Elastic Desktop Service:VPC経由でSSL-VPNを使用したクラウドコンピュータへのアクセス

準備

開始する前に、「プライベートネットワーク経由のクラウドコンピューターへのアクセス」のトピックをよく確認し、次の準備を完了してください。

• Cloud Enterprise Network (CEN) インスタンスを作成します。 詳細については、「」をご参照ください。CENインスタンスの作成.

• VPCを作成し、VPCをCENインスタンスにアタッチします。 詳細については、「VPCとvSwitchの作成」または「ネットワークインスタンスをCENインスタンスにアタッチする」をご参照ください。

• オフィスネットワークを作成し、そのVPCをCENインスタンスに接続します。 詳細については、「コンビニエンスオフィスネットワークの作成と管理」および「エンタープライズADオフィスネットワークの作成と管理」をご参照ください。

  重要

  • オフィスネットワークを作成する前に、オフィスネットワークとCENインスタンス間、またはオフィスネットワークとデータセンター間のCIDRブロックの競合を防ぐために、オフィスネットワークのIPv4 CIDRブロックを計画する必要があります。 詳細については、「CIDRブロックの計画」をご参照ください。

  • すでにオフィスネットワークを作成している場合は、コンビニエンスオフィスネットワークをCENインスタンスに接続します。

  • Elastic Compute Service (ECS) インスタンスにADシステムをデプロイする場合、ADサーバーのVPCをCENインスタンスにアタッチする必要があります。 ADシステムをオンプレミスサーバーに展開する場合は、オンプレミスネットワークをクラウドネットワークに接続する必要があります。 エンタープライズADオフィスネットワークを作成し、オンプレミスサーバーとクラウド間の接続を確立できます。 次に、ADドメインを設定できます。

• クラウドコンピュータとアカウントを作成します。 次に、クラウドコンピューターをアカウントに割り当てます。

  • アカウントの作成方法の詳細については、「コンビニエンスアカウントの作成」または「エンタープライズADアカウントの作成と管理」をご参照ください。

  • クラウドコンピューターの作成方法と割り当て方法の詳細については、「クラウドコンピューターの作成」および「クラウドコンピューターのユーザーへの割り当て」をご参照ください。

• OpenVPNとAlibaba Cloud Workspaceターミナルをインストールするためにオンプレミスデバイスを設定します (OpenVPNとAlibaba Cloud Workspaceターミナルは同じデバイスにインストールする必要があります) 。

  説明

  このソリューションでは、次のAlibaba Cloud Workspace端末を使用できます。WindowsクライアントおよびmacOSクライアント。

ステップ1: SSL-VPNの設定

SSL-VPNを設定するときは、VPNゲートウェイを作成し、SSLサーバーを作成し、Alibaba Cloud WorkspaceターミナルのCIDRブロックをCloud Enterprise Network (CEN) に公開してから、SSLクライアント証明書を作成する必要があります。

1. VPNゲートウェイを作成し、SSL-VPNを有効にします。 詳細については、「VPN gatewayの作成」をご参照ください。

   次の表に、VPNゲートウェイの作成に必要なパラメーターを示します。

   パラメーター	説明	例
   名前	VPNゲートウェイの名前。	テスト-vpn
   リージョン	VPNゲートウェイをデプロイするリージョン。 VPN gatewayは、VPN gatewayに関連付けるVPCと同じリージョンにデプロイする必要があります。	中国 (杭州)
   ネットワークタイプ	VPNゲートウェイのネットワークタイプ。 有効な値： パブリック: VPNゲートウェイを使用して、インターネット経由でVPN接続を確立できます。 プライベート: VPNゲートウェイを使用して、VPC経由でVPN接続を確立できます。	パブリック
   [VPC]	VPNゲートウェイを関連付けるVPC。	テスト-vpc
   VSwitch	VPN gatewayを指定されたvSwitchに関連付けるかどうかを指定します。 有効な値： No: VPN gatewayを指定されたvSwitchに関連付けません。 [いいえ] を選択した場合、VPNゲートウェイはVPCのランダムなvSwitchに関連付けられます。 Yes: VPNゲートウェイを指定されたvSwitchに関連付けます。 [はい] を選択した場合、VPNゲートウェイはVPCの指定されたvSwitchに関連付けられています。	非対象
   最大帯域幅	VPNゲートウェイのピーク帯域幅。 単位：Mbit/s	200 Mbit/s
   トラフィック	VPNゲートウェイの計測方法。 デフォルト値: Pay-by-data-transfer	データ転送量課金
   IPsec-VPN	VPN gatewayのIPsec-VPNを有効にするかどうかを指定します。 デフォルト値: 有効。 IPsec-VPN機能を使用して、データセンターとVPC間、または2つのVPC間の安全な接続を確立できます。	Disable
   SSL-VPN	VPN gatewayのSSL-VPNを有効にするかどうかを指定します。 デフォルト値: 無効。 SSL-VPNにより、カスタマーゲートウェイをデプロイすることなく、サイト間で安全な接続を確立できます。 たとえば、LinuxクライアントとVPCの間にSSL-VPN接続を確立できます。	有効にする
   SSL接続	VPN gatewayの同時SSL-VPN接続の最大数。 説明 このパラメーターは、SSL-VPNを有効にした後にのみ使用できます。	5
   有効期間	VPNゲートウェイの課金サイクル。 デフォルト値：時間単位	1 ヶ月
   サービスにリンクされたロール	VPNゲートウェイのサービスにリンクされたロール。 [サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。 [作成済み] が表示されている場合、サービスにリンクされたロールは既に作成されており、再度作成する必要はありません。	非該当

2. SSLサーバーを作成します。 詳細については、「SSLサーバーの作成と管理」をご参照ください。

   次の表に、SSLサーバーの作成に必要なパラメーターを示します。

   パラメーター	説明	例
   名前	SSL サーバー名。 名前は2 ~ 128文字で、数字、ハイフン (-) 、アンダースコア (_) を使用できます。 先頭は英字とする必要があります。	test-ssl
   VPN Gateway	SSLクライアント証明書に関連付けるVPNゲートウェイ。 VPN gatewayのSSL-VPN機能が有効になっていることを確認します。	テスト-vpn
   ローカルネットワーク	クライアントがSSL-VPN接続を使用してアクセスする必要があるCIDRブロック。 このCIDRブロックは、VPCのCIDRブロック、vSwitch、Object Storage service (OSS) やApsaraDB RDSなどのクラウドサービス、またはVPCまたはExpress Connect回路を使用して接続されているデータセンターのCIDRブロックにすることができます。 [ローカルネットワークの追加] をクリックして、CIDRブロックを追加します。 説明 ローカルネットワークのCIDRブロックのサブネットマスクは、8〜32ビットの長さでなければなりません。	次のCIDRブロックを指定する必要があります。 オフィスネットワークVPCのCIDRブロック: 172.16.111.0/24 ユーザーVPCのCIDRブロック: 192.168.0.0/16 VPC内のDNSネットワークのCIDRブロックと、内部ネットワークからアクセスできるAlibaba Cloud OpenAPIのCIDRブロック: 100.64.0.0/10
   クライアントサブネット	IPアドレスがクライアントの仮想ネットワークインターフェイスコントローラー (NIC) に割り当てられるCIDRブロック。 クライアントのプライベートCIDRブロックを入力しないでください。 クライアントがSSL-VPN接続を介して宛先ネットワークにアクセスすると、VPNゲートウェイはクライアントCIDRブロックからクライアントにIPアドレスを割り当てます。 クライアントCIDRブロックのIPアドレスの数が、VPNゲートウェイに基づいて開始できるSSL-VPN接続の最大数の4倍以上であることを確認します。 重要 指定されたクライアントCIDRブロックのサブネットマスクの長さは16〜29ビットである必要があります。 ローカルネットワークCIDRブロックとクライアントCIDRブロックが重複しないようにしてください。 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、またはそれらのサブネットの1つをクライアントCIDRブロックとして使用することを推奨します。 パブリックCIDRブロックをクライアントCIDRブロックとして指定する場合は、パブリックCIDRブロックをVPCのユーザーCIDRブロックとして指定する必要があります。 これにより、VPCはパブリックCIDRブロックにアクセスできます。 詳細については、「」をご参照ください。ユーザーCIDRブロックとは何ですか? とユーザーCIDRブロックを設定するにはどうすればよいですか?	10.10.111.0/24
   高度な構成	[詳細設定] セクションでは、プロトコルや暗号化アルゴリズムなど、SSLサーバーの詳細設定を設定できます。 この例では、詳細設定の詳細は省略しています。	デフォルト値を使用できます。

3. SSL-VPNサーバーで指定されたクライアントCIDRブロックをCENに公開します。

   1. In the left-side navigation pane, click Route Tables.

   2. [ルートテーブル] ページで、接続するVPCを見つけ、VPCを使用するルートテーブルインスタンスのIDをクリックします。

   3. [ルートエントリリスト] タブで、[カスタムルート] タブをクリックします。

   4. SSL-VPNサーバーの設定で構成されているクライアントCIDRブロックを見つけ、[発行] をクリックします。

      [CENステータス] 列に [公開済み] が表示されている場合、CIDRブロックがアドバタイズされます。

4. SSLクライアント証明書を作成します。 詳細については、「SSLクライアント証明書の作成と管理」をご参照ください。

5. [SSLクライアント] ページで、ダウンロードするSSLクライアント証明書を見つけ、[操作] 列の [ダウンロード] をクリックします。

   SSLクライアント証明書はコンピューターにダウンロードされ、次の手順でクライアントを構成するときに使用されます。

ステップ2: OpenVPNをインストールして接続する

1. オンプレミスのコンピューターにOpenVPNをインストールします。

   Windowsコンピュータ

   1. [OpenVPN] をクリックしてOpenVPNをダウンロードします。

   2. OpenVPNをインストールします。

   3. ダウンロードしたSSLクライアント証明書のパッケージを解凍し、SSLクライアント証明書をOpenVPN\configディレクトリにコピーします。

      重要

      証明書をOpenVPNがインストールされている対応するディレクトリにコピーします。 たとえば、OpenVPNがC:\Program Files\OpenVPNディレクトリにインストールされている場合、証明書パッケージを解凍し、証明書をC:\Program Files\OpenVPN\configディレクトリにコピーする必要があります。

   macOSコンピュータ

   1. 次のコマンドを実行してOpenVPNをインストールします。

      brew install openvpn

      次の操作を実行する前に、Homebrewをインストールする必要があります。

   2. SSLクライアント証明書のパッケージを解凍し、証明書をOpenVPNの \configディレクトリにコピーします。

2. オンプレミスコンピュータでOpenVPNを起動し、接続を開始します。

   Windowsコンピュータ

   OpenVPNを起動し、接続を開始します。

   macOSコンピュータ

   次のコマンドを実行して接続を開始します。

   sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

手順3: エンタープライズVPC IPアドレスまたはクラウドサービスルートの設定

ビジネス要件に基づいて、次のいずれかのソリューションを選択できます。 ソリューション1とソリューション2では、エンタープライズVPCのIPアドレスを設定する方法について説明します。 主な違いは、ソリューション1が静的IPアドレスを使用することです。これにより、エンドユーザーはカスタムIPアドレスを設定する必要がないため、プロセスが簡単になります。

nslookup ecd-vpc.cn-hangzhou.aliyuncs.com