零信任服務混合部署模式是什么？

零信任混合部署模式是指企業將零信任網關以私有化形式部署在自有數據中心內，形成專屬獨享網關。該模式下(xia)僅(jin)認證、策略下(xia)發(fa)等流(liu)量經過(guo)天(tian)翼云，所(suo)有內網訪問的業務數(shu)據流(liu)量均通過(guo)本地網關傳(chuan)輸(shu)，既(ji)享受云管端的便捷管理(li)，又(you)實現了數(shu)據流(liu)的本地化(hua)閉環(huan)。當前SAAS模式通過(guo)天(tian)翼云SASE節(jie)點代理(li)訪問，而(er)混合部署模式不經過(guo)天(tian)翼云，滿足對數(shu)據有嚴苛(ke)要(yao)求(qiu)的客戶。

SAAS部署模式和混合部署模式架構差異

SAAS部署：

零(ling)信任中心saas化(hua)提供，零(ling)信任安全網關使用(yong)天翼云邊緣節(jie)點，企業管(guan)理(li)員(yuan)登錄控(kong)制臺進行配置管(guan)理(li)，只需要(yao)在其數據中心內部署(shu)連接器，企業員(yuan)工下載(zai)客戶端(duan)，即可以訪問企業應用(yong)資源。

組件部署說明：

客戶端：企業員工(gong)下載部(bu)署。

零信任中心：天(tian)翼云部署(shu)管理(li)。

零信(xin)任(ren)網關：天翼(yi)云部(bu)署(shu)管理。

連接器：企業部署。

SAAS部署模式架構：

混合部署：

混合部(bu)(bu)署(shu)模式下，零(ling)信(xin)任(ren)中(zhong)心saas化提供，零(ling)信(xin)任(ren)安全(quan)網關(guan)獨立部(bu)(bu)署(shu)在客戶機器(qi)，支持網關(guan)集群化部(bu)(bu)署(shu)，實現(xian)高(gao)可用(yong)以及穩定(ding)性提升。 連接(jie)器(qi)（可選）：若企業只(zhi)有一(yi)個數據中(zhong)心，則無需部(bu)(bu)署(shu)連接(jie)器(qi)，部(bu)(bu)署(shu)連接(jie)器(qi)能(neng)支持跨數據中(zhong)心統一(yi)接(jie)入(ru)。 

部署說明：

客戶端：企業員工下載部(bu)署。

零信任安全(quan)中心：天翼云部署(shu)管理。

零信(xin)任(ren)網關：企業部(bu)署管理。

連接(jie)器(qi)：企業部署（按(an)需(xu)，如有多數據中心(xin)場景進行部署）。

混合部署模式方案1：無需連接器場景

單數據中(zhong)心僅部署(shu)零信(xin)任網(wang)關進行內部轉發，建(jian)議部署(shu)至少2臺進行主(zhu)備。

混合部署模式方案2：使用連接器場景

零信任服務SaaS模式和混合部署模式對比

SAAS模式和混合部署模式套餐版本差異

混合部署模式下，不支(zhi)持使用天(tian)翼云SASE節點安全能力，如：不具(ju)備(bei)waf，抗D、全局離線AI分(fen)析、就近接(jie)(jie)入加速等能力，接(jie)(jie)入點由企(qi)業(ye)自行暴露。

混合部署模式支(zhi)持VPN版、基礎(chu)版、企業版，各版本能力(li)和SAAS能力(li)一致。

但部分功能(neng)在(zai)使用上存在(zai)差異：日志投遞不支持(chi)使用內網通道傳(chuan)輸，不支持(chi)開啟無(wu)端訪問能(neng)力。

獨享網關安裝步驟

需準備安裝的機器：

服(fu)務器選(xuan)型說明，需滿足以下(xia)規格的(de)軟(ruan)硬(ying)件的(de)服(fu)務器、虛擬機(ji)、彈(dan)性(xing)云主機(ji)：

操作系統：請在 Centos 7.x（7.9以下）版本安裝。目前在部分Centos 8.x，Centos 9.x的系統存在不兼容情況。
CPU：至少 2 核。
內存：至少 4 G。

CPU架(jia)構：支持X86、ARM64架(jia)構。

網絡配置要求：

可訪問公網，如果存在防火墻且出入方向流量存在限制，則部署機器至少需放行或通過NAT方式開放以下端口流量：
出方向需放行訪問零信任中心的流量：TCP協議，端口號443；UDP協議，端口號：53。
部署機需(xu)分配(pei)公網IP，且入(ru)方向(xiang)(xiang)需(xu)向(xiang)(xiang)客戶端(duan)接(jie)入(ru)區(qu)域開放獨享網關(guan)的(de)(de)VPN接(jie)入(ru)點，UDP協議，端(duan)口(kou)(kou)號：該端(duan)口(kou)(kou)號按控(kong)制臺(tai)頁面提示的(de)(de)端(duan)口(kou)(kou)號。

使用命令安裝：

請登(deng)錄邊緣安全加速服(fu)務平臺控制臺，選擇AOne零信任服(fu)務工作臺，進入工作臺，網絡(luo)-》獨(du)享網關菜單，點(dian)擊新(xin)增獨(du)享網關，復制安裝命令，進行一(yi)鍵部署安裝。

安裝完成后，可在獨享網關(guan)管(guan)理頁(ye)面查(cha)看(kan)網關(guan)設備(bei)連通狀態。