对于同一目录下的云桌面,系统采用企业安全组控制进出流量。默认情况下,同一安全组中或者不同安全组的云桌面之间无法互相访问,您需要手动添加安全组规则后才能实现云桌面的网络互通。

背景信息

创建目录时,您可以指定VPC和交换机VSW。基于同一个目录创建的云桌面将自动划分到同一个企业安全组中,相关架构示例如下图所示。安全组
同一企业安全组内的云桌面无法互相访问,安全组默认的规则如下:
  • 入方向:拒绝任何访问。
  • 出方向:允许访问外部资源。

更多信息,请参见网络架构

配置场景

默认情况下,基于安全性的考虑,各个云桌面的网络互相隔离。如果您有桌面网络互通的业务需求,需要手动配置安全组规则。配置场景和方法如下:
  • 同一VPC下,处于同一安全组中的云桌面

    您需要在所属安全组的入方向规则中授权需要访问的IP网段。例如:同一安全组中的桌面1和桌面2,需要实现网络互通,则在所属安全组中,入方向规则需要授权桌面1和桌面2的IP地址。

  • 同一VPC下,处于不同安全组中的云桌面

    您需要分别在安全组的入方向规则中授权需要访问的IP网段。例如:安全组A中的桌面1和安全组B中的桌面2,需要实现网络互通,则您需要在安全组A的入方向规则中授权桌面2的IP地址,允许桌面2的访问;在安全组B的入方向规则中授权桌面1的IP地址,允许桌面1的访问。

  • 不同VPC下的云桌面

    您需要先打通VPC之间的网络,然后再根据需要配置安全组规则。

说明 如果仅需要几个云桌面之间实现网络互通,在配置规则时,建议仅授权单个IP地址,能更好地保证数据安全。如果需要整个安全组内的云桌面实现网络互通,在配置规则时,您可以授权对应交换机或者VPC的IP网段。

本文主要介绍同一VPC下的云桌面,通过添加安全组规则实现网络互通。处于不同的VPC的云桌面配置网络互通时,您需要先打通VPC之间的网络。更多信息,请参见连接VPC

操作步骤

  1. 登录弹性云桌面控制台
  2. 在顶部菜单栏左上角处,选择地域。
  3. 在左侧导航栏,单击目录服务
  4. 找到桌面所属的目录,单击对应的安全组ID。
  5. 安全组列表页面,单击安全组ID。
  6. 安全组规则页面的入方向页签下,单击手动添加
  7. 配置规则相关参数。
    主要配置参数如下表所示。
    参数 描述
    协议类型 根据需要选择,包括全部自定义TCP等。
    端口范围 根据需要设置,配置为-1/-1时,表示不限制端口。协议类型为自定义TCP自定义UDP时,可自定义设置。更多信息,请参见常用端口表 3
    授权对象 填写单一IP地址或者CIDR网段格式,如:192.168.0.1或192.168.0.0/24。支持设置多组(最多10组)授权对象,用英文半角逗号隔开。
  8. 单击保存

配置示例

例如,同一VPC下,存在基于目录A的桌面1和云桌面2,和基于目录B中的云桌面3,下图为三个云桌面的IP地址和所属安全组的关系。安全组示例
常见的配置示例如下表所示。
说明 关于协议类型和端口范围,下表不做示例,建议您根据实际需求配置协议类型和对应的端口范围。比如,如果您的云桌面想要通过网上邻居互相访问,可以打开UDP协议的137和138端口,以及TCP协议的139端口。
场景示例 配置规则
桌面1可以单向访问桌面2 安全组A入方向配置规则,其中授权对象配置为192.168.1.1。
桌面1与桌面2网络互通 安全组A入方向配置规则,其中授权对象配置为192.168.1.1和192.168.1.2。
桌面1和桌面3网络互通
  • 安全组A入方向配置规则,其中授权对象配置为192.168.2.1。
  • 安全组B入方向配置规则,其中授权对象配置为192.168.1.1。
安全组A的所有云桌面均可单向访问桌面3 安全组B入方向配置规则,其中授权对象配置为192.168.1.0/24。
安全组A中的所有云桌面和安全组B中的所有云桌面网络互通
  • 安全组A入方向配置规则,其中授权对象配置为192.168.2.0/24。
  • 安全组B入方向配置规则,其中授权对象配置为192.168.1.0/24。