SSL-VPN を使用してクラウドデスクトップにアクセスする方法 - Elastic Desktop Service

SSL-VPN は、OpenVPN アーキテクチャに基づくネットワーク接続テクノロジーです。デプロイ後、クライアントに証明書をロードすることで、Virtual Private Cloud (VPC) 内のアプリケーションやサービスにリモートでアクセスできます。このトピックでは、SSL-VPN 接続を使用してオンプレミスのクライアントを Elastic Desktop Service (EDS) Enterprise のオフィスネットワーク VPC に接続する方法について説明します。これにより、クライアントはプライベートネットワーク経由でクラウドデスクトップにアクセスできます。

前提条件

開始する前に、「プライベートネットワーク経由でクラウドデスクトップに接続するためのソリューション」をご参照のうえ、次の前提条件となるタスクを完了してください。

Cloud Enterprise Network (CEN) インスタンスを作成します。詳細については、CEN インスタンスの作成をご参照ください。
Virtual Private Cloud (VPC) インスタンスを作成し、その VPC インスタンスを Cloud Enterprise Network に追加します。詳細については、VPC と vSwitch の作成またはネットワークインスタンスの CEN への迅速な追加をご参照ください。
オフィスネットワークを作成し、その VPC を Cloud Enterprise Network に追加します。詳細については、簡便アカウントを使用するオフィスネットワークの作成と管理またはエンタープライズ AD アカウントを使用するオフィスネットワークの作成と管理をご参照ください。
重要
- 新しいオフィスネットワーク、Cloud Enterprise Network 内の既存ネットワーク、およびオンプレミスデータセンター間の IP アドレスの競合を防ぐために、オフィスネットワークを作成する前に IPv4 CIDR ブロックを計画してください。詳細については、CIDR ブロックの計画をご参照ください。
- すでに簡便オフィスネットワークがある場合は、それを Cloud Enterprise Network に追加する必要があります。
- AD が Elastic Compute Service (ECS) インスタンスにデプロイされている場合は、AD サーバーを含む VPC を Cloud Enterprise Network に追加する必要があります。AD がオンプレミスサーバーにデプロイされている場合は、AD と正常に統合するために、まずオンプレミスネットワークとクラウド間の接続を確立する必要があります。まず AD オフィスネットワークを作成し、ネットワーク接続が確立された後に AD ドメインの設定を完了できます。
クラウドデスクトップとユーザーアカウントを作成し、そのクラウドデスクトップをユーザーアカウントに割り当てます。
- ユーザーアカウントの作成方法については、簡易ユーザーの作成またはAD ユーザーの作成と管理をご参照ください。
- クラウドデスクトップの作成と割り当て方法については、クラウドデスクトップの作成およびユーザーへのクラウドデスクトップの割り当てをご参照ください。
OpenVPN と Alibaba Cloud Workspace クライアントをインストールするデバイスを準備します。両方を同じデバイスにインストールします。
説明
サポートされている Alibaba Cloud Workspace クライアントには、Windows クライアントとmacOS クライアントが含まれます。

ステップ 1：SSL-VPN の設定

SSL-VPN の設定には、VPN Gateway の作成、SSL サーバーの作成、クライアント CIDR ブロックの Cloud Enterprise Network (CEN) への公開、SSL クライアント証明書の作成とダウンロードが含まれます。以下の手順でこのプロセスを説明します。

VPN Gateway を購入し、SSL-VPN 機能を有効にします。詳細については、VPN Gateway インスタンスをご参照ください。

次の表に、パラメーターと値の例を示します。

パラメーター	説明	例
Instance Name	VPN Gateway インスタンスの名前。	test-vpn
[リージョン]	VPN Gateway インスタンスを作成するリージョンを選択します。 VPN Gateway インスタンスと関連付けられた Virtual Private Cloud (VPC) インスタンスが同じリージョンにあることを確認してください。	中国 (杭州)
[ネットワークタイプ]	VPN Gateway インスタンスのネットワークタイプを選択します。パブリックネットワーク：VPN Gateway はインターネット経由で VPN 接続を確立します。プライベートネットワーク：VPN Gateway はプライベートネットワーク経由で VPN 接続を確立します。	パブリックネットワーク
VPC	VPN Gateway インスタンスに関連付ける VPC インスタンスを選択します。	test-vpc
[VSwitch の指定]	VPN Gateway インスタンスに VSwitch を指定するかどうかを指定します。いいえ：VPN Gateway インスタンスに VSwitch を指定しません。VPN Gateway が作成された後、VPC 内のランダムな VSwitch に自動的に関連付けられます。はい：VPN Gateway インスタンスに VSwitch を指定します。VPN Gateway が作成された後、指定された VSwitch に関連付けられます。	いいえ
[ピーク帯域幅]	VPN Gateway インスタンスの最大帯域幅を選択します。単位：Mbps。	200 Mbps
[トラフィック]	VPN Gateway インスタンスの課金方法。デフォルト値：データ転送量課金。	データ転送量課金
[IPsec-VPN]	IPsec-VPN 機能を有効にするかどうかを指定します。デフォルト値: 有効。 IPsec-VPN は、データセンターと VPC 間、または異なる VPC 間で安全な接続を確立できます。	無効
[SSL-VPN]	SSL-VPN 機能を有効にするかどうかを指定します。デフォルト値：無効。 SSL-VPN は、カスタマーゲートウェイを設定することなく、サイト間で安全な接続を確立できます。たとえば、SSL-VPN は Linux クライアントと VPC の間で安全な接続を確立できます。	有効
[SSL 接続数]	同時に接続できるクライアントの最大数を選択します。説明このパラメーターは、SSL-VPN 機能を有効にした後にのみ使用できます。	5
[サブスクリプション期間]	VPN Gateway の課金サイクル。デフォルト値：時間単位課金。	1 か月
[サービスリンクロール]	[サービスリンクロールの作成] をクリックします。システムは自動的に AliyunServiceRoleForVpn サービスリンクロールを作成します。 VPN Gateway はこのロールを使用して、他の Alibaba Cloud サービスのリソースにアクセスします。詳細については、AliyunServiceRoleForVpn をご参照ください。このパラメーターが [作成済み] と表示されている場合、ロールはすでにアカウントで作成されており、再度作成する必要はありません。	/

SSL サーバーを作成します。詳細については、SSL サーバーの作成と管理をご参照ください。

次の表に、パラメーターと値の例を示します。

パラメーター	説明	例
名前	SSL サーバーの名前。名前は 2～128 文字の長さである必要があります。文字で始まり、数字、ハイフン (-)、アンダースコア (_) を含めることができます。	test-ssl
VPN Gateway	関連付ける VPN Gateway を選択します。 VPN Gateway で SSL-VPN 機能が有効になっていることを確認してください。	test-vpn
ローカルネットワーク	ローカルネットワークは、クライアントが SSL-VPN 接続を介してアクセスする CIDR ブロックです。ローカルネットワークは、Virtual Private Cloud (VPC) の CIDR ブロック、VSwitch、Express Connect 回線を介して VPC に接続されているデータセンター、または Object Storage Service (OSS) や ApsaraDB RDS などの Alibaba Cloud サービスです。複数のローカルネットワークを追加するには、[ローカルネットワークの追加] をクリックします。説明ローカルネットワークのサブネットマスクは 8～32 ビットの長さである必要があります。	次の 3 つの CIDR ブロックが含まれます：オフィスネットワーク VPC の CIDR ブロック：172.16.111.0/24 ユーザー VPC の CIDR ブロック：192.168.0.0/16 VPC 内の DNS 用の CIDR ブロックと、Alibaba Cloud プライベート OpenAPI エンドポイントが存在する CIDR ブロック。これは 100.64.0.0/10 に固定されています。
クライアント CIDR ブロック	クライアント CIDR ブロックは、クライアントの仮想ネットワークインターフェースカード (NIC) に IP アドレスが割り当てられるネットワークセグメントです。これはクライアントの既存のプライベート CIDR ブロックではありません。クライアントが SSL-VPN 接続を介してローカルネットワークに接続すると、VPN Gateway は指定されたクライアント CIDR ブロックからクライアントに IP アドレスを割り当てます。クライアント CIDR ブロックを指定する場合、クライアント CIDR ブロック内の IP アドレスの数が、VPN Gateway がサポートする SSL 接続の最大数の少なくとも 4 倍であることを確認してください。重要クライアント CIDR ブロックのサブネットマスクは 16～29 ビットの長さである必要があります。クライアント CIDR ブロックとローカルネットワークが重複しないようにしてください。クライアント CIDR ブロックを指定する場合は、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそれらのサブネットを使用してください。パブリック CIDR ブロックを使用する必要がある場合は、VPC がパブリック CIDR ブロックにアクセスできるように、VPC のユーザー CIDR ブロックとして設定してください。ユーザー CIDR ブロックの詳細については、VPC のよくある質問およびVPC のよくある質問をご参照ください。	10.10.111.0/24
高度な構成	詳細設定には、プロトコルと暗号化アルゴリズムの設定が含まれます。この例では詳細設定は使用しません。	追加のパラメーターは不要です。デフォルト設定を使用します。

SSL サーバーで指定されたクライアント CIDR ブロックを CEN に公開します。
1. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。
2. [ルートテーブル] ページで、接続を確立するユーザー VPC を見つけ、そのルートテーブルの ID をクリックします。
3. [ルートエントリリスト] タブで、[カスタムルートエントリ] タブをクリックします。
4. SSL サーバーで指定されたクライアント CIDR ブロックを見つけ、[公開] をクリックします。
  クライアント CIDR ブロックの [CEN でのステータス] 列の値が [公開済み] の場合、公開は成功です。
SSL クライアント証明書を作成します。詳細については、SSL クライアント証明書の作成と管理をご参照ください。
[SSL クライアント] ページで、対象の SSL クライアント証明書を見つけ、[アクション] 列の [ダウンロード] をクリックします。
SSL クライアント証明書をコンピューターにダウンロードしたら、安全な場所に保管してください。クライアントを設定する際にこの証明書が必要になります。

ステップ 2：ローカルコンピューターへの OpenVPN のインストールと接続

ローカルコンピューターに OpenVPN をインストールします。
Windows
1. OpenVPN のダウンロードをクリックします。
2. OpenVPN をインストールします。
3. SSL クライアント証明書を展開し、OpenVPN\config ディレクトリにコピーします。
  重要
  証明書を OpenVPN のインストールパスに一致するディレクトリにコピーしてください。たとえば、OpenVPN を C:\Program Files\OpenVPN ディレクトリにインストールした場合、証明書を展開して C:\Program Files\OpenVPN\config ディレクトリにコピーします。
Mac
1. 次のコマンドを実行して OpenVPN をインストールします。
  brew install openvpn
  Homebrew がインストールされていない場合は、まずインストールしてください。
2. SSL クライアント証明書を展開し、設定ディレクトリにコピーします。
ローカルコンピューターで OpenVPN を起動し、接続を開始します。
Windows
OpenVPN を開き、接続を開始します。
Mac
次のコマンドを実行して接続を開始します：
```
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
```

ステップ 3：エンタープライズプライベートネットワークアドレスまたはクラウドサービスルートの設定

次のいずれかのソリューションを選択できます。ソリューション 1 と 2 はどちらも Alibaba Cloud VPC アドレスの設定を含みます。違いは、ソリューション 1 はデフォルトアドレスを使用するため、エンドユーザーにとってカスタムアドレスを設定する必要がなく、よりシンプルである点です。

VPC アドレス (デフォルト)

オフィスネットワークのプライベートゲートウェイアドレスを取得します。
1. Elastic Desktop Service Enterprise コンソールにログインします。
2. 左側のナビゲーションウィンドウで、Networks & Storage > Office Network を選択します。
3. Office Network ページで、対象のオフィスネットワーク ID をクリックします。
4. オフィスネットワークの詳細ページのNetwork Information セクションで、Private Gateway Address をコピーします。このアドレスは後のステップで使用します。
エンタープライズ DNS サービスで、private.wuying.com をオフィスネットワークのプライベートゲートウェイアドレスにポイントする CNAME レコードを設定します。
エンドユーザーは、Alibaba Cloud Workspace クライアントでネットワーク接続設定を完了します。
1. Windows クライアントを開きます。
2. ログイン画面の右上隅にあるアイコンをクリックし、[接続設定] を選択します。
3. [接続設定] ダイアログボックスで、次のオプションを設定します：
  重要
  この機能には、Windows クライアントバージョン 7.7 以降が必要です。以前のバージョンでは、Alibaba Cloud VPC アドレスの設定はサポートされていません。
  - [接続タイプ]：[Alibaba Cloud VPC] を選択します。
  - [Alibaba Cloud VPC アドレス]：[デフォルトアドレス] を選択します。
4. [確認] をクリックします。

VPC アドレス (カスタム)

オフィスネットワークのプライベートゲートウェイアドレスを取得し、エンドユーザーに提供します。
1. Elastic Desktop Service Enterprise コンソールにログインします。
2. 左側のナビゲーションウィンドウで、Networks & Storage > Office Network を選択します。
3. Office Network ページで、対象のオフィスネットワーク ID をクリックします。
4. オフィスネットワーク詳細ページのNetwork Informationセクションで、Private Gateway Addressをコピーします。このアドレスは後のステップで使用します。
エンドユーザーは、Alibaba Cloud Workspace クライアントでネットワーク接続設定を完了します。
1. Windows クライアントを開きます。
2. ログイン画面の右上隅にあるアイコンをクリックし、[接続設定] を選択します。
3. [接続設定] ダイアログボックスで、次のオプションを設定します：
  重要
  この機能には、Windows クライアントバージョン 7.7 以降が必要です。以前のバージョンでは、Alibaba Cloud VPC アドレスの設定はサポートされていません。
  - [接続タイプ]：[Alibaba Cloud VPC] を選択します。
  - [Alibaba Cloud VPC アドレス]：[カスタムアドレス] を選択します。
  - [カスタムアドレス]：管理者から提供されたオフィスネットワークのプライベートゲートウェイアドレスを入力します。
4. [確認] をクリックします。

方法 3：クラウドサービスルートと DNS の設定

クラウドサービスルートを設定します。
Alibaba Cloud 上のプライベートクラウドサービスの CIDR ブロックは 100.64.0.0/10 です。これは RFC 6598 で指定されている予約済み CIDR ブロックです。Alibaba Cloud Workspace クライアントは、Elastic Desktop Service (EDS) のサービス API を呼び出す必要があります。これを有効にするには、VPN のローカルアドレスとして 100.64.0.0/10 CIDR ブロックを追加します。これにより、この CIDR ブロックへのリクエストがクラウド上の VPC に転送されるようになります。
説明
- 100.x.x.x ネットワークセグメントに競合がある場合は、方法 1 または方法 2 を使用してください。
- 複数のリージョンでクラウドデスクトップを使用する場合、大きな 100.64.0.0/10 CIDR ブロックをクラウドサービスの CIDR ブロックとして設定できます。より詳細なネットワークが必要な場合は、「クラウドデスクトップサービスのポート要件」を参照してクラウドサービスの CIDR ブロックを設定してください。プライベート管理サービスのドメイン名に対応する IP アドレスが、クラウドサービスの IP アドレスです。
(オプション) DNS を設定する前に、次のコマンドを実行してドメイン名が解決できるかテストします。
```
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
```
IP アドレスが返された場合、ドメイン名は正しく解決されており、ステップ 3 はスキップできます。IP アドレスが返されない場合は、次のステップで説明するように DNS を設定する必要があります。
ローカルコンピューターで DNS を設定します。
1. DNS サーバーリストに 100.100.2.136 または 100.100.2.138 を追加します。
  次の手順は、Windows 10 オペレーティングシステムで DNS を設定する方法を示しています：
  1. [スタート] メニューから [コントロールパネル] を検索して開きます。
  2. [コントロールパネル] ウィンドウで、[ネットワークとインターネット] をクリックし、次に [ネットワークと共有センター] をクリックします。
  3. 左側のナビゲーションウィンドウで、[アダプターの設定の変更] をクリックします。
  4. OpenVPN のネットワークアダプターを右クリックし、[プロパティ] を選択します。
  5. 表示されたダイアログボックスの [この接続は次の項目を使用します] セクションで、[インターネットプロトコルバージョン 4 (TCP/IPv4)] をダブルクリックします。
  6. 表示されたパネルで、指定された DNS サーバーアドレスを入力します。
    [優先 DNS サーバー] を 100.100.2.136 に、[代替 DNS サーバー] を 100.100.2.138 に設定します。
2. 次のコマンドを実行して、DNS が正しく機能していることを確認します。
```
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
```

ステップ 4：クラウドデスクトップへのプライベートネットワーク接続の確認

説明

次の例では、Windows クライアントバージョン 7.7 を使用してクラウドデスクトップへのプライベート接続を確認します。実際には、状況に応じて適切なクライアントを選択してください。

Windows クライアントを開きます。
ログイン画面の右上隅にあるアイコンをクリックし、[接続設定] を選択します。
[接続設定] ダイアログボックスで、[接続タイプ] を [Alibaba Cloud VPC] に設定します。
ログイン画面で、クラウドデスクトップの割り当て通知メールで受け取った認証情報 (オフィスネットワーク ID または組織 ID、ユーザー名、パスワードを含む) を入力し、次のアイコンをクリックします。
クライアントのクラウドリソースリストで、ご利用のクラウドデスクトップを見つけ、起動して接続します。
説明
ネットワークリクエストのタイムアウトエラーは、ネットワークの切断を示します。設定を確認してください。修正後、クライアントに再度ログインし、クラウドデスクトップに接続してください。