SSL-VPN是一種基於OpenVPN架構的網路連接技術。部署完成後,您僅需要在用戶端中載入認證並發起串連,便可通過SSL-VPN功能從用戶端遠端存取VPC中部署的應用和服務。本文介紹如何通過SSL-VPN將本地用戶端接入到無影雲電腦企業版的辦公網路VPC中,實現用戶端能夠通過私網訪問雲電腦。
準備工作
開始操作前,您需要仔細閱讀通過私網訪問雲電腦方案概述,並完成以下準備工作。
建立Cloud Enterprise Network (CEN)執行個體。具體操作,請參見建立雲企業網執行個體。
建立Virtual Private Cloud (VPC)執行個體,並將專用網路執行個體加入Cloud Enterprise Network。具體操作,請參見建立專用網路和交換器或快速加入雲企業網。
建立辦公網路,並將其VPC加入Cloud Enterprise Network。具體操作,請參見建立和管理基於便捷帳號的辦公網路或建立和管理基於企業AD帳號的辦公網路。
重要為了避免建立的辦公網路的網段與Cloud Enterprise Network已有網段或本機資料中心IDC網段產生衝突,請在建立辦公網路前規劃好IPv4網段。具體操作,請參見規劃網段。
如果您之前已有便捷辦公網路,需要將其加入Cloud Enterprise Network。
如果AD部署在Elastic Compute Service (ECS)上,您需要將AD伺服器所屬VPC加入到Cloud Enterprise Network;如果AD部署在本機伺服器上,需要先打通本地和雲上網路,才能成功對接AD。您可以先建立一個AD辦公網路,打通網路後再完成AD域的配置。
建立雲電腦和使用者帳號,並將雲電腦分配給該使用者帳號。
準備用於安裝OpenVPN和無影終端的裝置(必須是同一台裝置)。
說明本方案可使用的無影終端包括:Windows用戶端、macOS用戶端。
步驟一:配置SSL-VPN
配置SSL-VPN包括建立VPN網關、建立SSL服務端、發布用戶端網段至CEN、建立並下載SSL用戶端認證,下文為您介紹操作步驟。
購買VPN網關並開啟SSL-VPN功能。具體操作,請參見建立VPN網關執行個體。
相關配置項的說明及樣本如下表所示。
配置項
說明
樣本
執行個體名稱
VPN網關執行個體的名稱。
test-vpn
地區
選擇VPN網關執行個體的地區。
需確保VPN網關執行個體的地區和待關聯的VPC執行個體的地區相同。
華東1(杭州)
網路類型
選擇VPN網關執行個體的網路類型。
公網:VPN網關通過公網建立VPN串連。
私網:VPN網關通過私網建立VPN串連。
公網
專用網路
選擇VPN網關執行個體關聯的VPC執行個體。
test-vpc
指定交換器
是否為VPN網關執行個體指定交換器。
否:不為VPN網關執行個體指定交換器。建立VPN網關後,VPN網關自動關聯至VPC內的任意一個交換器。
是:為VPN網關執行個體指定交換器。建立VPN網關後,VPN網關會被關聯至指定的交換器下。
否
頻寬峰值
選擇VPN網關執行個體的頻寬規格。單位:Mbps。
200 Mbps
流量
VPN網關執行個體的計費方式。預設值:按流量計費。
按流量計費
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。預設值:開啟。
IPsec-VPN可以在本機資料中心和VPC之間或在VPC和VPC之間建立安全連線。
關閉
SSL-VPN
選擇開啟或關閉SSL-VPN功能。預設值:關閉。
SSL-VPN可以在網站之間建立安全連線,無需配置使用者網關。例如,SSL-VPN可以在Linux用戶端和VPC之間建立安全連線。
開啟
SSL串連數
選擇需要同時串連的用戶端的規格。
說明開啟SSL-VPN功能後才支援配置本參數。
5
購買時間長度
VPN網關的計費周期。預設值:按小時計費。
1個月
服務關聯角色
單擊建立關聯角色,系統自動建立服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他雲產品中的資源,更多資訊,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已建立,則表示您當前帳號下已建立了該角色,無需重複建立。
/
建立SSL服務端。具體操作,請參見建立和管理SSL服務端。
相關配置項的說明及樣本如下表所示。
配置項
說明
樣本
名稱
SSL服務端的名稱。
名稱在2~128個字元之間,以大小寫字母或中文開始,可包含數字、短劃線(-)和底線(_)。
test-ssl
VPN網關
選擇要關聯的VPN網關。
確保該VPN網關已經開啟了SSL-VPN功能。
test-vpn
本端網段
本端網段是用戶端通過SSL-VPN串連要訪問的位址區段。
本端網段可以是Virtual Private Cloud(Virtual Private Cloud)的網段、交換器的網段、通過物理專線和VPC互連的本機資料中心的網段、雲端服務(例如Object Storage Service、雲資料庫)等的網段。
單擊+添加本端網段添加多個本端網段。
說明本端網段的子網路遮罩位元在8至32位之間。
包括以下三個網段:
辦公網路VPC網段:172.16.111.0/24
使用者VPC網段:192.168.0.0/16
VPC內DNS網段及阿里雲私網OpenAPI節點所在網段,固定為100.64.0.0/10。
客戶端網段
用戶端網段是給用戶端虛擬網卡分配訪問地址的網段,不是指用戶端已有的內網網段。當用戶端通過SSL-VPN串連訪問本端時,VPN網關會從指定的用戶端網段中分配一個IP地址給用戶端使用。
在您指定用戶端網段時需保證用戶端網段所包含的IP地址個數是當前VPN網關SSL串連數的4倍及以上。
重要用戶端網段的子網路遮罩位元在16至29位之間。
請確保用戶端網段和本端網段不衝突。
在指定用戶端網段時,建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網段及其子網網段。如果您的用戶端網段需要指定為公網網段,您需要將公網網段設定為VPC的使用者網段,以確保VPC可以訪問到該公網網段。關於使用者網段的更多資訊,請參見什麼是使用者網段?和如何配置使用者網段?。
10.10.111.0/24
高級配置
進階配置支援協議、密碼編譯演算法等配置。本樣本不配置。
無需額外設定參數,採用預設即可。
將SSL-VPN服務端中設定的用戶端網段發布到CEN中。
在左側導覽列,單擊路由表。
在路由表頁面,找到目標打通網路的使用者VPC,單擊路由表執行個體ID。
在路由條目列表頁簽下,單擊自訂路由條目頁簽。
找到SSL-VPN服務端中設定的用戶端網段,單擊發布。
當客戶網段CEN中狀態列顯示為發行,則表示發布成功。
建立SSL用戶端認證。具體操作,請參見建立和管理SSL用戶端認證。
在SSL用戶端頁面,找到目標SSL用戶端認證,在操作列單擊下載。
SSL用戶端認證下載到本地後請妥善儲存,後續配置用戶端時需要使用該認證。
步驟二:在本地安裝並串連OpenVPN
在本地電腦上安裝OpenVPN。
Windows電腦
單擊下載OpenVPN。
安裝OpenVPN。
將SSL用戶端認證解壓拷貝到
OpenVPN\config目錄。重要請根據OpenVPN實際安裝路徑將認證拷貝到對應目錄。例如:OpenVPN安裝在
C:\Program Files\OpenVPN目錄,則將認證解壓拷貝到C:\Program Files\OpenVPN\config目錄。
Mac電腦
執行以下命令安裝OpenVPN。
brew install openvpn如果沒有安裝homebrew,請先安裝homebrew。
將SSL用戶端認證解壓拷貝到配置目錄。
在本地電腦上啟動OpenVPN,並發起串連。
Windows電腦
開啟OpenVPN,發起串連。
Mac電腦
執行以下命令發起串連:
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
步驟三:配置企業專網地址或雲端服務路由
您可以選擇以下方案中的一種。方案1與方案2均為配置企業專網地址,區別在於方案1採用固定地址,對於終端使用者而言配置更簡單,無需配置自訂地址。
方案1:配置企業專網地址(固定地址)
擷取辦公網路的私網網關地址。
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在辦公網路頁面上,單擊目標辦公網路ID。
在辦公網路詳情頁面的網路資訊地區,複製私網網關地址。後續步驟中將用到該地址。
在企業DNS服務上配置一條CNAME記錄,將
private.wuying.com指向辦公網路的私網網關地址。終端使用者在無影終端上完成網路接入配置。
開啟Windows用戶端。
在登入介面右上方單擊表徵圖,並選擇網路接入配置。
在網路接入配置對話方塊中完成以下配置:
重要請確保您使用的Windows用戶端版本不低於V7.7,否則不支援配置企業專網地址。
接入方式:選擇企業專網。
企業專網地址:選擇固定地址。
單擊確定。
方案2:配置企業專網地址(自訂地址)
擷取辦公網路的私網網關地址,並將該地址告知您的終端使用者。
登入無影雲電腦企業版控制台。
在左側導覽列,選擇。
在辦公網路頁面上,單擊目標辦公網路ID。
在辦公網路詳情頁面的網路資訊地區,複製私網網關地址。後續步驟中將用到該地址。
終端使用者在無影終端上完成網路接入配置。
開啟Windows用戶端。
在登入介面右上方單擊表徵圖,並選擇網路接入配置。
在網路接入配置對話方塊中完成以下配置:
重要請確保您使用的Windows用戶端版本不低於V7.7,否則不支援配置企業專網地址。
接入方式:選擇企業專網。
企業專網地址:選擇自訂地址。
自訂地址:輸入管理員提供的辦公網路的私網網關地址。
單擊確定。
方案3:配置雲端服務路由和DNS
配置雲端服務路由。
阿里雲上私網雲端服務所在網段為
100.64.0.0/10,該網段為RFC6598規定的保留網段。為了使無影終端可以正常調用無影雲電腦的服務API,需要在VPN中增加本端地址100.64.0.0/10網段,將目的地址隸屬於該網段的請求轉寄至雲上的使用者VPC。說明如果您的100網段有衝突,請選用方案1或方案2。
如果您在多地區使用雲電腦,可以將
100.64.0.0/10大段設定為雲端服務的網段。如果您需要更明細的網路,可以參考雲電腦服務連接埠要求設定雲端服務網段,其中私網管控服務對應網域名稱的IP地址即雲端服務IP地址。
(可選)配置DNS前,您可以執行以下命令,測試是否可以正常解析網域名稱。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com如果返回IP地址,則表示可正常解析網域名稱,可以跳過步驟3;如果無法返回IP地址,則需要按照以下步驟配置DNS。
在本地電腦上配置DNS。
將
100.100.2.136或100.100.2.138加入到DNS列表中。配置DNS的步驟(以Windows 10作業系統為例)如下:
在開始菜單中搜尋並開啟控制台。
在控制台視窗中單擊網路和Internet,然後單擊網路和共用中心。
在左側導覽列中單擊更改適配器設定。
按右鍵OpenVPN對應的網路介面卡,選擇屬性。
在彈出的對話方塊的此串連使用下列專案地區,雙擊Internet協議版本(TCP/IPv4)。
在彈出的面板上輸入指定的DNS伺服器位址。
您可以將首選DNS伺服器配置為
100.100.2.136,將備選DNS伺服器配置為100.100.2.138。
執行以下命令驗證DNS是否正常工作。
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
步驟四:驗證是否能夠通過私網串連雲電腦
下文以通過Windows用戶端V7.7版本串連雲電腦為例,驗證是否能夠通過私網訪問雲電腦。業務中請根據實際情況選擇合適的用戶端。
開啟Windows用戶端。
在登入介面右上方單擊表徵圖,並選擇網路接入配置。
在網路接入配置對話方塊中將接入方式設為企業專網。
在登入介面輸入您從雲電腦分配通知訊息中收到的登入憑證(包括辦公網路ID或組織ID、使用者名稱、密碼等),並單擊下一步表徵圖。
在用戶端的雲資源清單介面找到您的雲電腦,並開機串連。
說明如果出現網路請求逾時的相關報錯,則說明網路不通,請檢查配置是否正確。檢查無誤後請重新登入用戶端並串連雲電腦。