Elastic Desktop Service：通過IPsec-VPN實現用戶端私網訪問雲電腦

準備工作

開始操作前，您需要仔細閱讀通過私網訪問雲電腦介紹，並完成以下準備工作。

• 建立Cloud Enterprise Network (CEN)執行個體。具體操作，請參見建立雲企業網執行個體。

• 建立Virtual Private Cloud (VPC)執行個體，並將專用網路執行個體加入Cloud Enterprise Network。具體操作，請參見建立專用網路和交換器或快速加入雲企業網。

• 建立辦公網路，並將其VPC加入Cloud Enterprise Network。具體操作，請參見建立和管理基於便捷帳號的辦公網路或建立和管理基於企業AD帳號的辦公網路。

  重要

  • 為了避免建立的辦公網路的網段與Cloud Enterprise Network已有網段或本機資料中心IDC網段產生衝突，請在建立辦公網路前規劃好IPv4網段。具體操作，請參見規劃網段。

  • 如果您之前已有便捷辦公網路，需要將其加入Cloud Enterprise Network。

  • 如果AD部署在Elastic Compute Service (ECS)上，您需要將AD伺服器所屬VPC加入到Cloud Enterprise Network；如果AD部署在本機伺服器上，需要先打通本地和雲上網路，才能成功對接AD。您可以先建立一個AD辦公網路，打通網路後再完成AD域的配置。

• 建立雲電腦和使用者帳號，並將雲電腦分配給該使用者帳號。

  • 關於如何建立使用者帳號，請參見建立便捷帳號或建立和管理AD帳號。

  • 關於如何建立並分配雲電腦，請參見建立雲電腦和將雲電腦分配給使用者。

• 擷取無影終端，用於串連和使用雲電腦。具體操作，請參見使用用戶端。

  說明

  本方案可使用的無影終端包括：Windows用戶端、macOS用戶端。

步驟一：配置IPsec-VPN

1. 購買VPN網關並開啟IPsec-VPN功能。具體操作，請參見建立VPN網關執行個體。

   配置說明

   配置項	說明
   執行個體名稱	輸入VPN網關執行個體的名稱。
   資源群組	選擇VPN網關執行個體所屬的資源群組。 如果不選擇，VPN網關執行個體建立完成後歸屬於預設資源群組。您可以在資源管理主控台管理VPN網關執行個體以及其他雲產品資源所屬的資源群組。更多資訊，請參見什麼是資源管理。
   地區	顯示要建立VPN網關執行個體的地區。 需確保VPN網關執行個體的地區和待關聯的VPC執行個體的地區相同。
   網關類型	選擇VPN網關執行個體的類型。預設值：普通型。
   網路類型	選擇VPN網關執行個體的網路類型。 公網：VPN網關通過公網建立VPN串連。 私網：VPN網關通過私網建立VPN串連。 說明 如果您需要基於私網建立VPN串連，更推薦您使用私網IPsec串連綁定轉寄路由器的方式。具體操作，請參見建立多條私人IPsec-VPN串連實現私網流量的負載分擔。
   隧道	系統直接展示當前地區支援的IPsec-VPN串連的隧道模式。 單隧道 雙隧道 關於IPsec-VPN串連隧道模式的說明，請參見綁定VPN網關情境雙隧道IPsec-VPN串連說明。
   專用網路	選擇VPN網關執行個體關聯的VPC執行個體。
   虛擬交換器	從VPC執行個體中選擇一個交換器執行個體。 IPsec-VPN串連的隧道模式為單隧道時，您僅需要指定一個交換器執行個體。 IPsec-VPN串連的隧道模式為雙隧道時，您需要指定兩個交換器執行個體。 IPsec-VPN功能開啟後，系統會在兩個交換器執行個體下各建立一個彈性網卡ENI（Elastic Network Interfaces），作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。 說明 系統預設幫您選擇第一個交換器執行個體，您可以手動修改或者直接使用預設的交換器執行個體。 建立VPN網關執行個體後，不支援修改VPN網關執行個體關聯的交換器執行個體，您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
   虛擬交換器2	IPsec-VPN串連的隧道模式為雙隧道時，從VPC執行個體中選擇第二個交換器執行個體。 您需要從VPN網關執行個體關聯的VPC執行個體下指定兩個分布在不同可用性區域的交換器執行個體，以實現IPsec-VPN串連可用性區域層級的容災。 對於僅支援一個可用性區域的地區 ，不支援可用性區域層級的容災，建議您在該可用性區域下指定兩個不同的交換器執行個體以實現IPsec-VPN串連的高可用，支援選擇和第一個相同的交換器執行個體。 單擊查看支援一個可用性區域的地區。 華東5（南京-本地地區）、泰國（曼穀）、韓國（首爾）、菲律賓（馬尼拉）、阿聯酋（杜拜）。
   頻寬峰值	選擇VPN網關執行個體的頻寬規格。單位：Mbps。
   流量	VPN網關執行個體的計費方式。預設值：按流量計費。
   IPsec-VPN	選擇開啟或關閉IPsec-VPN功能。預設值：開啟。 建立IPsec-VPN串連時需開啟本功能。
   SSL-VPN	選擇開啟或關閉SSL-VPN功能。預設值：關閉。 建立IPsec-VPN串連時無需開啟本功能。
   購買時間長度	VPN網關的計費周期。預設值：按小時計費。
   服務關聯角色	單擊建立關聯角色，系統自動建立服務關聯角色AliyunServiceRoleForVpn。 VPN網關使用此角色來訪問其他雲產品中的資源，更多資訊，請參見AliyunServiceRoleForVpn。 若本配置項顯示為已建立，則表示您當前帳號下已建立了該角色，無需重複建立。

2. 建立使用者網關。具體操作，請參見建立和系統管理使用者網關。

   配置說明

   配置	說明
   名稱	輸入使用者網關的名稱。
   IP地址	輸入本機資料中心網關裝置的靜態IP地址。 如果您後續需要建立公網網路類型的IPsec串連，則此處需要輸入公網IP地址。 如果您後續需要建立私網網路類型的IPsec串連，則此處需要輸入私網IP地址。 不支援使用以下IP地址，否則無法建立IPsec-VPN串連： 100.64.0.0~100.127.255.255 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255
   自治系統號	如果IPsec-VPN串連計劃啟用BGP動態路由協議，則需要配置本機資料中心網關裝置的自治系統號ASN（Autonomous System Number）。自治系統號取值範圍：1~4294967295。 支援按照兩段位的格式進行輸入，即：前16位位元.後16位位元。每個段位使用十進位輸入。 例如輸入123.456，則表示自治系統號：123*65536+456=8061384。 說明 建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。
   描述	輸入使用者網關的描述資訊。
   資源群組	選擇使用者網關所屬的資源群組。 您可以在資源管理主控台系統管理使用者網關資源以及其他雲產品資源所屬的資源群組。更多資訊，請參見什麼是資源管理。
   標籤	支援為使用者網關執行個體添加標籤，您可以通過標籤對使用者網關執行個體進行標記和分類，便於資源的搜尋和彙總。更多資訊，請參見什麼是標籤。 標籤鍵：為使用者網關執行個體添加標籤鍵，支援選擇已有標籤鍵或輸入新的標籤鍵。 標籤值：為使用者網關執行個體添加標籤值，支援選擇已有標籤值或輸入新的標籤值。標籤值可以為空白。

3. 建立IPsec串連。具體操作，請參見建立IPsec串連。

   配置說明

   配置	說明
   名稱	輸入IPsec串連的名稱。
   資源群組	選擇VPN網關執行個體所屬的資源群組。 如果您不選擇，系統直接展示所有資源群組下的VPN網關執行個體。
   綁定資源	選擇IPsec串連綁定的資源類型。請選擇VPN網關。
   VPN網關	選擇IPsec串連待綁定的VPN網關執行個體。
   路由模式	選擇IPsec串連的路由模式。 目的路由模式（預設值）：基於目的IP地址路由和轉寄流量。 感興趣流模式：基於源IP地址和目的IP地址精確的路由和轉寄流量。 選擇感興趣流模式後，您需要配置本端網段和對端網段。IPsec串連配置完成後，系統自動在VPN網關執行個體的策略路由表中添加策略路由。 系統在VPN網關執行個體的策略路由表中添加策略路由後，路由預設是未發布狀態。您可以依據網路互連需求決定是否將路由發布至VPC的路由表中。具體操作，請參見發布策略路由。 說明 如果IPsec串連綁定了VPN網關執行個體，且您選擇的VPN網關執行個體為舊版VPN網關執行個體，則您無需選擇路由模式。
   本端網段	輸入需要和本機資料中心互連的VPC側的網段，用於第二階段協商。 單擊文字框右側的表徵圖，可添加多個需要和本機資料中心互連的VPC側的網段。 說明 如果您配置了多個網段，則後續IKE協議的版本需要選擇為ikev2。
   對端網段	輸入需要和VPC互連的本機資料中心側的網段，用於第二階段協商。 單擊文字框右側的表徵圖，可添加多個需要和VPC側互連的本機資料中心側的網段。 說明 如果您配置了多個網段，則後續IKE協議的版本需要選擇為ikev2。
   立即生效	選擇IPsec串連的配置是否立即生效。 是（預設值）：配置完成後系統立即進行IPsec協議協商。 否：當有流量進入時系統才進行IPsec協議協商。
   使用者網關	選擇IPsec串連待關聯的使用者網關。
   預先共用金鑰	輸入IPsec串連的認證密鑰，用於VPN網關執行個體與本機資料中心之間的身份認證。 密鑰長度為1~100個字元，支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 若您未指定預先共用金鑰，系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後，您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作，請參見修改IPsec串連。 重要 IPsec串連兩側配置的預先共用金鑰需一致，否則系統無法正常建立IPsec串連。
   啟用BGP	如果IPsec串連需要使用BGP路由協議，需要開啟BGP功能的開關，系統預設關閉BGP功能。 使用BGP動態路由功能前，建議您先瞭解BGP動態路由功能工作機制和使用限制。更多資訊，請參見配置BGP動態路由。
   本端自治系統號	輸入IPsec串連阿里雲側的自治系統號。預設值：45104。自治系統號取值範圍：1~4294967295。 支援按照兩段位的格式進行輸入，即：前16位位元.後16位位元。每個段位使用十進位輸入。 例如輸入123.456，則表示自治系統號：123*65536+456=8061384。 說明 建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。

4. 將對端網段發布至Cloud Enterprise Network。

   1. 登入專用網路管理主控台。

   2. 在左側導覽列中單擊路由表。

   3. 在路由表列表中找到使用者VPC對應的路由表，單擊路由表執行個體ID。

   4. 在路由條目列表頁簽上單擊自訂路由條目頁簽。

   5. 找到配置的對端網段（即本機資料中心的私網網段），單擊對應的發布。

      當網段對應的CEN中狀態列顯示為發行，則表示發布成功。

步驟二：在本地網關裝置中載入VPN配置

1. 登入專用網路管理主控台。

2. 在左側導覽列選擇網間互聯 > VPN > IPsec串連。

3. 在頂部功能表列選擇IPsec串連的地區。

4. 在IPsec串連頁面上找到目標IPsec串連，在操作列單擊產生對端配置。

5. 根據本地IDC網關裝置的配置要求，將下載的配置添加到本地IDC網關裝置中。

   具體操作，請參見華三防火牆配置樣本。

步驟三：配置雲端服務路由和DNS

1. 配置雲端服務路由。

   阿里雲上私網雲端服務所在網段為100.64.0.0/10，該網段為RFC6598規定的保留網段。為了使無影終端可以正常調用無影雲電腦的服務API，需要在本地IDC網路中為100.64.0.0/10網段配置路由，將目的地址隸屬於該網段的請求轉寄至雲上的使用者VPC。

2. （可選）配置DNS前，您可以執行以下命令，測試是否可以正常解析網域名稱。

   nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

   如果返回IP地址，則表示可正常解析網域名稱，可以跳過步驟3；如果無法返回IP地址，則需要按照以下步驟配置DNS。

3. （可選）配置DNS。

   要通過企業專網訪問雲電腦，需要DNS來解析無影雲電腦服務位於私網內的API及流網關的網域名稱，對應的DNS地址為：

   • 100.100.2.136

   • 100.100.2.138

   您可以選擇以下一種方式進行配置：

   • 在本地IDC的DHCP服務上配置上述兩個DNS地址。

   • 在本地IDC的DNS伺服器上配置地區轉寄，將以aliyuncs.com結尾的網域名稱解析請求轉寄至100.100.2.136或者100.100.2.138。

步驟四：驗證是否能夠通過私網串連雲電腦

1. 開啟Windows用戶端。

2. 在用戶端登入介面底部選擇更多 > 網路接入方式，並選擇企業專網。

3. 在用戶端登入介面輸入您從雲電腦分配通知訊息中收到的登入憑證（包括辦公網路ID或組織ID、使用者名稱、密碼等），並單擊下一步表徵圖。

   

4. 在用戶端的雲資源清單介面找到您的雲電腦，並開機串連。

   說明

   如果出現網路請求逾時的相關報錯，則說明網路不通，請檢查配置是否正確。檢查無誤後請重新登入用戶端並串連雲電腦。