SSL-VPN是一种基于OpenVPN架构的网络连接技术。部署完成后,您仅需要在客户端中加载证书并发起连接,便可通过SSL-VPN功能从客户端远程访问VPC中部署的应用和服务。本文介绍如何通过SSL-VPN将本地客户端接入到无影云桌面的安全办公网络中,实现客户端能够通过私网访问云桌面。

背景信息

通过客户端连接云桌面时,您可以选择以公网或者企业专网(即VPC)进行连接。云桌面支持哪种网络接入方式由云桌面所属工作区的属性决定,相关说明如下:
  • 工作区连接方式为公网连接时,则只允许客户端通过公网连接云桌面。
  • 工作区连接方式为VPC连接时,则只允许客户端通过企业专网连接云桌面。
  • 工作区连接方式为公网和VPC都允许时,则不限制方式,使用客户端连接云桌面时可以自行选择网络接入方式。
VPC连接依赖于阿里云私网连接(PrivateLink)服务,该服务能够实现专有网络VPC与阿里云上的服务建立安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。
说明 私网连接服务不收取费用。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。

采用VPC连接方式时,需要先打通客户端所属网络(本地)和云桌面安全办公网络(云上)。目前阿里云提供高速通道、智能接入网关和VPN网关等方式可以打通本地和云上网络,其中VPN网关包括IPsec-VPN和SSL-VPN,本文主要介绍如何通过SSL-VPN实现客户端私网访问云桌面。

说明 云桌面支持PC软终端、Web浏览器、硬件终端和移动终端等多种类型的客户端。SSL-VPN方案需要安装OpenVPN,仅适用于PC端(Windows、macOS)。

网络架构

通过SSL-VPN打通本地和云上网络,实现本地客户端通过私网访问云桌面的组网架构如下图所示。
说明 通过VPN网关打通本地和云上网络时,需确保本地客户端可以访问公网。
SSL-VPN网络架构
相关说明如下:
  • 专有网络VPC是逻辑上彻底隔离的云上私有网络。无影云桌面从网络角度可以划分为管控VPC、桌面服务VPC和工作区VPC,三者均由阿里云维护。其中管控VPC和桌面服务VPC负责部署管控组件和桌面资源等,工作区VPC是您创建工作区时,系统根据您设置的网段创建的VPC。采用VPN网关建立连接时,您需要自建一个用户VPC。
  • 云企业网CEN可以在不同的VPC之间搭建私网通信通道。管控CEN由阿里云维护,您无需关注。用户CEN是您需要自建的CEN,用于实现用户VPC和工作区VPC之间的网络互通。
  • 每台云桌面包含两个网卡:eth0和eth1。其中,eth0是内部网卡,负责管控流量、客户端与云桌面建立连接流量等,IP由无影云桌面服务统一分配;eth1是您日常使用的网卡,负责访问VPC内的资源或者访问公网,IP由系统在工作区VPC网段内自动分配。
  • VPC连接依赖于PrivateLink服务,该服务能够在工作区VPC(终端节点)与桌面服务VPC(终端节点服务)之间建立安全稳定的私网连接。
操作前,请合理规划用户VPC和工作区VPC的网段,避免产生网段冲突。本文采用以下网段作为示例:
  • 工作区VPC:172.16.111.0/24
  • 用户VPC:192.168.0.0/16

准备工作

工作区按照账号系统类型可以分为便捷工作区和AD工作区,对应的准备工作如下:
  • 便捷工作区
    1. 创建CEN实例。具体操作,请参见创建云企业网实例
    2. 创建用户VPC,并将用户VPC加入到CEN中。具体操作,请参见创建专有网络加载网络实例
    3. 创建便捷工作区,并将便捷工作区VPC加入到CEN中。具体操作,请参见创建便捷工作区

      如果您之前已有便捷工作区,可以在无影云桌面控制台的安全办公网络页面,将工作区对应的VPC加入到CEN中。

  • AD工作区
    1. 创建CEN实例。具体操作,请参见创建云企业网实例
    2. 创建用户VPC,将用户VPC加入到CEN中。具体操作,请参见创建专有网络加载网络实例

      如果AD部署在云服务器ECS上,则AD所属VPC即为用户VPC,您只需将该VPC加入到CEN中。

    3. 创建AD工作区,并将AD工作区VPC加入到CEN中。具体操作,请参见创建AD工作区
      说明 如果AD部署在本地服务器上,需要先打通本地和云上网络,才能对接AD成功。您可以先创建一个AD工作区,在打通网络后再完成AD域的配置。

步骤一:配置SSL-VPN

配置SSL-VPN包括创建VPN网关、创建SSL服务端、发布客户端网段和创建SSL客户端证书。操作步骤如下:

  1. 登录VPN网关管理控制台
  2. 创建VPN网关。
    1. VPN网关页面,单击创建VPN网关
    2. 在购买页面,完成VPN网关配置。
      需要注意的配置项说明如下表所示。更多信息,请参见创建VPN网关
      参数 描述 示例
      实例名称 自定义输入。格式规范请参考页面提示。 test-vpn
      地域 选择工作区所在的地域。 华东1(杭州)
      专有网络 选择需要打通网络的用户VPC网段。 test-vpc
      指定交换机 选择是否将VPN网关创建在VPC中的某一交换机下。本示例选择
      带宽峰值 选择带宽规格。带宽规格是VPN网关所具备的公网带宽峰值。 10Mbps
      IPsec-VPN 选择是否开启IPsec-VPN功能。本示例选择关闭 关闭
      SSL-VPN 选择是否开启SSL-VPN功能。本示例选择开启 开启
      SSL连接数 选择您需要同时连接的客户端最大数量。 5
    3. 单击立即购买,然后按照页面提示完成后续支付操作。
  3. 创建SSL服务端。
    1. 在左侧导航栏,选择网间互联 > VPN > SSL服务端
    2. SSL服务端页面,单击创建SSL服务端
    3. 创建SSL服务端面板,完成SSL服务端配置。
      相关配置说明如下表所示。更多信息,请参见创建SSL服务端
      参数 描述 示例
      名称 自定义输入。格式规范请参考页面提示。 test-ssl
      VPN网关 选择上一步创建的VPN网关。 test-vpn
      本端网段 以CIDR格式输入本端网段。包括以下三个网段:
      • 工作区VPC网段。
      • 要打通网络的用户VPC网段。
      • VPC内DNS网段及阿里云私网OpenAPI节点所在网段,固定为100.64.0.0/10。
      • 172.16.111.0/24
      • 192.168.0.0/16
      • 100.64.0.0/10
      客户端网段 以CIDR格式输入客户端网段。自定义设置,避免与设置的本端网段冲突。
      注意 客户端网段不是您本地客户端现有的IP地址,而是用来分配给客户端进行SSL-VPN连接的IP地址。
      		10.10.111.0/24
      高级配置 高级配置支持协议、加密算法等配置。本示例不配置。 默认不配置
    4. 单击确定
  4. 将SSL-VPN服务端中设置的客户端网段发布到CEN中。
    1. 在左侧导航栏,单击路由表
    2. 路由表页面,找到要打通网络的用户VPC,单击路由表实例ID。
    3. 路由条目列表页签下,单击自定义页签。
    4. 找到SSL-VPN服务端中设置的客户端网段,单击发布
  5. 创建SSL客户端证书。
    1. 在左侧导航栏,选择VPN > SSL客户端
    2. SSL客户端页面,单击创建SSL客户端证书
    3. 创建SSL客户端证书面板,输入名称并选择SSL服务端,然后单击确定
    4. SSL客户端页面,找到目标SSL客户端,单击操作列中的下载
      SSL客户端证书将下载到本地,后续配置客户端时将使用该证书。

步骤二:配置本地客户端连接私网

在本地PC上,您需要安装并登录OpenVPN,在配置DNS后即可一键连接私网。操作步骤如下:

  1. 在本地PC上安装OpenVPN。
    推荐您使用OpenVPN接入VPC,请根据云桌面客户端所在PC的操作系统类型选择对应的方式进行安装:
    • Windows
      1. 下载OpenVPN
      2. 安装OpenVPN。
      3. 将SSL客户端证书解压拷贝到OpenVPN\config目录。

        请根据OpenVPN实际安装路径将证书拷贝到对应目录。例如:OpenVPN安装在C:\Program Files\OpenVPN目录,则将证书解压拷贝到C:\Program Files\OpenVPN\config目录。

    • macOS
      1. 执行以下命令安装OpenVPN。 
        brew install openvpn
        如果没有安装homebrew,请先安装homebrew。
      2. 将SSL客户端证书解压拷贝到配置目录。
  2. 在本地PC上启动OpenVPN,并发起连接。
    • Windows:打开OpenVPN,发起连接。
    • macOS:执行以下命令发起连接。
      sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
  3. 在本地PC上配置DNS。
    1. 将100.100.2.136或100.100.2.138加入到DNS列表中。
      以Win10为例,配置DNS的步骤如下:
      1. 在控制面板打开网络和共享中心。
      2. 在左侧导航栏单击更改适配器设置
      3. 右键单击OpenVPN对应的网络适配器,选择属性
      4. 在弹出的对话框的此连接使用下列项目区域,双击Internet协议版本(TCP/IPv4)
      5. 在弹出对话框中指定DNS服务器。

        您可以将首选DNS服务器配置为100.100.2.136,将备选DNS服务器配置为100.100.2.138。

    2. 执行以下命令验证DNS是否正常工作。
      nslookup ecd-vpc.cn-beijing.aliyuncs.com

步骤三:测试无影云电脑客户端能否通过私网访问云桌面

测试前,请先根据工作区类型,创建对应的终端用户,并为用户创建和分配云桌面。

SSL-VPN方案仅适用于PC端(Windows、macOS),以Windows的无影云电脑客户端为例,操作步骤如下:

  1. 安装并打开无影云电脑客户端。
  2. 登录配置页面,输入工作区ID,选中通过企业专网接入,然后单击下一步
    如果出现网络请求超时的相关报错,则表示网络不通,请检查配置是否有误。
  3. 输入用户名和密码,单击下一步
  4. 在桌面卡片中,选择状态为运行中的云桌面,单击连接
    如果可以成功登录客户端并连接云桌面,则表示配置成功。