準備工作

開始操作前，您需要仔細閱讀通過私網訪問云電腦介紹，并完成以下準備工作。

• 確認已有可用的云企業網實例，如果沒有您需要創建云企業網。具體操作，請參見創建云企業網實例。

• 確認已有可用的專有網絡，如果沒有您需要創建專有網絡，并將專有網絡加入云企業網。具體操作，請參見創建專有網絡和交換機或管理網絡實例。

• 確認已有可用的辦公網絡，如果沒有您需要創建便捷辦公網絡或AD辦公網絡，并將辦公網絡的VPC加入云企業網。具體操作，請參見創建或刪除便捷辦公網絡或創建并配置AD辦公網絡。

  重要

  • 避免新建的辦公網絡網段與云企業網已有網段或本地數據中心IDC網段存在沖突，創建辦公網絡前，您需要規劃辦公網絡的IPv4網段。更多信息，請參見規劃網段。

  • 如果您之前已有便捷辦公網絡，需要將辦公網絡加入云企業網CEN。

  • 如果AD部署在云服務器ECS上，您需要將AD服務器所屬VPC加入到云企業網CEN；如果AD部署在本地服務器上，需要先打通本地和云上網絡，才能成功對接AD。您可以先創建一個AD辦公網絡，打通網絡后再完成AD域的配置。

• 確認已創建用戶和云電腦并已為該用戶分配云電腦。

  如果沒有您需要根據辦公網絡類型，創建相應的用戶并為用戶創建和分配云電腦。

  • 關于如何創建用戶，請參見創建便捷用戶或創建并配置AD辦公網絡。

  • 關于如何創建并分配云電腦，請參見創建云電腦或將云電腦分配給用戶。

• 準備安裝OpenVPN和無影云電腦客戶端的設備。您需要確保安裝OpenVPN和無影云電腦客戶端的設備是同一臺設備。

  說明

  • SSL-VPN的方案僅適用于Windows客戶端或macOS客戶端。

  • 驗證是否能夠通過私網連接云電腦需要登錄無影云電腦的客戶端，您可以在本地通過Windows客戶端、macOS客戶端、iOS客戶端、Android客戶端、Web客戶端、卡片式云電腦終端ASC01、盒式云電腦終端AS01或無影23.8寸一體機US01登錄無影云電腦的客戶端，然后通過企業專網連接云電腦。

步驟一：配置SSL-VPN

配置SSL-VPN包括創建VPN網關、創建SSL服務端、發布客戶端網段至CEN、創建并下載SSL客戶端證書，下文為您介紹操作步驟。

1. 購買VPN網關并開啟SSL-VPN功能。具體操作，請參見創建VPN網關實例。

   相關配置項的說明及示例如下表所示。

   配置項	說明	示例
   實例名稱	VPN網關實例的名稱。	test-vpn
   地域和可用區	選擇VPN網關實例的地域。 需確保VPN網關實例的地域和待關聯的VPC實例的地域相同。	華東1（杭州）
   網關類型	選擇VPN網關實例的類型。 普通型 國密型 說明 使用國密型VPN網關時，國密型VPN網關需要關聯SSL證書進行數據加密和身份認證。更多信息，請參見管理SSL證書。	普通型
   網絡類型	選擇VPN網關實例的網絡類型。 公網：VPN網關通過公網建立VPN連接。 私網：VPN網關通過私網建立VPN連接。	公網
   VPC	選擇VPN網關實例關聯的VPC實例。	test-vpc
   指定交換機	是否為VPN網關實例指定交換機。 否：不為VPN網關實例指定交換機。創建VPN網關后，VPN網關自動關聯至VPC內的任意一個交換機下。 是：為VPN網關實例指定交換機。創建VPN網關后，VPN網關會被關聯至指定的交換機下。	否
   帶寬規格	選擇VPN網關實例的帶寬規格。單位：Mbps。	200 Mbps
   IPsec-VPN	選擇開啟或關閉IPsec-VPN功能。默認值：開啟。 IPsec-VPN可以在本地數據中心和VPC之間或在VPC和VPC之間建立安全連接。	關閉
   SSL-VPN	選擇開啟或關閉SSL-VPN功能。默認值：關閉。 SSL-VPN可以在點和站點之間建立安全連接，無需配置用戶網關。例如，SSL-VPN可以在Linux客戶端和VPC之間建立安全連接。	開啟
   SSL連接數	選擇需要同時連接的客戶端的規格。 說明 開啟SSL-VPN功能后才支持配置本參數。	5
   計費周期	選擇購買時長。 您可以選擇是否自動續費： 按月購買：自動續費周期為1個月。 按年購買：自動續費周期為1年。	1個月
   服務關聯角色	單擊創建關聯角色，系統自動創建服務關聯角色AliyunServiceRoleForVpn。 VPN網關使用此角色來訪問其他云產品中的資源，更多信息，請參見AliyunServiceRoleForVpn。 若本配置項顯示為已創建，則表示您當前賬號下已創建了該角色，無需重復創建。	/

2. 創建SSL服務端。具體操作，請參見創建SSL服務端。

   相關配置項的說明及示例如下表所示。

   配置項	說明	示例
   名稱	SSL服務端的名稱。 名稱在2~128個字符之間，以大小寫字母或中文開始，可包含數字、短劃線（-）和下劃線（_）。	test-ssl
   VPN網關	選擇要關聯的VPN網關。 確保該VPN網關已經開啟了SSL-VPN功能。	test-vpn
   本端網段	本端網段是客戶端通過SSL-VPN連接要訪問的地址段。 本端網段可以是專有網絡VPC（Virtual Private Cloud）的網段、交換機的網段、通過物理專線和VPC互連的本地數據中心的網段、云服務（例如對象存儲、云數據庫）等的網段。 單擊+添加本端網段添加多個本端網段。 說明 本端網段的子網掩碼位數在8至32位之間。	包括以下三個網段： 辦公網絡VPC網段：172.16.111.0/24 用戶VPC網段：192.168.0.0/16 VPC內DNS網段及阿里云私網OpenAPI節點所在網段，固定為100.64.0.0/10。
   客戶端網段	客戶端網段是給客戶端虛擬網卡分配訪問地址的網段，不是指客戶端已有的內網網段。當客戶端通過SSL-VPN連接訪問本端時，VPN網關會從指定的客戶端網段中分配一個IP地址給客戶端使用。 在您指定客戶端網段時需保證客戶端網段所包含的IP地址個數是當前VPN網關SSL連接數的4倍及以上。 重要 客戶端網段的子網掩碼位數在16至29位之間。 請確保客戶端網段和本端網段不沖突。 在指定客戶端網段時，建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網段及其子網網段。如果您的客戶端網段需要指定為公網網段，您需要將公網網段設置為VPC的用戶網段，以確保VPC可以訪問到該公網網段。關于用戶網段的更多信息，請參見什么是用戶網段？和如何配置用戶網段？。	10.10.111.0/24
   高級配置	高級配置支持協議、加密算法等配置。本示例不配置。	無需額外設置參數，采用默認即可。

3. 將SSL-VPN服務端中設置的客戶端網段發布到CEN中。

   1. 在左側導航欄，單擊路由表。

   2. 在路由表頁面，找到目標打通網絡的用戶VPC，單擊路由表實例ID。

   3. 在路由條目列表頁簽下，單擊自定義路由條目頁簽。

   4. 找到SSL-VPN服務端中設置的客戶端網段，單擊發布。

      當客戶網段CEN中狀態列顯示為已發布，則表示發布成功。

4. 創建SSL客戶端證書。具體操作，請參見創建SSL客戶端證書。

5. 在SSL客戶端頁面，找到目標SSL客戶端證書，在操作列單擊下載。

   SSL客戶端證書下載到本地后請妥善保存，后續配置客戶端時需要使用該證書。

步驟二：配置本地客戶端連接私網

您需要在本地PC上安裝并登錄OpenVPN，在配置DNS后即可一鍵連接私網，下文為您介紹操作步驟。

1. 在本地PC上安裝OpenVPN。

   推薦您使用OpenVPN接入VPC，以下為您介紹在Windows操作系統或macOS上安裝OpenVPN的具體步驟。

   • Windows操作系統

     1. 單擊下載OpenVPN。

     2. 安裝OpenVPN。

     3. 將SSL客戶端證書解壓拷貝到OpenVPN\config目錄。

        重要

        請根據OpenVPN實際安裝路徑將證書拷貝到對應目錄。例如：OpenVPN安裝在C:\Program Files\OpenVPN目錄，則將證書解壓拷貝到C:\Program Files\OpenVPN\config目錄。

   • macOS

     1. 執行以下命令安裝OpenVPN。

        brew install openvpn

        如果沒有安裝homebrew，請先安裝homebrew。

     2. 將SSL客戶端證書解壓拷貝到配置目錄。

2. 在本地PC上啟動OpenVPN，并發起連接。

   • Windows操作系統：打開OpenVPN，發起連接。

   • macOS：執行以下命令發起連接。

     sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

3. 在本地PC上配置DNS。

   配置DNS前，您可以執行以下命令，測試是否可以正常解析域名。

   nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

   如果返回IP地址，則表示可正常解析域名，則可以跳過該步驟；如果無法返回IP地址，則需要按照以下步驟配置DNS。

   1. 將100.100.2.136或100.100.2.138加入到DNS列表中。

      以Win10為例，配置DNS的步驟如下：

      1. 在控制面板打開網絡和共享中心。

      2. 在左側導航欄單擊更改適配器設置。

      3. 右鍵單擊OpenVPN對應的網絡適配器，選擇屬性。

      4. 在彈出的對話框的此連接使用下列項目區域，雙擊Internet協議版本（TCP/IPv4）。

      5. 在彈出對話框中指定DNS服務器。

         您可以將首選DNS服務器配置為100.100.2.136，將備選DNS服務器配置為100.100.2.138。

   2. 執行以下命令驗證DNS是否正常工作。

      nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

步驟三：驗證是否能夠通過私網連接云電腦

SSL-VPN的方案僅適用于Windows客戶端或macOS客戶端。

1. 根據郵件或短信獲取登錄無影云電腦客戶端所需的信息（例如：辦公網絡ID、賬號和密碼等）。

   1. 雙擊圖標打開無影云電腦的客戶端。

   2. 按照界面提示輸入辦公網絡ID。

      重要

      僅通過辦公網絡ID登錄客戶端時支持選擇企業專網。

   3. 單擊切換網絡接入方式并選擇企業專網，然后單擊確定。

      

   4. 單擊下一步。

   5. 按照界面提示，輸入賬號和密碼，單擊下一步。

2. 連接云電腦。

   成功登錄無影云電腦的客戶端后，云電腦將以卡片的形式展示。單擊連接即可。云電腦連接成功后，您可以在新窗口中查看并使用云電腦。

   重要

   如果出現網絡請求超時的相關報錯，則說明網絡不通，請檢查配置是否正確，檢查無誤后請重新登錄客戶端，連接云電腦。