云电脑企业云网之SSL *PN-天翼云开发者社区

云电脑

云电脑是一种易用、安全、高效的云上电脑，支持快速便捷的创建、部署和统一运维管控。自带多重安全管控能力，支持随时随地访问，资源灵活弹性。广泛应用于安全办公、协同研发、教育实训、私域运营、分支门店、客服办公等。

企业云网

传统上，大多数企业在配置网络基础设施时，会建立自己的内部私有互联网以保障安全，企业通过租用链接将设备连接在一起，自行配置自己的广域网 (WAN)，每个办公地点都需要自己的防火墙、DDoS 防护、负载平衡等硬件，企业还需要使用 MPLS 等方法在每个位置之间建立专用连接。当员工连接到互联网时，流量必须先由 VPN通过公司网络基础设施才能到达互联网。

那么我们能不能不购买大规模IT硬件，不需要繁琐安装，不考虑复杂的底层操作系统，直接使用各项网络资源呢？

我们知道，云计算中有IaaS（基础设施即服务）、PaaS（平台即服务）、SaaS（软件即服务）等典型的“即服务”模型。借鉴云计算基于消费的定价策略，NaaS服务模式诞生，NaaS使公司员工可以通过外部供应商管理和保护的虚拟网络直连到他们的云服务，而不是由内部 IT 团队自行处理各项网络服务需求。整个网络可以作为一种服务提供，而不仅仅是软件、基础设施或平台，让灵活便捷、随时获取的网络成为了现实。

企业云网是天翼云自研的一系列云网络VPN产品，可帮助您在不同地域专有网络VPC（Virtual Private Cloud）之间、VPC与本地数据中心间搭建私网通信通道，实现同地域或跨地域网络互通；同时，企业云网支持在地域内定义灵活的互通、隔离、引流策略，帮助您打造一张灵活、可靠、大规模的企业级全球互联网络。通过企业云网，企业可以实现一站式快速上云，云上云下高效协同办公。

企业云网可以提供的主要功能有：

跨域互联
iVPN
SSL *PN
IPsec *PN
iVPN app

SSL *PN

SSL *PN分为标准版和高级版，分别存在单节点与主备模式。标准版为4核8G，最大可用连接数为500，理论最大带宽为800Mbps，高级版为8核16G，最大可连接1000个用户，理论最大带宽为1Gbps，用户可根据实际情况选择版本开通。开通需要做以下准备：

论最大带宽为1Gbps，用户可根据实际情况选择版本开通。开通需要做以下准备：

1. 创建虚拟私有云（VPC）

详情可查看“管理虚拟私有云”的相关操作指引。

2. 开通资源包

由于开通SSL VPN服务需消耗计算包，开通弹性IP需消耗网络包。所以在开通SSL VPN前需配备资源包中的计算包、网络包。详情可查看“订购资源包”的相关操作指引。

3. 开通弹性IP

注：目前仅支持部分资源池开启弹性IP的功能，如当前资源池的云电脑（政企版）控制台没有弹性IP的功能菜单，请联系运维客服进行开通）

进入“云电脑（政企版）”管理控制台；
点击“网络管理”，点击“弹性IP”，选择“开通弹性IP”，进入弹性IP开通页面。

填写信息如下：

使用资源包-网络包开通弹性IP。

带宽大小根据SSL *PN接入云电脑的并发用户数以及使用云电脑场景估算。

如果使用SSL VPN接入云电脑，出方向带宽大小=并发使用SSL *PN接入云电脑用户数5Mbps（如普通办公场景）+并发使用SSL *PN接入云电脑用户数10Mbps（如看高清视频场景），“带宽大小”小于等于SSL *PN理论最大加密流量（标准版的*PN类型为800Mbps，标准版的SSL *PN类型为1Gbps）。

注：SSL *PN弹性ip带宽限速规则如下：

如果是标准版，出方向默认限速300Mbps，入方向根据实际开的带宽限制，如果用户开通带宽大于300Mps，则出入方向都为实际开通的带宽。

如果是高级版，出方向默认限速600Mbps，入方向根据实际开的带宽限制，如果用户开通带宽大于600Mbps，则出入方向都为实际开通的带宽。

购买量可根据开通*PN数量计算，购买弹性IP数量=开通SSL *PN数量。

4. 创建安全组

详情可查看“管理网络安全组”的相关操作指引。

新建一个安全组（入方向需放行tcp协议4430端口和提供SSL *PN接入服务的端口（本文以udp1189端口为例））

5. 开通SSL *PN服务

注：目前仅支持部分资源池开启SSL *PN的功能，如当前资源池的云电脑（政企版）控制台没有SSL *PN的功能菜单，请联系运维客服进行开通。

进入“云电脑（政企版）”管理控制台；
选择资源池，资源包将在该资源池抵扣；
点击“网络管理”，点击“企业云网”，选择“SSL *PN”，进入SSL *PN管理页面；
在SSL *PN管理页面点击“开通*PN”，填写相关信息；

1. SSL *PN控制台配置

1. 登录SSL *PN控制台

进入“云电脑（政企版）”管理控制台；
点击“网络管理”，点击“*PN”，选择“SSL *PN”，进入SSL *PN管理页面；
记录SSL *PN管理页面所在行管理地址信息；

4. 使用浏览器打开“管理台地址”，可跳转至SSL *PN管理台；

5. 打开在开通SSL *PN时候发送给管理员邮件，使用对应的SSL *PN管理台账号密码登录管理台。

2. 系统设置

2.1 运行状态

运行状态监控控制台状态，能够显示实例状态（正常/异常）、高可用、最大用户、并发用户数量、吞吐量以及会话等信息。

实例状态：显示当前实例是否正常，以及粗略的异常信息。
高可用：标识当前是否为高可用。
最大用户数：服务端能够连接的最大用户数量。
在线用户：当前正在连接的用户数量。
网络吞吐量：显示总的上行下行网络吞吐量。

2.2 SSL *PN设置

SSL *PN可设置用户访问地址和虚拟IP地址。

用户访问地址：是客户端访问的远程地址。
虚拟IP：服务端分配给各个客户端的虚拟IP地址，以防止IP冲突。

2.3 控制台设置

可对控制台/客户端的日志保存天数和用户自定义邮箱进行设置。

存储设置：设置日志存储天数，超过后自动删除。
邮箱配置：配置邮箱后，当创建用户、更改用户密码时会向指定邮箱发送邮件。如用户不配置则使用默认邮箱。
邮箱配置注意事项：邮箱配置密码一般为邮箱的授权码，用于登录第三方邮件客户端的专用密码，并不是邮箱登录密码。发件服务器为smtp.xx.com，以163邮箱为例smtp.163.com，端口为465（选中SSL）/25。配置完成可以点击测试按钮进行发送。

3. 用户管理

3.1 用户管理

用户管理支持创建用户，下载客户端和客户端证书/配置文件，支持批量导入用户和导出用户列表。创建用户时密码会通过邮件形式发到用户指定邮箱。

用户管理界面功能：

查看用户状态，正常/锁定/过期，过期情况可以通过编辑延长时间。
查看用户是否在线，当前用户客户端登录时为在线状态。
注销：注销当前用户时会强制客户端下线。
授权：配置当前用户属于的角色/类型，设置用户能够访问的子网（
重置密码：重置密码会发邮件到指定邮箱，同时强制用户下线。
锁定：用于锁定用户，锁定后该用户暂时不能登录客户端。解锁后即可进行登录。

3.2 资源管理

资源管理用户配置子网资源，新增需要通过SSL *PN访问的IP或IP段。

3.3 角色管理

为了方便给用户授权，可将资源进行分组管理，可以将一个或多个资源授权到一个角色。比如用户角色为开发人员可以同时访问开发环境和测试环境的子网。

4. 日志管理

日志管理用于记录控制台与客户端的行为。

控制台日志：记录控制台登录/退出以及在控制台进行的一系列操作。
客户端日志：记录客户端登录与退出时间。

2. SSL *PN客户端登录

1. 客户端下载

用户可以通过邮件链接下载客户端和配置文件、证书。

注意：该邮件的下载链接来自SSL *PN控制台，如果要在公网环境中下载，需要将SSL *PN控制台端口暴露在公网。

2. 客户端安装与连接

SSL *PN提供windows/Mac/Android/iOS平的客户端，选择对应平台下载并安装，各平台操作一致。下面以windows平台为例，安装完成后点击界面右下角+创建*PN。

1、选择FILE模式，将配置文件拖拽到指定方框中或者点击BROWSE浏览文件添加。

2、输入用户名密码，点击CONNECT链接*PN，连接成功后出现如下界面，界面中显示当前连接隧道的流量情况、连接时间、客户端虚拟IP等信息。

3、断开后重新开启连接，点击界面中的按钮即可。

3. SSL *PN接入云电脑客户端

进入“云电脑（政企版）”管理控制台；
点击“网络管理”，点击“企业云网”，选择“SSL *PN”，进入SSL *PN管理页面；
查看对应行的接入地址；

4. 打开云电脑应用，输入账号和密码，点击“企业专线”，进入企业专线页面；

5. 在企业专线页面输入接入地址：

6. 点击“启用”，即可显示“专线/*PN地址可用，已为您启用专线*PN”；

7. 点击“安全登录”；

8. 选择相应云电脑，点击“进入”，即可完成云电脑登录。

总结

企业云网SSL-*PN产品是一种基于ssl *pn架构的网络连接技术，适用于在云电脑客户端加密登陆云电脑，以及云电脑客户端网络与云电脑VPC之间建立网络连接。部署后，仅需要在SSL *PN客户端中加载证书并发起连接，您便可安全地使用云电脑客户端登陆云电脑，并打通客户端网络与云电脑VPC之间的网络互通。