怎么通过SSL-VPN访问云电脑_无影云电脑企业版(EDS)-阿里云帮助中心

SSL-VPN是一种基于OpenVPN架构的网络连接技术。部署完成后，您仅需要在客户端中加载证书并发起连接，便可通过SSL-VPN功能从客户端远程访问VPC中部署的应用和服务。本文介绍如何通过SSL-VPN将本地客户端接入到无影云电脑企业版的办公网络VPC中，实现客户端能够通过私网访问云电脑。

准备工作

开始操作前，您需要仔细阅读通过私网访问云电脑方案概述，并完成以下准备工作。

创建云企业网 CEN（Cloud Enterprise Network）实例。具体操作，请参见创建云企业网实例。
创建专有网络 VPC（Virtual Private Cloud）实例，并将专有网络实例加入云企业网。具体操作，请参见创建专有网络和交换机或快速加入云企业网。
创建办公网络，并将其VPC加入云企业网。具体操作，请参见创建和管理基于便捷账号的办公网络或创建和管理基于企业AD账号的办公网络。
重要
- 为了避免新建的办公网络的网段与云企业网已有网段或本地数据中心IDC网段产生冲突，请在创建办公网络前规划好IPv4网段。具体操作，请参见规划网段。
- 如果您之前已有便捷办公网络，需要将其加入云企业网。
- 如果AD部署在云服务器 ECS（Elastic Compute Service）上，您需要将AD服务器所属VPC加入到云企业网；如果AD部署在本地服务器上，需要先打通本地和云上网络，才能成功对接AD。您可以先创建一个AD办公网络，打通网络后再完成AD域的配置。
创建云电脑和用户账号，并将云电脑分配给该用户账号。
- 关于如何创建用户账号，请参见创建便捷账号或创建和管理AD账号。
- 关于如何创建并分配云电脑，请参见创建云电脑和为云电脑添加用户。
准备用于安装OpenVPN和无影终端的设备（必须是同一台设备）。
说明
本方案可使用的无影终端包括：Windows客户端、macOS客户端。

步骤一：配置SSL-VPN

配置SSL-VPN包括创建VPN网关、创建SSL服务端、发布客户端网段至CEN、创建并下载SSL客户端证书，下文为您介绍操作步骤。

购买VPN网关并开启SSL-VPN功能。具体操作，请参见创建VPN网关实例。

相关配置项的说明及示例如下表所示。

配置项	说明	示例
实例名称	VPN网关实例的名称。	test-vpn
地域和可用区	选择VPN网关实例的地域。需确保VPN网关实例的地域和待关联的VPC实例的地域相同。	华东1（杭州）
网关类型	选择VPN网关实例的类型。普通型国密型说明使用国密型VPN网关时，国密型VPN网关需要关联SSL证书进行数据加密和身份认证。更多信息，请参见管理SSL证书。	普通型
网络类型	选择VPN网关实例的网络类型。公网：VPN网关通过公网建立VPN连接。私网：VPN网关通过私网建立VPN连接。	公网
VPC	选择VPN网关实例关联的VPC实例。	test-vpc
指定交换机	是否为VPN网关实例指定交换机。否：不为VPN网关实例指定交换机。创建VPN网关后，VPN网关自动关联至VPC内的任意一个交换机。是：为VPN网关实例指定交换机。创建VPN网关后，VPN网关会被关联至指定的交换机下。	否
带宽规格	选择VPN网关实例的带宽规格。单位：Mbps。	200 Mbps
IPsec-VPN	选择开启或关闭IPsec-VPN功能。默认值：开启。 IPsec-VPN可以在本地数据中心和VPC之间或在VPC和VPC之间建立安全连接。	关闭
SSL-VPN	选择开启或关闭SSL-VPN功能。默认值：关闭。 SSL-VPN可以在站点之间建立安全连接，无需配置用户网关。例如，SSL-VPN可以在Linux客户端和VPC之间建立安全连接。	开启
SSL连接数	选择需要同时连接的客户端的规格。说明开启SSL-VPN功能后才支持配置本参数。	5
计费周期	选择购买时长。您可以选择是否自动续费：按月购买：自动续费周期为1个月。按年购买：自动续费周期为1年。	1个月
服务关联角色	单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。 VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。若本配置项显示为已创建，则表示您当前账号下已创建了该角色，无需重复创建。	/

创建SSL服务端。具体操作，请参见创建和管理SSL服务端。

相关配置项的说明及示例如下表所示。

配置项	说明	示例
名称	SSL服务端的名称。名称在2~128个字符之间，以大小写字母或中文开始，可包含数字、短划线（-）和下划线（_）。	test-ssl
VPN网关	选择要关联的VPN网关。确保该VPN网关已经开启了SSL-VPN功能。	test-vpn
本端网段	本端网段是客户端通过SSL-VPN连接要访问的地址段。本端网段可以是专有网络VPC（Virtual Private Cloud）的网段、交换机的网段、通过物理专线和VPC互连的本地数据中心的网段、云服务（例如对象存储、云数据库）等的网段。单击+添加本端网段添加多个本端网段。说明本端网段的子网掩码位数在8至32位之间。	包括以下三个网段：办公网络VPC网段：172.16.111.0/24 用户VPC网段：192.168.0.0/16 VPC内DNS网段及阿里云私网OpenAPI节点所在网段，固定为100.64.0.0/10。
客户端网段	客户端网段是给客户端虚拟网卡分配访问地址的网段，不是指客户端已有的内网网段。当客户端通过SSL-VPN连接访问本端时，VPN网关会从指定的客户端网段中分配一个IP地址给客户端使用。在您指定客户端网段时需保证客户端网段所包含的IP地址个数是当前VPN网关SSL连接数的4倍及以上。重要客户端网段的子网掩码位数在16至29位之间。请确保客户端网段和本端网段不冲突。在指定客户端网段时，建议您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16网段及其子网网段。如果您的客户端网段需要指定为公网网段，您需要将公网网段设置为VPC的用户网段，以确保VPC可以访问到该公网网段。关于用户网段的更多信息，请参见什么是用户网段？和如何配置用户网段？。	10.10.111.0/24
高级配置	高级配置支持协议、加密算法等配置。本示例不配置。	无需额外设置参数，采用默认即可。

将SSL-VPN服务端中设置的客户端网段发布到CEN中。
1. 在左侧导航栏，单击路由表。
2. 在路由表页面，找到目标打通网络的用户VPC，单击路由表实例ID。
3. 在路由条目列表页签下，单击自定义路由条目页签。
4. 找到SSL-VPN服务端中设置的客户端网段，单击发布。
  当客户网段CEN中状态列显示为已发布，则表示发布成功。
创建SSL客户端证书。具体操作，请参见创建和管理SSL客户端证书。
在SSL客户端页面，找到目标SSL客户端证书，在操作列单击下载。
SSL客户端证书下载到本地后请妥善保存，后续配置客户端时需要使用该证书。

步骤二：在本地安装并连接OpenVPN

在本地电脑上安装OpenVPN。
Windows电脑
1. 单击下载OpenVPN。
2. 安装OpenVPN。
3. 将SSL客户端证书解压拷贝到OpenVPN\config目录。
  重要
  请根据OpenVPN实际安装路径将证书拷贝到对应目录。例如：OpenVPN安装在C:\Program Files\OpenVPN目录，则将证书解压拷贝到C:\Program Files\OpenVPN\config目录。
Mac电脑
1. 执行以下命令安装OpenVPN。
  brew install openvpn
  如果没有安装homebrew，请先安装homebrew。
2. 将SSL客户端证书解压拷贝到配置目录。
在本地电脑上启动OpenVPN，并发起连接。
Windows电脑
打开OpenVPN，发起连接。
Mac电脑
执行以下命令发起连接：
```
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
```

步骤三：配置企业专网地址或云服务路由

您可以选择以下方案中的一种。方案1与方案2均为配置企业专网地址，区别在于方案1采用固定地址，对于终端用户而言配置更简单，无需配置自定义地址。

方案1：配置企业专网地址（固定地址）

获取办公网络的私网网关地址。
1. 登录无影云电脑企业版控制台。
2. 在左侧导航栏，选择网络与存储 > 办公网络。
3. 在办公网络页面上，单击目标办公网络ID。
4. 在办公网络详情页面的网络信息区域，复制私网网关地址。后续步骤中将用到该地址。
在企业DNS服务上配置一条CNAME记录，将private.wuying.com 指向办公网络的私网网关地址。
终端用户在无影终端上完成网络接入配置。
1. 打开Windows客户端。
2. 在登录界面右上角单击图标，并选择网络接入配置。
3. 在网络接入配置对话框中完成以下配置：
  重要
  请确保您使用的Windows客户端版本不低于V7.7，否则不支持配置企业专网地址。
  - 接入方式：选择企业专网。
  - 企业专网地址：选择固定地址。
4. 单击确定。

方案2：配置企业专网地址（自定义地址）

获取办公网络的私网网关地址，并将该地址告知您的终端用户。
1. 登录无影云电脑企业版控制台。
2. 在左侧导航栏，选择网络与存储 > 办公网络。
3. 在办公网络页面上，单击目标办公网络ID。
4. 在办公网络详情页面的网络信息区域，复制私网网关地址。后续步骤中将用到该地址。
终端用户在无影终端上完成网络接入配置。
1. 打开Windows客户端。
2. 在登录界面右上角单击图标，并选择网络接入配置。
3. 在网络接入配置对话框中完成以下配置：
  重要
  请确保您使用的Windows客户端版本不低于V7.7，否则不支持配置企业专网地址。
  - 接入方式：选择企业专网。
  - 企业专网地址：选择自定义地址。
  - 自定义地址：输入管理员提供的办公网络的私网网关地址。
4. 单击确定。

方案3：配置云服务路由和DNS

配置云服务路由。
阿里云上私网云服务所在网段为100.64.0.0/10，该网段为RFC6598规定的保留网段。为了使无影终端可以正常调用无影云电脑的服务API，需要在VPN中增加本端地址100.64.0.0/10网段，将目的地址隶属于该网段的请求转发至云上的用户VPC。
说明
- 如果您的100网段有冲突，请选用方案1或方案2。
- 如果您在多地域使用云电脑，可以将100.64.0.0/10大段设置为云服务的网段。如果您需要更明细的网络，可以参考云电脑服务端口要求设置云服务网段，其中私网管控服务对应域名的IP地址即云服务IP地址。
（可选）配置DNS前，您可以执行以下命令，测试是否可以正常解析域名。
```
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
```
如果返回IP地址，则表示可正常解析域名，可以跳过步骤3；如果无法返回IP地址，则需要按照以下步骤配置DNS。
在本地电脑上配置DNS。
1. 将100.100.2.136或100.100.2.138加入到DNS列表中。
  配置DNS的步骤（以Windows 10操作系统为例）如下：
  1. 在开始菜单中搜索并打开控制面板。
  2. 在控制面板窗口中单击网络和Internet，然后单击网络和共享中心。
  3. 在左侧导航栏中单击更改适配器设置。
  4. 右键单击OpenVPN对应的网络适配器，选择属性。
  5. 在弹出的对话框的此连接使用下列项目区域，双击Internet协议版本（TCP/IPv4）。
  6. 在弹出的面板上输入指定的DNS服务器地址。
    您可以将首选DNS服务器配置为100.100.2.136，将备选DNS服务器配置为100.100.2.138。
2. 执行以下命令验证DNS是否正常工作。
```
nslookup ecd-vpc.cn-hangzhou.aliyuncs.com
```

步骤四：验证是否能够通过私网连接云电脑

说明

下文以通过Windows客户端V7.7版本连接云电脑为例，验证是否能够通过私网访问云电脑。业务中请根据实际情况选择合适的客户端。

打开Windows客户端。
在登录界面右上角单击图标，并选择网络接入配置。
在网络接入配置对话框中将接入方式设为企业专网。
在登录界面输入您从云电脑分配通知邮件或短信中收到的登录凭证（包括办公网络ID或组织ID、用户名、密码等），并单击下一步图标。
在客户端的云资源列表界面找到您的云电脑，并开机连接。
说明
如果出现网络请求超时的相关报错，则说明网络不通，请检查配置是否正确。检查无误后请重新登录客户端并连接云电脑。