集群和VPC子网,设置部署实例名称,将零信任网络控制台自动生成的连接器部署命令复制粘贴在“连接器配置命令”输入框。
- 点击【立即创建】,返回操作成功后,可在ECX连接器集群列表查看已创建的连接器部署实例。
- 在零信任网络控制台连接器管理可以查看连接器集群状态有一个连接器实例为正常运行,说明零信任网络可以与连接器正常通信。
步骤7:配置零信任策略(可选)
可根据实际需要完成以下操作,本实践暂不涉及此步骤。
- 添加访问控制策略
- 开启设备授信功能
- 配置准入管控策略
- 配置横向渗透防护
步骤8:零信任登录验证
通过零信任网络访问ECX云内VPC需要零信任客户端实现访问。
前提条件
在ECX控制台已创建添加VPC网卡的虚拟机实例,VPC必须与在ECX控制台上创建的连接器部署实例所在的VPC为同一个。
操作步骤
- 登录边缘安全加速平台,单击【零信任网络>终端管理>客户端下载】,按照办公电脑的版本下载相应的客户端软件,并完成安装。
- 打开零信任客户端软件,输入企业标识,可以在边缘安全加速平台>零信任网络>账户设置查看企业认证标识,企业认证标识可支持修改。
- 输入企业标识后需要输入账号和密码,在步骤2,我们有添加用户,输入添加用户时设置的账号和密码,进行登录。如果提示需要短信二次验证码,则需要在边缘安全加速平台>零信任网络>身份管理>用户与组织为该用户补充手机号码,或者在边缘安全加速平台>零信任网络>登录策略关闭二次认证。
- 在零信任客户端,在我的应用可以查看已添加的应用。
- 客户端连接成功后,使用本地电脑ping测虚拟机的内网地址,可ping测成功,另外需注意放通安全组规则。