設定內部部署閘道
設定 ZTNA 內部部署閘道,可控制對網路上資源的存取。
具體步驟會有所不同,具體取決於您是要將閘道託管在 ESXi 伺服器、Microsoft Hyper-V 還是 Amazon Web Services 上。
警告
AWS 閘道將於 2024 年 3 月 31 日到期。請參閱淘汰行事曆。您可以在 AWS 上部署 SFOS,並移轉資源至此閘道,以確保使用者在該日期之後仍可存取應用程式。
警告
請勿將閘道設定為在用於內部服務的子網路中運作。如果這麼做,您可能會在存取應用程式時發生問題。這些子網路如下所示:10.42.0.0/16, 10.43.0.0/16, 10.108.0.0/16。
警告
不要為閘道設定 IPv6 位址,也不要允許將 DHCP IPv6 位址指派給端點,因為 IPv6 不受支援。
注意
在 Amazon Web Services 中,根據您的組態會產生額外費用。您的 ZTNA 授權不包含這些費用。
提示
如果您的使用者需要從 ZTNA 閘道所在的同一網路存取 ZTNA 資源,請新增類型為 MASQ 的 SNAT 規則,以防止非對稱式路由。
要獲取逐步說明,請按一下下方主機標籤。
您可以分兩個階段在 ESXi 上設定閘道:
-
下載閘道影像(OVA 檔案)並將其部署在 ESXi 中。
-
在 Sophos Central 中新增閘道設定,以產生用於在 ESXi 中啟動閘道的 ISO 檔案(「種子影像」)。
您可設定閘道叢集以確保可用性。若要如此,您需要按此處所述設定閘道的其他執行個體。
注意
確保 ESXi 主機上設定了正確的時間和日期。您必須將時區設定爲 UTC。如果未正確設定時間,ZTNA 閘道會遇到問題。請參閱要求。
如果您使用的是雙臂代理程式,請參閱 網路設定。
下載並部署影像
-
在 Sophos Central 中,轉至裝置 > 安裝程式。
-
查找 Zero Trust Network Access。
- 按一下閘道影像的下載連結。
- 接受授權合約和(如有提示)軟體匯出合規性表單。
- 將下載閘道影像。這是適用於 ESXi 伺服器之 ZTNA 閘道的一般 OVA 影像。您可以任意多次重複使用它。
-
將 OVA 影像部署至 ESXi 主機。在 VMware vSphere 中,右鍵按一下主機並選擇部署 OVA 範本。這將執行一個小幫手,引導您完成部署。
警告
關閉自動開機選項(ESXi 上的預設設定),或在完成後阻止 ZTNA 閘道開機。否則,閘道將在沒有 ISO 檔案的情況下開機,您必須重新啟動。
新增設定和啟動閘道
-
返回 Sophos Central 並轉至 我的產品 > ZTNA > 閘道。按一下新增閘道。
-
對於閘道模式,選取內部部署。
-
在新增閘道中,請執行以下操作。
- 輸入閘道名稱和閘道 FQDN。
- 輸入資源(應用程式)的網域。
- 在平台類型中,選擇 VMware ESXi。
-
選擇部署模式。
- 單臂採用外部介面來處理傳入和傳出流量。
- 雙臂同時使用外部和內部介面。
-
輸入介面設定。
-
如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。
警告
閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。
-
如果選擇靜態 IP,請指定 IP 位址、子網和 DNS 伺服器設定。
在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由。
-
-
上傳您先前建立的憑證。
- 按一下儲存並產生檔案。
注意
此發行版僅支援單個萬用字元憑證。
-
在閘道頁面上,閘道的狀態爲等待部署。
種子影像 ISO 已就緒可供下載。您將需要它來啟動閘道並完成註冊程序。每個閘道的 ISO 都是唯一的。您無法重複使用它。
注意
下載影像之前,建議您建立閘道叢集。如果不想要叢集,請跳至步驟 6。
。 -
按一下新閘道以開啟其詳細資料頁面。按一下新增/編輯執行個體。
-
在新增/編輯執行個體,請執行以下操作:
- 按一下新增其他執行個體。叢集自動開啟。
-
輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須與閘道執行個體處於相同的 IP 範圍內。
在雙臂部署中,外部叢集 VIP 僅用於負載平衡。如果您使用的是外部負載平衡器,請將此留空。
-
輸入新執行個體的 VMb名稱 和介面 IP。
在雙臂部署中,輸入內部和外部介面 IP。
-
重複此過程以新增另一個執行個體。
注意
叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。
注意
要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。
-
下載每個 ISO 檔案並將其安裝到主機上。然後將其連接到閘道,如下所示:
- 轉至 VMware vSphere。
- 右鍵按一下閘道 VM,然後選擇編輯設定。
- 在硬體標籤的 CD/DVD 磁碟機中,確保顯示 ISO 檔案並選擇連線。
- 在狀態中,選擇開機時連線。
- 按一下儲存。
如果虛擬硬體中列出了序列裝置,則可以安全地將其刪除。
當閘道使用 ISO 檔案啟動時,它將聯繫 Sophos Central 進行註冊。
-
返回 Sophos Central。在閘道頁面上,閘道狀態變更爲等待核准。
出現提示時,核准閘道註冊。
核准最多可能需要十分鐘時間生效。然後,閘道狀態將變更爲已連線。如果您想要建立密碼,您會看到一個密碼建立選項。
注意
如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。
注意
ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。
您已完成內部部署閘道設定。
注意
如果閘道無法連線至 Sophos Central,請移至 VMware vSphere 並在虛擬機上執行診斷。
當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。
要在 Microsoft Hyper-V 上設定閘道,請執行以下操作:
-
下載並部署閘道虛擬機映像。
-
新增閘道設定以產生 ISO 檔案(「種子映像」)。
-
下載 ISO 檔案並啟動閘道。
下載並部署影像
-
在 Sophos Central 中,轉至裝置 > 安裝程式。
-
在 Zero Trust Network Access 下,按一下下載用於 Hyper-V 的閘道虛擬機映像。
已下載包含虛擬機映像的 ZIP 檔案。
-
從下載的 ZIP 檔案中擷取 Hyper-V 基本映像。
這將為您提供設定閘道所需的
.vhdx檔案。您不能使用此檔案部署多個虛擬機,但可以製作副本並將其用於其他虛擬機。 -
在 Hyper-V 管理員中,在虛擬機清單的動作中,按一下新建。
-
輸入 VM 名稱。
-
選取世代。第 1 代支援 32 位和 64 位作業系統。
-
在指派記憶體中,輸入至少 4096 MB 的啟動記憶體。
-
在設定網路中,選取一個網路介面卡。
-
在連線虛擬硬碟中,選取使用現有的虛擬硬碟,然後瀏覽至從下載的虛擬機映像中擷取的
.vhdx檔案。
-
按一下 完成。
-
移至新虛擬機的設定。
-
在硬體 > 處理器中,將虛擬處理器的數量設定爲「2」。
-
如果您的閘道處於雙臂部署中,請移至網路介面卡,並向虛擬機新增另一個介面卡。
注意
如果您使用的是 VLAN,請確保使用適當的 VLAN ID 標記網路介面。
-
-
依序按一下套用、儲存。
新增閘道設定
-
返回 Sophos Central 並轉至 我的產品 > ZTNA > 閘道。按一下新增閘道。
-
對於閘道模式,選取內部部署。
-
在新增閘道中,請執行以下操作。
- 輸入閘道名稱和閘道 FQDN。
- 輸入資源(應用程式)的網域。
- 在平台類型中,選取 Hyper-V。
-
選擇部署模式。
- 單臂採用外部介面來處理傳入和傳出流量。
- 雙臂同時使用外部和內部介面。
-
輸入介面設定。
-
如果您選擇了 DHCP,請在 DHCP 伺服器上設定保留區。
警告
閘道無法處理其 IP 位址中的變更。您必須設定保留以確保它始終保留 DHCP 指派的初始 IP 位址。
-
如果選取靜態 IP,請輸入一個 IP 位址、子網和 DNS 伺服器設定。
在雙臂部署中,如果您在多個內部網路上託管應用程式,則必須指定靜態路由。
-
-
上傳您先前建立的憑證。
- 按一下儲存並產生檔案。
注意
此發行版僅支援單個萬用字元憑證。
-
在閘道頁面上,新閘道的狀態爲等待部署。按一下閘道,查看詳細資料。
-
在閘道詳細資料中,您可以看到 ISO 映像已準備好可供下載。您需要它來啟動閘道。每個閘道的 ISO 都是唯一的。您無法重複使用它。
下載影像之前,建議您建立閘道叢集。如果不想要叢集,請跳至「下載 ISO 檔案並啟動閘道」部分。
-
在閘道詳細資料中,按一下新增/編輯執行個體。
-
在新增/編輯執行個體中,按一下新增其他執行個體。叢集自動開啟。
-
輸入新執行個體的詳細資料,如下所示:
-
輸入叢集虛擬 IP。這用於叢集管理和負載平衡。它必須是此設定中以前未使用過的 IP 位址,並且必須與閘道執行個體位於相同的 IP 範圍。
提示
在雙臂部署中,外部介面 IP 位址僅用於負載平衡。如果您使用外部負載平衡器,請將此欄位留空。
-
輸入新執行個體的 VMb名稱 和介面 IP。
在雙臂部署中,輸入內部和外部介面 IP。
-
重複此過程以新增另一個執行個體。
注意
叢集必須至少有三個執行個體。最多可以有九個執行個體,但必須始終有一個奇數。
注意
要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。
-
接下來,下載 ISO 檔案並啟動閘道。
下載 ISO 檔案並啟動閘道
下載每個執行個體的 ISO 檔案,將其連接到閘道虛擬機,然後啟動閘道,如下所示:
-
在閘道詳細資料中,移至每個執行個體,然後按一下下載映像。
-
在 Hyper-V 管理員中,移至虛擬機的設定。在 DVD 光碟機中,執行以下操作:
- 在控制器中,選取 IDE 控制器 1。
- 在介質中,選取映像檔案並輸入種子 ISO 的路徑。
- 依序按一下套用、儲存。
注意
ISO 檔案必須與閘道保持連接狀態。在閘道啟動後不能卸載它。
-
打開閘道執行個體的電源。等待幾分鐘。
-
在 Sophos Central 中,移至 我的產品 > ZTNA > 閘道,然後按一下新閘道以打開其詳細資料頁面。
閘道狀態變更爲等待閘道核准。按一下核准。
注意
如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。
-
閘道狀態將變更爲啟用中。
您已完成內部部署閘道設定。
注意
如果閘道無法連線至 Sophos Central,請移至 Hyper-V 管理員並在虛擬機上執行診斷。
當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。
若要在 Amazon Web Services (AWS) 中設定 ZTNA 閘道,請執行以下操作:
-
在 Sophos Central 中,移至我的產品 > ZTNA > 閘道。
-
在閘道頁面上,按一下新增閘道。
-
對於閘道模式,選取內部部署。
-
在新增閘道對話方塊中,按如下方式新增詳細資料:
- 輸入閘道名稱和 FQDN。
- 輸入資源(應用程式)的網域。
- 在平台類型中,選擇 Amazon Web Services。
- 在身分識別提供者中,選擇先前設定的身分識別提供者。
- 上傳您先前建立的憑證。
- 按一下儲存。
-
在閘道頁面上,您現在可以看到新閘道。按一下它旁邊的啓動堆疊連結。
在 AWS 中建立堆疊
在 AWS 的 CloudFormation 中,您會看到快速建立堆疊範本。我們已經對它進行了部分設定。按照以下步驟完成操作。
-
在快速建立堆疊頁面上,請執行以下操作:
- 選取 AWS 區域(畫面右上方)。
- 在堆疊名稱中,輸入自訂名稱。
-
在基本設定中,選擇兩個或三個可用區域以確保閘道的可用性。
-
在 VPC 網路設定中,請執行以下操作:
- 設定可用性區域的數量。這必須與您在上一步中選擇的區域數相匹配。
- 確保子網與現有資源不衝突。
- 在 MaxNumberOfNodes 中,設定最大節點數。預設值為三。
- 在 NodeInstanceType 中,選擇要使用的 EC2 執行個體的類型。
- 在 NumberOfNodes 中,設定所需的節點數。每個可用性區域的預設值爲 1。
ZTNA 目前無法使用自動調整大小功能。
-
按一下建立堆疊,等待進程完成。此項操作最多可能會耗費 1 小時。完成後,您的新堆疊會顯示在您的 AWS 堆疊清單中,詳細資料看起來像這樣。
-
在 Sophos Central 中,轉至新閘道。按一下核准。
核准最多可能需要十分鐘時間生效。然後,閘道狀態將變更爲已連線。
注意
如果您有閘道執行個體叢集,則只批准第一個閘道執行個體的閘道註冊。後續執行個體的管理無需明確批准。
設定新的 VPC
按照以下步驟設定 VPC:
-
在 AWS 中,轉至 Virtual Private Cloud > 您的 VPC。
-
前往您的新 VPC 並尋找 VPC ID。您可以使用此 ID 搜尋您建立的其他元件。
-
轉至 EC2 執行個體並搜尋具有新 VPC ID 的執行個體。這可查找構成 ZTNA 閘道叢集的執行個體。對其重新命名。
注意
要使叢集保持作用中狀態,請確保叢集中至少一半的閘道處於作用中狀態。
-
在負載平衡中,使用 VPC ID 查找 ZTNA 的負載平衡器。開啟其詳細資料並複製 DNS 名稱。您需要進行此操作以便為指向負載平衡器的閘道建立公用 DNS 記錄 (CNAME)。
建立對等連線
閘道始終位於新 VPC 中,因此您必須使用對等處理將其連線至應用程式所在的 VPC。
-
轉至 VPC > 對等連線。按一下建立對等連線,然後執行以下操作:
- 在 VPC ID(要求者)中,選擇 ZTNA 閘道的 ID。
- 在 VPC ID(接受者)中,選擇您的資源所在的 VPC。
- 按一下建立對等連線。
-
移至子網路,並將您的資源子網路和閘道的私人子網路新增至路由表。這可使 ZTNA 透過對等連線功能連線至資源。
您已完成內部部署閘道設定。
當有新的虛擬機版本可用時,版本欄中將顯示綠色核取標記。按一下版本號碼以開始或排程更新。請參閱閘道中的閘道更新。
接下來,新增 DNS 設定。