对于同一目录下的云桌面,系统采用企业安全组控制进出流量。默认情况下,同一安全组中或者不同安全组的云桌面之间无法互相访问,您需要手动添加安全组规则后才能实现云桌面的网络互通。
背景信息
创建目录时,您可以指定VPC和交换机VSW。基于同一个目录创建的云桌面将自动划分到同一个企业安全组中,相关架构示例如下图所示。
同一企业安全组内的云桌面无法互相访问,安全组默认的规则如下:
- 入方向:拒绝任何访问。
- 出方向:允许访问外部资源。
更多信息,请参见网络架构。
配置场景
默认情况下,基于安全性的考虑,各个云桌面的网络互相隔离。如果您有桌面网络互通的业务需求,需要手动配置安全组规则。配置场景和方法如下:
- 同一VPC下,处于同一安全组中的云桌面
您需要在所属安全组的入方向规则中授权需要访问的IP网段。例如:同一安全组中的桌面1和桌面2,需要实现网络互通,则在所属安全组中,入方向规则需要授权桌面1和桌面2的IP地址。
- 同一VPC下,处于不同安全组中的云桌面
您需要分别在安全组的入方向规则中授权需要访问的IP网段。例如:安全组A中的桌面1和安全组B中的桌面2,需要实现网络互通,则您需要在安全组A的入方向规则中授权桌面2的IP地址,允许桌面2的访问;在安全组B的入方向规则中授权桌面1的IP地址,允许桌面1的访问。
- 不同VPC下的云桌面
您需要先打通VPC之间的网络,然后再根据需要配置安全组规则。
说明 如果仅需要几个云桌面之间实现网络互通,在配置规则时,建议仅授权单个IP地址,能更好地保证数据安全。如果需要整个安全组内的云桌面实现网络互通,在配置规则时,您可以授权对应交换机或者VPC的IP网段。
本文主要介绍同一VPC下的云桌面,通过添加安全组规则实现网络互通。处于不同的VPC的云桌面配置网络互通时,您需要先打通VPC之间的网络。更多信息,请参见连接VPC。
操作步骤
配置示例
例如,同一VPC下,存在基于目录A的桌面1和云桌面2,和基于目录B中的云桌面3,下图为三个云桌面的IP地址和所属安全组的关系。
常见的配置示例如下表所示。
说明 关于协议类型和端口范围,下表不做示例,建议您根据实际需求配置协议类型和对应的端口范围。比如,如果您的云桌面想要通过网上邻居互相访问,可以打开UDP协议的137和138端口,以及TCP协议的139端口。
| 场景示例 | 配置规则 |
|---|---|
| 桌面1可以单向访问桌面2 | 安全组A入方向配置规则,其中授权对象配置为192.168.1.1。 |
| 桌面1与桌面2网络互通 | 安全组A入方向配置规则,其中授权对象配置为192.168.1.1和192.168.1.2。 |
| 桌面1和桌面3网络互通 |
|
| 安全组A的所有云桌面均可单向访问桌面3 | 安全组B入方向配置规则,其中授权对象配置为192.168.1.0/24。 |
| 安全组A中的所有云桌面和安全组B中的所有云桌面网络互通 |
|
