云桌面远程办公最佳实践

云桌面接入方式1:公网直连

员工通过公网直接登录到云桌面实例(有公网访问权限)进行远程办公,云桌面客户端具有一定加密和安全传输能力。

云桌面接入方式2:SSL VPN

员工通过SSL VPN客户端安全接入到云桌面所在的VPC网络,然后登录云桌面实例(没有公网访问权限)进行远程办公。

云桌面接入方式3:SAG(智能接入网关)

员工通过SAG(智能接入网关)软件版安全接入到云桌面所在的VPC网络,然后登录云桌面实例(没有公网访问权限)进行远程办公。方式2和方式3成本高于场景1,但是安全性更好。

请根据实际情况选择适合您公司的接入方式。

云桌面和企业IDC互联:IPSec或者物理专线

通过IPSec VPN或物理专线将云桌面VPC网络和企业IDC网络连通,员工在云桌面中可以使用公司内部应用和资源。

解决的问题 

⚫使用者无法在公司办公场所现场办公的问题

⚫使用者远程办公时无法安全快速的访问到企业IDC内部应用和资源的问题

⚫解决远程办公时公司内部文件和资源泄露风险。

产品列表 

云桌面/图形工作站,VPN网关,智能接入网关 SAG,NAT网关,VPC,ECS。

概述

本最佳实践适用于员工在非办公场所,在PC机通过SSL VPN或者SAG客户端安全接入到云桌面实例的VPC网络,并使用CitrixWorkspace客户端连接到云桌面实例进行日常操作。同时,通过IPSecVPN隧道或物理专线将云桌面实例VPC网络和客户的企业IDC的网络打通,实现资源共享和数据传递等需求。

名词解释

⚫云桌面(图形工作站)

阿里云云桌面是高效、经济的云上虚拟桌面服务,可以帮助您快速构建桌面办公体系。通过丰富的CPU & GPU 类型的实例规格族,可支持远程办公、多分支机构协作、图片编辑、视频渲染等多种复杂的应用场景。详情请查看:https://www.aliyun.com/product/gws

⚫VPN网关

VPN网关是一款基于Internet的网络连接服务,通过加密通道的方式实现企业数据中心、企业办公网络或Internet终端与阿里云专有网络(VPC)安全可靠的连接。VPN网关提供IPsec-VPN连接和SSL-VPN连接。详情请查看:https://www.aliyun.com/product/vpn

⚫SSL VPN

您可以通过建立SSL-VPN隧道将单个移动客户端和VPC连接起来,满足远程办公的需要。无论何时何地,只要有Internet就可以安全地接入VPC。SSL连接支持Windows、Linux、Mac、IOS和Android等操作系统多终端接入。

⚫IPSecVPN

基于路由的IPsec-VPN,不仅可以更方便的配置和维护VPN策略,而且还提供了灵活的流量路由方式。您可以使用IPsec-VPN功能将本地数据中心与VPC或不同的VPC之间进行连接。IPsec-VPN支持IKEv1和IKEv2协议。只要支持这两种协议的设备都可以和阿里云VPN网关互连,比如华为、华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM 和Ixia等。

⚫智能接入网关SAG

智能接入网关(Smart Access Gateway)是阿里云提供的一站式快速上云解决方案。企业可通过智能接入网关实现Internet就近加密接入,获得更加智能、更加可靠、更加安全的上云体验。

智能接入网关分为硬件版和软件版,硬件版用于站点site-to-site接入,可通过专线、宽带、4G方式接入,软件版用于终端point-to-site接入。详情请查看:https://www.aliyun.com/product/smartag

⚫NAT网关

NAT 网关是一款企业级的VPC 公网网关,提供NAT 代理(SNAT、DNAT)、10Gbps 级别的转发能力、以及跨可用区的容灾能力。NAT 网关与共享带宽包配合使用,可以组合成为高性能、配置灵活的企业级网关。详情请查看:https://www.aliyun.com/product/nat

⚫物理专线

阿里云高速通道服务提供了一种快速安全连接阿里云与本地数据中心的方法。

您可以通过一条租用运营商的专线将本地数据中心连接到阿里云接入点,建专线连接。此连接绕过公网,更加安全可靠、速度更快、延迟更低。详情请查

看:https://www.aliyun.com/product/expressconnect

应用场景

场景1:员工通过公网直接登录到云桌面实例(带有公网访问权限)进行远程办公,云桌面客户端具有一定加密和安全传输能力。

场景2:员工通过SSL VPN或者SAG安全接入到云桌面所在的VPC网络,然后登录云桌面实例(不带有公网访问权限)进行远程办公。该场景方案成本高于场景1,但是安全性更好。

场景3:在云桌面VPC网络通过IPSec VPN隧道或者物理专线和客户线下IDC连通,员工在云桌面中可以使用公司内部应用和资源。

技术架构

本实践基于如下图所示的技术架构和主要流程,其中:

⚫云桌面集群由阿里云云桌面(图形工作站)服务提供服务;

⚫SSLVPN服务端和IPSecVPN隧道由阿里云VPN网关提供服务;

⚫物理专线由阿里云高速通道服务提供

⚫公网网关出口由阿里云NAT网关服务提供。

方案优势

⚫易部署

云桌面支持快速便捷的桌面环境创建、部署、统一管控与运维。

VPN网关服务开通即用,配置实时生效,快速完成部署。

⚫低成本

云桌面无需前期传统硬件投资,帮您快速构建安全、高性能、低成本的桌面办公体系。可广泛应用于具有高数据安全管控、高性能计算等要求的金融、设计、视频、教育等领域。

VPN网关和SAG服务基于Internet建立加密通道,比建立专线更便宜,快速实现混合云。

⚫安全性

VPN网关和SAG使用IKE(秘钥交换协议)和IPSec对传输数据或进行加密,保证数据安全可靠。

前置条件

在进行本文操作之前,您需要完成以下准备工作:

⚫拥有阿里云实名认证账号。(可联系咨询文末客服李静)

⚫保证账号余额大于100元人民币。

⚫开通ECS、VPN网关、云桌面等服务。

资源规划说明 

⚫本最佳实践实践的资源规划仅作为实践演示,实际业务场景资源以用户实际需求为准。

⚫在本实践中,涉及到阿里云资源开通和购买,本文后续实例中不单独展示服务开通相关操作,请使用者自行完成。

1. 开通云桌面实例

本章内容基于如下架构进行部署,将创建带有公网访问权限的云桌面实例,PC机通过通往直接登录并使用云桌面实例。

1.1.远程办公网络规划

云桌面实例在IaaS层以ECS的形式呈现,管理员在云桌面集群中每创建一台云桌面实例,系统会在云桌面集群所绑定的VPC网络中创建一台ECS。因此,需要管理员先规划云上VPC网络。

本最佳实践中,云上VPC需要和家庭网络、企业IDC网络连通,因此本最佳实践中使用到的网络规划如下:

1.2.创建云桌面集群使用的VPC网络

步骤1通过https://vpc.console.aliyun.com/vpc/cn-shanghai/vpcs登录专有网络VPC产品控制台。

步骤2单击创建专有网络。

步骤3在创建专有网络页面,参考下表,配置专有网络和交换机相关参数,并单击确定。

步骤4等待专有网络和交换机创建成功后,单击完成。

想了解该方案和其他方案实践可添加下方二维码

18618482303 李静

2020-11-30T15:30:53+00:00