準(zhǔn)備工作

開始操作前，您需要仔細(xì)閱讀通過私網(wǎng)訪問云電腦介紹，并完成以下準(zhǔn)備工作。

• 確認(rèn)已有可用的云企業(yè)網(wǎng)實例，如果沒有您需要創(chuàng)建云企業(yè)網(wǎng)。具體操作，請參見創(chuàng)建云企業(yè)網(wǎng)實例。

• 確認(rèn)已有可用的專有網(wǎng)絡(luò)，如果沒有您需要創(chuàng)建專有網(wǎng)絡(luò)，并將專有網(wǎng)絡(luò)加入云企業(yè)網(wǎng)。具體操作，請參見創(chuàng)建專有網(wǎng)絡(luò)和交換機(jī)或管理網(wǎng)絡(luò)實例。

• 確認(rèn)已有可用的辦公網(wǎng)絡(luò)，如果沒有您需要創(chuàng)建便捷辦公網(wǎng)絡(luò)或AD辦公網(wǎng)絡(luò)，并將辦公網(wǎng)絡(luò)的VPC加入云企業(yè)網(wǎng)。具體操作，請參見創(chuàng)建或刪除便捷辦公網(wǎng)絡(luò)或創(chuàng)建并配置AD辦公網(wǎng)絡(luò)。

  重要

  • 避免新建的辦公網(wǎng)絡(luò)網(wǎng)段與云企業(yè)網(wǎng)已有網(wǎng)段或本地數(shù)據(jù)中心IDC網(wǎng)段存在沖突，創(chuàng)建辦公網(wǎng)絡(luò)前，您需要規(guī)劃辦公網(wǎng)絡(luò)的IPv4網(wǎng)段。更多信息，請參見規(guī)劃網(wǎng)段。

  • 如果您之前已有便捷辦公網(wǎng)絡(luò)，需要將辦公網(wǎng)絡(luò)加入云企業(yè)網(wǎng)CEN。

  • 如果AD部署在云服務(wù)器ECS上，您需要將AD服務(wù)器所屬VPC加入到云企業(yè)網(wǎng)CEN；如果AD部署在本地服務(wù)器上，需要先打通本地和云上網(wǎng)絡(luò)，才能成功對接AD。您可以先創(chuàng)建一個AD辦公網(wǎng)絡(luò)，打通網(wǎng)絡(luò)后再完成AD域的配置。

• 確認(rèn)已創(chuàng)建用戶和云電腦并已為該用戶分配云電腦。

  如果沒有您需要根據(jù)辦公網(wǎng)絡(luò)類型，創(chuàng)建相應(yīng)的用戶并為用戶創(chuàng)建和分配云電腦。

  • 關(guān)于如何創(chuàng)建用戶，請參見創(chuàng)建便捷用戶或創(chuàng)建并配置AD辦公網(wǎng)絡(luò)。

  • 關(guān)于如何創(chuàng)建并分配云電腦，請參見創(chuàng)建云電腦或將云電腦分配給用戶。

• 準(zhǔn)備安裝OpenVPN和無影云電腦客戶端的設(shè)備。您需要確保安裝OpenVPN和無影云電腦客戶端的設(shè)備是同一臺設(shè)備。

  說明

  • SSL-VPN的方案僅適用于Windows客戶端或macOS客戶端。

  • 驗證是否能夠通過私網(wǎng)連接云電腦需要登錄無影云電腦的客戶端，您可以在本地通過Windows客戶端、macOS客戶端、iOS客戶端、Android客戶端、Web客戶端、卡片式云電腦終端ASC01、盒式云電腦終端AS01或無影23.8寸一體機(jī)US01登錄無影云電腦的客戶端，然后通過企業(yè)專網(wǎng)連接云電腦。

步驟一：配置SSL-VPN

配置SSL-VPN包括創(chuàng)建VPN網(wǎng)關(guān)、創(chuàng)建SSL服務(wù)端、發(fā)布客戶端網(wǎng)段至CEN、創(chuàng)建并下載SSL客戶端證書，下文為您介紹操作步驟。

1. 購買VPN網(wǎng)關(guān)并開啟SSL-VPN功能。具體操作，請參見創(chuàng)建VPN網(wǎng)關(guān)實例。

   相關(guān)配置項的說明及示例如下表所示。

   配置項	說明	示例
   實例名稱	VPN網(wǎng)關(guān)實例的名稱。	test-vpn
   地域和可用區(qū)	選擇VPN網(wǎng)關(guān)實例的地域。 需確保VPN網(wǎng)關(guān)實例的地域和待關(guān)聯(lián)的VPC實例的地域相同。	華東1（杭州）
   網(wǎng)關(guān)類型	選擇VPN網(wǎng)關(guān)實例的類型。 普通型 國密型 說明 使用國密型VPN網(wǎng)關(guān)時，國密型VPN網(wǎng)關(guān)需要關(guān)聯(lián)SSL證書進(jìn)行數(shù)據(jù)加密和身份認(rèn)證。更多信息，請參見管理SSL證書。	普通型
   網(wǎng)絡(luò)類型	選擇VPN網(wǎng)關(guān)實例的網(wǎng)絡(luò)類型。 公網(wǎng)：VPN網(wǎng)關(guān)通過公網(wǎng)建立VPN連接。 私網(wǎng)：VPN網(wǎng)關(guān)通過私網(wǎng)建立VPN連接。	公網(wǎng)
   VPC	選擇VPN網(wǎng)關(guān)實例關(guān)聯(lián)的VPC實例。	test-vpc
   指定交換機(jī)	是否為VPN網(wǎng)關(guān)實例指定交換機(jī)。 否：不為VPN網(wǎng)關(guān)實例指定交換機(jī)。創(chuàng)建VPN網(wǎng)關(guān)后，VPN網(wǎng)關(guān)自動關(guān)聯(lián)至VPC內(nèi)的任意一個交換機(jī)下。 是：為VPN網(wǎng)關(guān)實例指定交換機(jī)。創(chuàng)建VPN網(wǎng)關(guān)后，VPN網(wǎng)關(guān)會被關(guān)聯(lián)至指定的交換機(jī)下。	否
   帶寬規(guī)格	選擇VPN網(wǎng)關(guān)實例的帶寬規(guī)格。單位：Mbps。	200 Mbps
   IPsec-VPN	選擇開啟或關(guān)閉IPsec-VPN功能。默認(rèn)值：開啟。 IPsec-VPN可以在本地數(shù)據(jù)中心和VPC之間或在VPC和VPC之間建立安全連接。	關(guān)閉
   SSL-VPN	選擇開啟或關(guān)閉SSL-VPN功能。默認(rèn)值：關(guān)閉。 SSL-VPN可以在點和站點之間建立安全連接，無需配置用戶網(wǎng)關(guān)。例如，SSL-VPN可以在Linux客戶端和VPC之間建立安全連接。	開啟
   SSL連接數(shù)	選擇需要同時連接的客戶端的規(guī)格。 說明 開啟SSL-VPN功能后才支持配置本參數(shù)。	5
   計費(fèi)周期	選擇購買時長。 您可以選擇是否自動續(xù)費(fèi)： 按月購買：自動續(xù)費(fèi)周期為1個月。 按年購買：自動續(xù)費(fèi)周期為1年。	1個月
   服務(wù)關(guān)聯(lián)角色	單擊創(chuàng)建關(guān)聯(lián)角色，系統(tǒng)自動創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn。 VPN網(wǎng)關(guān)使用此角色來訪問其他云產(chǎn)品中的資源，更多信息，請參見AliyunServiceRoleForVpn。 若本配置項顯示為已創(chuàng)建，則表示您當(dāng)前賬號下已創(chuàng)建了該角色，無需重復(fù)創(chuàng)建。	/

2. 創(chuàng)建SSL服務(wù)端。具體操作，請參見創(chuàng)建SSL服務(wù)端。

   相關(guān)配置項的說明及示例如下表所示。

   配置項	說明	示例
   名稱	SSL服務(wù)端的名稱。 名稱在2~128個字符之間，以大小寫字母或中文開始，可包含數(shù)字、短劃線（-）和下劃線（_）。	test-ssl
   VPN網(wǎng)關(guān)	選擇要關(guān)聯(lián)的VPN網(wǎng)關(guān)。 確保該VPN網(wǎng)關(guān)已經(jīng)開啟了SSL-VPN功能。	test-vpn
   本端網(wǎng)段	本端網(wǎng)段是客戶端通過SSL-VPN連接要訪問的地址段。 本端網(wǎng)段可以是專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）的網(wǎng)段、交換機(jī)的網(wǎng)段、通過物理專線和VPC互連的本地數(shù)據(jù)中心的網(wǎng)段、云服務(wù)（例如對象存儲、云數(shù)據(jù)庫）等的網(wǎng)段。 單擊+添加本端網(wǎng)段添加多個本端網(wǎng)段。 說明 本端網(wǎng)段的子網(wǎng)掩碼位數(shù)在8至32位之間。	包括以下三個網(wǎng)段： 辦公網(wǎng)絡(luò)VPC網(wǎng)段：172.16.111.0/24 用戶VPC網(wǎng)段：192.168.0.0/16 VPC內(nèi)DNS網(wǎng)段及阿里云私網(wǎng)OpenAPI節(jié)點所在網(wǎng)段，固定為100.64.0.0/10。
   客戶端網(wǎng)段	客戶端網(wǎng)段是給客戶端虛擬網(wǎng)卡分配訪問地址的網(wǎng)段，不是指客戶端已有的內(nèi)網(wǎng)網(wǎng)段。當(dāng)客戶端通過SSL-VPN連接訪問本端時，VPN網(wǎng)關(guān)會從指定的客戶端網(wǎng)段中分配一個IP地址給客戶端使用。 在您指定客戶端網(wǎng)段時需保證客戶端網(wǎng)段所包含的IP地址個數(shù)是當(dāng)前VPN網(wǎng)關(guān)SSL連接數(shù)的4倍及以上。 重要 客戶端網(wǎng)段的子網(wǎng)掩碼位數(shù)在16至29位之間。 請確保客戶端網(wǎng)段和本端網(wǎng)段不沖突。 在指定客戶端網(wǎng)段時，建議您使用10.0.0.0/8、172.16.0.0/12和192.168.0.0/16網(wǎng)段及其子網(wǎng)網(wǎng)段。如果您的客戶端網(wǎng)段需要指定為公網(wǎng)網(wǎng)段，您需要將公網(wǎng)網(wǎng)段設(shè)置為VPC的用戶網(wǎng)段，以確保VPC可以訪問到該公網(wǎng)網(wǎng)段。關(guān)于用戶網(wǎng)段的更多信息，請參見什么是用戶網(wǎng)段？和如何配置用戶網(wǎng)段？。	10.10.111.0/24
   高級配置	高級配置支持協(xié)議、加密算法等配置。本示例不配置。	無需額外設(shè)置參數(shù)，采用默認(rèn)即可。

3. 將SSL-VPN服務(wù)端中設(shè)置的客戶端網(wǎng)段發(fā)布到CEN中。

   1. 在左側(cè)導(dǎo)航欄，單擊路由表。

   2. 在路由表頁面，找到目標(biāo)打通網(wǎng)絡(luò)的用戶VPC，單擊路由表實例ID。

   3. 在路由條目列表頁簽下，單擊自定義路由條目頁簽。

   4. 找到SSL-VPN服務(wù)端中設(shè)置的客戶端網(wǎng)段，單擊發(fā)布。

      當(dāng)客戶網(wǎng)段CEN中狀態(tài)列顯示為已發(fā)布，則表示發(fā)布成功。

4. 創(chuàng)建SSL客戶端證書。具體操作，請參見創(chuàng)建SSL客戶端證書。

5. 在SSL客戶端頁面，找到目標(biāo)SSL客戶端證書，在操作列單擊下載。

   SSL客戶端證書下載到本地后請妥善保存，后續(xù)配置客戶端時需要使用該證書。

步驟二：配置本地客戶端連接私網(wǎng)

您需要在本地PC上安裝并登錄OpenVPN，在配置DNS后即可一鍵連接私網(wǎng)，下文為您介紹操作步驟。

1. 在本地PC上安裝OpenVPN。

   推薦您使用OpenVPN接入VPC，以下為您介紹在Windows操作系統(tǒng)或macOS上安裝OpenVPN的具體步驟。

   • Windows操作系統(tǒng)

     1. 單擊下載OpenVPN。

     2. 安裝OpenVPN。

     3. 將SSL客戶端證書解壓拷貝到OpenVPN\config目錄。

        重要

        請根據(jù)OpenVPN實際安裝路徑將證書拷貝到對應(yīng)目錄。例如：OpenVPN安裝在C:\Program Files\OpenVPN目錄，則將證書解壓拷貝到C:\Program Files\OpenVPN\config目錄。

   • macOS

     1. 執(zhí)行以下命令安裝OpenVPN。

        brew install openvpn

        如果沒有安裝homebrew，請先安裝homebrew。

     2. 將SSL客戶端證書解壓拷貝到配置目錄。

2. 在本地PC上啟動OpenVPN，并發(fā)起連接。

   • Windows操作系統(tǒng)：打開OpenVPN，發(fā)起連接。

   • macOS：執(zhí)行以下命令發(fā)起連接。

     sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn

3. 在本地PC上配置DNS。

   配置DNS前，您可以執(zhí)行以下命令，測試是否可以正常解析域名。

   nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

   如果返回IP地址，則表示可正常解析域名，則可以跳過該步驟；如果無法返回IP地址，則需要按照以下步驟配置DNS。

   1. 將100.100.2.136或100.100.2.138加入到DNS列表中。

      以Win10為例，配置DNS的步驟如下：

      1. 在控制面板打開網(wǎng)絡(luò)和共享中心。

      2. 在左側(cè)導(dǎo)航欄單擊更改適配器設(shè)置。

      3. 右鍵單擊OpenVPN對應(yīng)的網(wǎng)絡(luò)適配器，選擇屬性。

      4. 在彈出的對話框的此連接使用下列項目區(qū)域，雙擊Internet協(xié)議版本（TCP/IPv4）。

      5. 在彈出對話框中指定DNS服務(wù)器。

         您可以將首選DNS服務(wù)器配置為100.100.2.136，將備選DNS服務(wù)器配置為100.100.2.138。

   2. 執(zhí)行以下命令驗證DNS是否正常工作。

      nslookup ecd-vpc.cn-hangzhou.aliyuncs.com

步驟三：驗證是否能夠通過私網(wǎng)連接云電腦

SSL-VPN的方案僅適用于Windows客戶端或macOS客戶端。

1. 根據(jù)郵件或短信獲取登錄無影云電腦客戶端所需的信息（例如：辦公網(wǎng)絡(luò)ID、賬號和密碼等）。

   1. 雙擊圖標(biāo)打開無影云電腦的客戶端。

   2. 按照界面提示輸入辦公網(wǎng)絡(luò)ID。

      重要

      僅通過辦公網(wǎng)絡(luò)ID登錄客戶端時支持選擇企業(yè)專網(wǎng)。

   3. 單擊切換網(wǎng)絡(luò)接入方式并選擇企業(yè)專網(wǎng)，然后單擊確定。

      

   4. 單擊下一步。

   5. 按照界面提示，輸入賬號和密碼，單擊下一步。

2. 連接云電腦。

   成功登錄無影云電腦的客戶端后，云電腦將以卡片的形式展示。單擊連接即可。云電腦連接成功后，您可以在新窗口中查看并使用云電腦。

   重要

   如果出現(xiàn)網(wǎng)絡(luò)請求超時的相關(guān)報錯，則說明網(wǎng)絡(luò)不通，請檢查配置是否正確，檢查無誤后請重新登錄客戶端，連接云電腦。