全部產品
Search

搜尋本產品

    Elastic Desktop Service:通過SSL-VPN實現用戶端私網訪問雲電腦

    文件中心

    Elastic Desktop Service:通過SSL-VPN實現用戶端私網訪問雲電腦

    更新時間:Jul 06, 2024

    SSL-VPN是一種基於OpenVPN架構的網路連接技術。部署完成後,您僅需要在用戶端中載入認證並發起串連,便可通過SSL-VPN功能從用戶端遠端存取VPC中部署的應用和服務。本文介紹如何通過SSL-VPN將本地用戶端接入到的VPC,實現用戶端能夠通過私網訪問雲電腦。

    準備工作

    開始操作前,您需要仔細閱讀通過私網訪問雲電腦介紹,並完成以下準備工作。

    • 確認已有可用的專用網路,如果沒有您需要建立專用網路,並將專用網路加入雲企業網。建立專用網路和交換器管理網路執行個體

    • 確認已有可用的辦公網路,如果沒有您需要建立便捷辦公網路或AD辦公網路,並將辦公網路的VPC加入雲企業網。建立或刪除便捷辦公網路建立並配置AD辦公網路

      重要

      • 避免建立的辦公網路網段與雲企業網已有網段或本機資料中心IDC網段存在衝突,建立辦公網路前,您需要規劃辦公網路的IPv4網段。規劃網段

      • 如果您之前已有便捷辦公網路,需要將辦公網路加入雲企業網CEN。

      • 如果AD部署在Elastic Compute Service上,您需要將AD伺服器所屬VPC加入到雲企業網CEN;如果AD部署在本機伺服器上,需要先打通本地和雲上網路,才能成功對接AD。您可以先建立一個AD辦公網路,打通網路後再完成AD域的配置。

    • 確認已建立使用者和雲電腦並已為該使用者指派雲電腦。

      如果沒有您需要根據辦公網路類型,建立相應的使用者並為使用者建立和分配雲電腦。

    • 準備安裝OpenVPN和用戶端的裝置。您需要確保安裝OpenVPN和用戶端的裝置是同一台裝置。

      說明

      • SSL-VPN的方案僅適用於

      • 驗證是否能夠通過私網串連雲電腦需要登入的用戶端,您可以在本地通過登入的用戶端,然後通過企業專網串連雲電腦。

    步驟一:配置SSL-VPN

    配置SSL-VPN包括建立VPN網關、建立SSL服務端、發布用戶端網段至CEN、建立並下載SSL用戶端認證,下文為您介紹操作步驟。

    1. 購買VPN網關並開啟SSL-VPN功能。建立VPN網關執行個體

      相關配置項的說明及樣本如下表所示。

      配置項

      說明

      樣本

      執行個體名稱

      VPN網關執行個體的名稱。

      test-vpn

      地區

      選擇VPN網關執行個體的地區。

      需確保VPN網關執行個體的地區和待關聯的VPC執行個體的地區相同。

      華東1(杭州)

      網路類型

      選擇VPN網關執行個體的網路類型。

      • 公網:VPN網關通過公網建立VPN串連。

      • 私網:VPN網關通過私網建立VPN串連。

      公網

      專用網路

      選擇VPN網關執行個體關聯的VPC執行個體。

      test-vpc

      指定交換器

      是否為VPN網關執行個體指定交換器。

      • :不為VPN網關執行個體指定交換器。建立VPN網關後,VPN網關自動關聯至VPC內的任意一個交換器下。

      • :為VPN網關執行個體指定交換器。建立VPN網關後,VPN網關會被關聯至指定的交換器下。

      頻寬峰值

      選擇VPN網關執行個體的頻寬規格。單位:Mbps。

      200 Mbps

      流量

      VPN網關執行個體的計費方式。預設值:按流量計費

      按流量計費

      IPsec-VPN

      選擇開啟或關閉IPsec-VPN功能。預設值:開啟

      IPsec-VPN可以在本機資料中心和VPC之間或在VPC和VPC之間建立安全連線。

      關閉

      SSL-VPN

      選擇開啟或關閉SSL-VPN功能。預設值:關閉

      SSL-VPN可以在點和網站之間建立安全連線,無需配置使用者網關。例如,SSL-VPN可以在Linux用戶端和VPC之間建立安全連線。

      開啟

      SSL串連數

      選擇需要同時串連的用戶端的規格。

      說明

      開啟SSL-VPN功能後才支援配置本參數。

      5

      購買時間長度

      VPN網關的計費周期。預設值:按小時計費。

      1個月

      服務關聯角色

      單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。

      VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn

      若本配置項顯示為已建立,則表示您當前帳號下已建立了該角色,無需重複建立。

      /

    2. 建立SSL服務端。建立SSL服務端

      相關配置項的說明及樣本如下表所示。

      配置項

      說明

      樣本

      名稱

      SSL服務端的名稱。

      名稱在2~128個字元之間,以大小寫字母或中文開始,可包含數字、短劃線(-)和底線(_)。

      test-ssl

      VPN網關

      選擇要關聯的VPN網關。

      確保該VPN網關已經開啟了SSL-VPN功能。

      test-vpn

      本端網段

      本端網段是用戶端通過SSL-VPN串連要訪問的位址區段。

      本端網段可以是Virtual Private Cloud(Virtual Private Cloud)的網段、交換器的網段、通過物理專線和VPC互連的本機資料中心的網段、雲端服務(例如Object Storage Service、雲資料庫)等的網段。

      單擊+添加本端網段添加多個本端網段。

      說明

      本端網段的子網路遮罩位元在8至32位之間。

      包括以下三個網段:

      • 辦公網路VPC網段:172.16.111.0/24

      • 使用者VPC網段:192.168.0.0/16

      • VPC內DNS網段及阿里雲私網OpenAPI節點所在網段,固定為100.64.0.0/10。

      客戶端網段

      用戶端網段是給用戶端虛擬網卡分配訪問地址的網段,不是指用戶端已有的內網網段。當用戶端通過SSL-VPN串連訪問本端時,VPN網關會從指定的用戶端網段中分配一個IP地址給用戶端使用。

      在您指定用戶端網段時需保證用戶端網段所包含的IP地址個數是當前VPN網關SSL串連數的4倍及以上。

      重要

      • 用戶端網段的子網路遮罩位元在16至29位之間。

      • 請確保用戶端網段和本端網段不衝突。

      • 在指定用戶端網段時,建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網段及其子網網段。如果您的用戶端網段需要指定為公網網段,您需要將公網網段設定為VPC的使用者網段,以確保VPC可以訪問到該公網網段。關於使用者網段的更多資訊,請參見什麼是使用者網段?如何配置使用者網段?

      10.10.111.0/24

      高級配置

      進階配置支援協議、密碼編譯演算法等配置。本樣本不配置。

      無需額外設定參數,採用預設即可。

    3. 將SSL-VPN服務端中設定的用戶端網段發布到CEN中。

      1. 在左側導覽列,單擊路由表

      2. 路由表頁面,找到目標打通網路的使用者VPC,單擊路由表執行個體ID。

      3. 路由條目列表頁簽下,單擊自訂路由條目頁簽。

      4. 找到SSL-VPN服務端中設定的用戶端網段,單擊發布

        當客戶網段CEN中狀態列顯示為發行,則表示發布成功。

    4. 建立SSL用戶端認證。建立SSL用戶端認證

    5. SSL用戶端頁面,找到目標SSL用戶端認證,在操作列單擊下載

      SSL用戶端認證下載到本地後請妥善儲存,後續配置用戶端時需要使用該認證。

    步驟二:配置本地用戶端串連私網

    您需要在本地PC上安裝並登入OpenVPN,在配置DNS後即可一鍵串連私網,下文為您介紹操作步驟。

    1. 在本地PC上安裝OpenVPN。

      推薦您使用OpenVPN接入VPC,以下為您介紹在Windows作業系統或macOS上安裝OpenVPN的具體步驟。

      • Windows作業系統

        1. 單擊下載OpenVPN

        2. 安裝OpenVPN。

        3. 將SSL用戶端認證解壓拷貝到OpenVPN\config目錄。

          重要

          請根據OpenVPN實際安裝路徑將認證拷貝到對應目錄。例如:OpenVPN安裝在C:\Program Files\OpenVPN目錄,則將認證解壓拷貝到C:\Program Files\OpenVPN\config目錄。

      • macOS

        1. 執行以下命令安裝OpenVPN。

          brew install openvpn

          如果沒有安裝homebrew,請先安裝homebrew。

        2. 將SSL用戶端認證解壓拷貝到配置目錄。

    2. 在本地PC上啟動OpenVPN,並發起串連。

      • Windows作業系統:開啟OpenVPN,發起串連。

      • macOS:執行以下命令發起串連。

        sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

    3. 在本地PC上配置DNS。

      配置DNS前,您可以執行以下命令,測試是否可以正常解析網域名稱。

      nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

      如果返回IP地址,則表示可正常解析網域名稱,則可以跳過該步驟;如果無法返回IP地址,則需要按照以下步驟配置DNS。

      1. 將100.100.2.136或100.100.2.138加入到DNS列表中。

        以Win10為例,配置DNS的步驟如下:

        1. 在控制台開啟網路和共用中心。

        2. 在左側導覽列單擊更改適配器設定

        3. 按右鍵OpenVPN對應的網路介面卡,選擇屬性

        4. 在彈出的對話方塊的此串連使用下列專案地區,雙擊Internet協議版本(TCP/IPv4)

        5. 在彈出對話方塊中指定DNS伺服器。

          您可以將首選DNS伺服器配置為100.100.2.136,將備選DNS伺服器配置為100.100.2.138。

      2. 執行以下命令驗證DNS是否正常工作。

        nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

    步驟三:驗證是否能夠通過私網串連雲電腦

    SSL-VPN的方案僅適用於

    說明

    下文以通過登入5.2.0版本串連雲電腦為例,驗證是否能夠通過私網訪問雲電腦。業務中請根據實際情況選擇合適的用戶端登入並串連雲電腦。

    1. 根據郵件擷取登入用戶端所需的資訊(例如:辦公網路ID、帳號和密碼等)。

      1. 雙擊無影雲電腦..png表徵圖開啟的用戶端。

      2. 按照介面提示輸入辦公網路ID。

        重要

        僅通過辦公網路ID登入用戶端時支援選擇企業專網

      3. 單擊切換網路接入方式並選擇企業專網,然後單擊確定

      4. 單擊下一步

      5. 按照介面提示,輸入帳號和密碼,單擊下一步

    2. 串連雲電腦。

      成功登入的用戶端後,雲電腦將以卡片的形式展示。單擊串連即可。雲電腦串連成功後,您可以在新視窗中查看並使用雲電腦。

      重要

      如果出現網路請求逾時的相關報錯,則說明網路不通,請檢查配置是否正確,檢查無誤後請重新登入用戶端,串連雲電腦。