準備工作

開始操作前，您需要仔細閱讀通過私網訪問云電腦介紹，并完成以下準備工作。

• 創建云企業網 CEN（Cloud Enterprise Network）實例。具體操作，請參見創建云企業網實例。

• 創建專有網絡 VPC（Virtual Private Cloud）實例，并將專有網絡實例加入云企業網。具體操作，請參見創建專有網絡和交換機或快速加入云企業網。

• 創建辦公網絡，并將其VPC加入云企業網。具體操作，請參見創建和管理基于便捷賬號的辦公網絡或創建和管理基于企業AD賬號的辦公網絡。

  重要

  • 為了避免新建的辦公網絡的網段與云企業網已有網段或本地數據中心IDC網段產生沖突，請在創建辦公網絡前規劃好IPv4網段。具體操作，請參見規劃網段。

  • 如果您之前已有便捷辦公網絡，需要將其加入云企業網。

  • 如果AD部署在云服務器 ECS（Elastic Compute Service）上，您需要將AD服務器所屬VPC加入到云企業網；如果AD部署在本地服務器上，需要先打通本地和云上網絡，才能成功對接AD。您可以先創建一個AD辦公網絡，打通網絡后再完成AD域的配置。

• 創建云電腦和用戶賬號，并將云電腦分配給該用戶賬號。

  • 關于如何創建用戶賬號，請參見創建便捷賬號或創建和管理AD賬號。

  • 關于如何創建并分配云電腦，請參見創建云電腦和將云電腦分配給用戶。

• 獲取無影終端，用于連接和使用云電腦。具體操作，請參見使用客戶端。

  說明

  本方案可使用的無影終端包括：Windows客戶端、macOS客戶端和硬件終端。

步驟一：配置IPsec-VPN

1. 購買VPN網關并開啟IPsec-VPN功能。具體操作，請參見創建VPN網關實例。

   配置說明

   配置項	說明
   實例名稱	輸入VPN網關實例的名稱。
   資源組	選擇VPN網關實例所屬的資源組。 如果不選擇，VPN網關實例創建完成后歸屬于默認資源組。您可以在資源管理控制臺管理VPN網關實例以及其他云產品資源所屬的資源組。更多信息，請參見什么是資源管理。
   地域和可用區	顯示要創建VPN網關實例的地域。 需確保VPN網關實例的地域和待關聯的VPC實例的地域相同。
   網關類型	選擇VPN網關實例的類型。 普通型：選擇該類型IPsec-VPN連接將使用國際標準商用密碼算法（普通算法）。 國密型：選擇該類型IPsec-VPN連接將使用中國國產商用密碼算法（國密算法）。 說明 使用國密型VPN網關時，國密型VPN網關需要關聯SSL證書進行數據加密和身份認證。更多信息，請參見管理SSL證書。
   網絡類型	選擇VPN網關實例的網絡類型。 公網：VPN網關通過公網建立VPN連接。 私網：VPN網關通過私網建立VPN連接。 說明 如果您需要基于私網建立VPN連接，更推薦您使用私網IPsec連接綁定轉發路由器的方式。具體操作，請參見建立多條私有IPsec-VPN連接實現私網流量的負載分擔。
   隧道	系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。 單隧道 雙隧道 關于IPsec-VPN連接隧道模式的說明，請參見綁定VPN網關場景雙隧道IPsec-VPN連接說明。
   VPC	選擇VPN網關實例關聯的VPC實例。
   虛擬交換機1	從VPC實例中選擇一個交換機實例。 IPsec-VPN連接的隧道模式為單隧道時，您僅需要指定一個交換機實例。 IPsec-VPN連接的隧道模式為雙隧道時，您需要指定兩個交換機實例。 IPsec-VPN功能開啟后，系統會在兩個交換機實例下各創建一個彈性網卡ENI（Elastic Network Interfaces），作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。 說明 系統默認幫您選擇第一個交換機實例，您可以手動修改或者直接使用默認的交換機實例。 創建VPN網關實例后，不支持修改VPN網關實例關聯的交換機實例，您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機、交換機所屬可用區以及交換機下ENI的信息。
   虛擬交換機2	IPsec-VPN連接的隧道模式為雙隧道時，從VPC實例中選擇第二個交換機實例。 您需要從VPN網關實例關聯的VPC實例下指定兩個分布在不同可用區的交換機實例，以實現IPsec-VPN連接可用區級別的容災。 對于僅支持一個可用區的地域 ，不支持可用區級別的容災，建議您在該可用區下指定兩個不同的交換機實例以實現IPsec-VPN連接的高可用，支持選擇和第一個相同的交換機實例。 單擊查看支持一個可用區的地域。 華東5（南京-本地地域）、華東6（福州-本地地域）、華中1（武漢-本地地域）、泰國（曼谷）、韓國（首爾）、菲律賓（馬尼拉）、阿聯酋（迪拜）。
   帶寬規格	選擇VPN網關實例的帶寬規格。單位：Mbps。
   IPsec-VPN	選擇開啟或關閉IPsec-VPN功能。默認值：開啟。 建立IPsec-VPN連接時需開啟本功能。
   SSL-VPN	選擇開啟或關閉SSL-VPN功能。默認值：關閉。 建立IPsec-VPN連接時無需開啟本功能。
   計費周期	選擇購買時長。 您可以選擇是否自動續費： 按月購買：自動續費周期為1個月。 按年購買：自動續費周期為1年。
   服務關聯角色	單擊創建關聯角色，系統自動創建服務關聯角色AliyunServiceRoleForVpn。 VPN網關使用此角色來訪問其他云產品中的資源，更多信息，請參見AliyunServiceRoleForVpn。 若本配置項顯示為已創建，則表示您當前賬號下已創建了該角色，無需重復創建。

2. 創建用戶網關。具體操作，請參見創建和管理用戶網關。

   配置說明

   配置	說明
   名稱	輸入用戶網關的名稱。
   IP地址	輸入本地數據中心網關設備的靜態IP地址。 如果您后續需要創建公網網絡類型的IPsec連接，則此處需要輸入公網IP地址。 如果您后續需要創建私網網絡類型的IPsec連接，則此處需要輸入私網IP地址。 不支持使用以下IP地址，否則無法建立IPsec-VPN連接： 100.64.0.0~100.127.255.255 127.0.0.0~127.255.255.255 169.254.0.0~169.254.255.255 224.0.0.0~239.255.255.255 255.0.0.0~255.255.255.255
   自治系統號	如果IPsec-VPN連接計劃啟用BGP動態路由協議，則需要配置本地數據中心網關設備的自治系統號ASN（Autonomous System Number）。自治系統號取值范圍：1~4294967295。 支持按照兩段位的格式進行輸入，即：前16位比特.后16位比特。每個段位使用十進制輸入。 例如輸入123.456，則表示自治系統號：123*65536+456=8061384。 說明 建議您使用自治系統號的私有號碼與阿里云建立BGP連接。自治系統號的私有號碼范圍請自行查閱文檔。
   描述	輸入用戶網關的描述信息。
   資源組	選擇用戶網關所屬的資源組。 您可以在資源管理控制臺管理用戶網關資源以及其他云產品資源所屬的資源組。更多信息，請參見什么是資源管理。
   標簽	支持為用戶網關實例添加標簽，您可以通過標簽對用戶網關實例進行標記和分類，便于資源的搜索和聚合。更多信息，請參見什么是標簽。 標簽鍵：為用戶網關實例添加標簽鍵，支持選擇已有標簽鍵或輸入新的標簽鍵。 標簽值：為用戶網關實例添加標簽值，支持選擇已有標簽值或輸入新的標簽值。標簽值可以為空。

3. 創建IPsec連接。具體操作，請參見創建IPsec連接。

   配置說明

   配置	說明
   名稱	輸入IPsec連接的名稱。
   資源組	選擇VPN網關實例所屬的資源組。 如果您不選擇，系統直接展示所有資源組下的VPN網關實例。
   綁定資源	選擇IPsec連接綁定的資源類型。請選擇VPN網關。
   VPN網關	選擇IPsec連接待綁定的VPN網關實例。
   路由模式	選擇IPsec連接的路由模式。 目的路由模式（默認值）：基于目的IP地址路由和轉發流量。 感興趣流模式：基于源IP地址和目的IP地址精確的路由和轉發流量。 選擇感興趣流模式后，您需要配置本端網段和對端網段。IPsec連接配置完成后，系統自動在VPN網關實例的策略路由表中添加策略路由。 系統在VPN網關實例的策略路由表中添加策略路由后，路由默認是未發布狀態。您可以依據網絡互通需求決定是否將路由發布至VPC的路由表中。具體操作，請參見發布策略路由。 說明 如果IPsec連接綁定了VPN網關實例，且您選擇的VPN網關實例為舊版VPN網關實例，則您無需選擇路由模式。
   本端網段	輸入需要和本地數據中心互通的VPC側的網段，用于第二階段協商。 單擊文本框右側的圖標，可添加多個需要和本地數據中心互通的VPC側的網段。 說明 如果您配置了多個網段，則后續IKE協議的版本需要選擇為ikev2。
   對端網段	輸入需要和VPC互通的本地數據中心側的網段，用于第二階段協商。 單擊文本框右側的圖標，可添加多個需要和VPC側互通的本地數據中心側的網段。 說明 如果您配置了多個網段，則后續IKE協議的版本需要選擇為ikev2。
   立即生效	選擇IPsec連接的配置是否立即生效。 是（默認值）：配置完成后系統立即進行IPsec協議協商。 否：當有流量進入時系統才進行IPsec協議協商。
   用戶網關	選擇IPsec連接待關聯的用戶網關。
   預共享密鑰	輸入IPsec連接的認證密鑰，用于VPN網關實例與本地數據中心之間的身份認證。 密鑰長度為1~100個字符，支持數字、大小寫英文字母及右側字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?，不能包含空格。。 若您未指定預共享密鑰，系統會隨機生成一個16位的字符串作為預共享密鑰。創建IPsec連接后，您可以通過編輯按鈕查看系統生成的預共享密鑰。具體操作，請參見修改IPsec連接。 重要 IPsec連接兩側配置的預共享密鑰需一致，否則系統無法正常建立IPsec連接。
   RemoteId	輸入對端簽名證書的主題信息。格式例如： CN=z****,O=hangzhou,OU=hangzhou,C=CN 重要 主題信息僅支持輸入英文，因此請確保申請對端簽名證書時填寫的主題信息（例如公司名稱、部門、公司所在區域等信息）為英文。
   對端CA證書	輸入對端CA證書。 通過輸入對端CA證書，VPN網關實例可以在建立IPsec-VPN連接時校驗對端證書的合法性。 如果您已經在本地保存了對端CA證書，您可以單擊上傳證書，將已經保存的對端CA證書上傳至阿里云。
   啟用BGP	如果IPsec連接需要使用BGP路由協議，需要打開BGP功能的開關，系統默認關閉BGP功能。 使用BGP動態路由功能前，建議您先了解BGP動態路由功能工作機制和使用限制。更多信息，請參見配置BGP動態路由。
   本端自治系統號	輸入IPsec連接阿里云側的自治系統號。默認值：45104。自治系統號取值范圍：1~4294967295。 支持按照兩段位的格式進行輸入，即：前16位比特.后16位比特。每個段位使用十進制輸入。 例如輸入123.456，則表示自治系統號：123*65536+456=8061384。 說明 建議您使用自治系統號的私有號碼與阿里云建立BGP連接。自治系統號的私有號碼范圍請自行查閱文檔。

4. 將對端網段發布至云企業網。

   1. 登錄專有網絡管理控制臺。

   2. 在左側導航欄中單擊路由表。

   3. 在路由表列表中找到用戶VPC對應的路由表，單擊路由表實例ID。

   4. 在路由條目列表頁簽上單擊自定義路由條目頁簽。

   5. 找到配置的對端網段（即本地數據中心的私網網段），單擊對應的發布。

      當網段對應的CEN中狀態列顯示為已發布，則表示發布成功。

步驟二：在本地網關設備中加載VPN配置

1. 登錄專有網絡管理控制臺。

2. 在左側導航欄選擇網間互聯 > VPN > IPsec連接。

3. 在頂部菜單欄選擇IPsec連接的地域。

4. 在IPsec連接頁面上找到目標IPsec連接，在操作列單擊生成對端配置。

5. 根據本地IDC網關設備的配置要求，將下載的配置添加到本地IDC網關設備中。

   具體操作，請參見華三防火墻配置示例。

步驟三：配置企業專網地址或云服務路由

您可以選擇以下方案中的一種。方案1與方案2均為配置企業專網地址，區別在于方案1采用固定地址，對于終端用戶而言配置更簡單，無需配置自定義地址。

步驟四：驗證是否能夠通過私網連接云電腦

1. 打開Windows客戶端。

2. 在登錄界面右上角單擊圖標，并選擇網絡接入配置。

3. 在網絡接入配置對話框中將接入方式設為企業專網。

4. 在登錄界面輸入您從云電腦分配通知郵件或短信中收到的登錄憑證（包括辦公網絡ID或組織ID、用戶名、密碼等），并單擊下一步圖標。

   

5. 在客戶端的云資源列表界面找到您的云電腦，并開機連接。

   說明

   如果出現網絡請求超時的相關報錯，則說明網絡不通，請檢查配置是否正確。檢查無誤后請重新登錄客戶端并連接云電腦。