Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Yandex Compute Cloud

Развертывание Remote Desktop Gateway

Статья создана

Remote Desktop Gateway (RDGW) — сервис Windows Server для доступа к ресурсам, у которых нет выхода в интернет, через защищенный канал связи по протоколу HTTPS.

В сценарии пользователи из группы Administrators получат доступ к тестовой виртуальной машине с использованием самоподписанного сертификата.

Чтобы развернуть инфраструктуру Remote Desktop Gateway:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсети.
  3. Создайте группу безопасности.
  4. Создайте ВМ для шлюза.
  5. Настройте роль RDGW.
  6. Проверьте работу шлюза RDGW.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость инсталляции RDGW входят:

Создайте облачную сеть и подсети

Создайте облачную сеть rdgw-network с подсетью в зоне доступности, где будут находиться виртуальные машины.

  1. Создайте облачную сеть.

    Чтобы создать облачную сеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.

    2. Нажмите кнопку Создать сеть.

    3. Задайте имя сети rdgw-network.

    4. Нажмите кнопку Создать сеть.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    Чтобы создать облачную сеть, выполните команду:

    yc vpc network create --name rdgw-network

    где rdgw-network — имя сети.

    Результат:

    id: qqppl6fduhct76qkjh6s
folder_id: big67u7m5flplkc6vvpc
created_at: "2021-06-09T10:49:07Z"
name: rdgw-network
default_security_group_id: enpa139ji55jti00u5sg

  2. Создайте подсеть в сети rdgw-network.

    Чтобы создать подсеть:

    1. Откройте сервис Virtual Private Cloud в каталоге, где требуется создать подсеть.

    2. Нажмите на имя облачной сети.

    3. Нажмите кнопку Добавить подсеть.

    4. Заполните форму: введите имя подсети rdgw-subnet, выберите нужную зону доступности из выпадающего списка (например, ru-central1-a).

    5. Введите CIDR подсети: IP-адрес и маску подсети: 10.1.0.0/16. Подробнее про диапазоны IP-адресов в подсетях читайте в разделе Облачные сети и подсети.

    6. Нажмите кнопку Создать подсеть.

    Чтобы создать подсеть, выполните команду:

    yc vpc subnet create `
  --name rdgw-subnet `
  --zone ru-central1-a `
  --network-name rdgw-network `
  --range 10.1.0.0/16

    где rdgw-subnet — имя подсети.

    Результат:

    id: e9b95m6al33r62n5vkab
folder_id: big67u7m5flplkc6vvpc
created_at: "2021-06-09T10:49:21Z"
name: rdgw-subnet
network_id: qqppl6fduhct76qkjh6s
zone_id: ru-central1-a
v4_cidr_blocks:
- 10.1.0.0/16

Создайте группу безопасности

Создайте и настройте группу безопасности.

  1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать группу безопасности.

  2. Откройте вкладку Группы безопасности.

  3. Нажмите кнопку Создать группу.

  4. Введите имя группы безопасности my-rdgw-sg.

  5. В поле Сеть выберите сеть, которой будет назначена группа безопасности — rdgw-network.

  6. В блоке Правила создайте следующие правила для управления трафиком по инструкции под таблицей:

    Направление
    трафика    		 Описание Диапазон
    портов    		 Протокол Тип
    источника    		 Источник/Назначение
    Входящий icmp ICMP CIDR 0.0.0.0/0
    Входящий self-security Любой Любой Группа безопасности Текущая
    Входящий tcp 3389 TCP CIDR 0.0.0.0/0
    Входящий rdgw 443 TCP CIDR 0.0.0.0/0
    Исходящий default Любой Любой CIDR 0.0.0.0/0
    1. Выберите вкладку Исходящий трафик или Входящий трафик.
    2. Нажмите кнопку Добавить правило.
    3. В открывшемся окне в поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик.
    4. В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.
    5. В поле Назначение или Источник выберите назначение правила:
      • CIDR — правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите CIDR и маски подсетей, в которые или из которых будет поступать трафик. Чтобы добавить несколько CIDR, нажимайте кнопку Добавить CIDR.
      • Группа безопасности — правило будет применено к ВМ из текущей группы или из выбранной группы безопасности.
    6. Нажмите кнопку Сохранить. Таким образом создайте все правила из таблицы.

  7. Нажмите кнопку Сохранить.

yc vpc security-group create --name=my-rdgw-sg `
  --network-name rdgw-network `
  --rule direction=ingress,protocol=icmp,v4-cidrs=[0.0.0.0/0],description=icmp `
  --rule direction=ingress,port=any,protocol=any,predefined=self_security_group,description=self `
  --rule direction=ingress,port=3389,protocol=tcp,v4-cidrs=[0.0.0.0/0],description=rdp `
  --rule direction=ingress,port=443,protocol=tcp,v4-cidrs=[0.0.0.0/0],description=rdgw `
  --rule direction=egress,port=any,protocol=any,v4-cidrs=[0.0.0.0/0],description=default

Результат:

id: enp136p8s2ael7ob6klg
folder_id: big67u7m5flplkc6vvpc
created_at: "2021-06-09T10:50:29Z"
name: my-rdgw-sg
network_id: qqppl6fduhct76qkjh6s
status: ACTIVE
rules:
- id: env98jerk9b3tcp68k61
  description: icmp
  direction: INGRESS
  protocol_name: ICMP
  protocol_number: "1"
  cidr_blocks:
  v4_cidr_blocks:
   - 0.0.0.0/0

Создайте ВМ для шлюза

Создайте ВМ с публичным адресом:

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В поле Имя введите имя виртуальной машины: my-rds-gw.

  3. Выберите зону доступности ru-central1-a.

  4. В блоке Выбор образа/загрузочного диска выберите образ 2019 Datacenter.

  5. В блоке Диски укажите размер загрузочного диска 60 ГБ.

  6. В блоке Вычислительные ресурсы:

    • Выберите платформу: Intel Ice Lake.
    • Укажите необходимое количество vCPU и объем RAM:
      • vCPU — 2
      • Гарантированная доля vCPU — 100%
      • RAM — 4 ГБ

  7. В блоке Сетевые настройки нажмите кнопку Добавить сеть и выберите сеть rdgw-network. Выберите подсеть rdgw-subnet. В блоке Публичный адрес выберите вариант Автоматически. Выберите группу безопасности my-rdgw-sg.

  8. В блоке Доступ укажите данные для доступа на виртуальную машину: в поле Пароль укажите ваш пароль.

  9. Нажмите кнопку Создать ВМ.

  1. В терминале PowerShell создайте скрипт setpass для настройки пароля учетной записи Administrator через поле user-data в метаданных ВМ. Утилита cloudbase-init выполнит его при первом запуске.

    Примечание

    Первая строка скрипта обязательно должна содержать только #ps1, иначе утилита cloudbase-init не выполнит скрипт.

    #ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)

  2. Создайте ВМ и укажите в качестве источника метаданных созданный скрипт. В качестве параметра security-group-ids вставьте идентификатор группы безопасности my-rdgw-group:

    yc compute instance create `
  --name my-rds-gw `
  --hostname my-rds-gw `
  --memory 4 `
  --cores 2 `
  --platform-id=standard-v3 `
  --zone ru-central1-a `
  --network-interface subnet-name=rdgw-subnet,ipv4-address=10.1.0.3,nat-ip-version=ipv4,security-group-ids=<id_my-rdgw-group> `
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2019-dc-gvlk `
  --metadata-from-file user-data=setpass

    Результат:

    done (25s)
id: frmogfp7mm1kg87c25f3
folder_id: big67u7m5flplkc6vvpc
created_at: "2021-06-09T10:51:58Z"
name: my-rds-gw
zone_id: ru-central1-a
platform_id: standard-v3
resources:
memory: "4294967296"
cores: "2"
core_fraction: "100"
status: RUNNING
boot_disk:
mode: READ_WRITE
device_name: fhmplfvr7g6pfv63fsr7
auto_delete: true
disk_id: fhmplfvr7g6pfv63fsr7
network_interfaces:
- index: "0"
  mac_address: d0:0d:18:83:c8:7b
  subnet_id: e9b95m6al33r62n5vkab
  primary_v4_address:
  address: 10.1.0.3
  one_to_one_nat:
  address: 178.154.231.126
  ip_version: IPV4
  security_group_ids:
  - enp136p8s2ael7ob6klg
    fqdn: my-rds-gw.ru-central1.internal
    scheduling_policy: {}
    network_settings:
    type: STANDARD
    placement_policy: {}

Настройте роль RDGW

  1. Подключитесь к созданной ВМ по протоколу RDP.

  2. Установите необходимые роли и оснастки управления:

    Install-WindowsFeature RDS-Gateway -IncludeManagementTools

    Результат:

    Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Network Policy and Access Services, Remot...

  3. Импортируйте модуль RDS:

    Import-Module -Name RemoteDesktopServices

  4. Создайте политику клиентского доступа, чтобы все учетные записи локальной группы Administrators могли подключаться к шлюзу RDGW. Сделать это можно через диск Windows PowerShell, который будет создан автоматически при импорте роли:

    New-Item -Path 'RDS:\GatewayServer\CAP' -Name 'Default-CAP' -UserGroups Administrators@Builtin -AuthMethod '1'

    Результат:

        Directory: RDS:\GatewayServer\CAP

Name                   Type      CurrentValue         GP   PermissibleValues PermissibleOperations
----                   ----      ------------         --   ----------------- ---------------------
Default-CAP                                           -                      Get-Item, Get-ChildItem, Remove-Item,...

  5. Создайте политику доступа к ресурсам, которая разрешит всем учетным записям локальной группы Administrators подключаться к любому внутреннему ресурсу через созданный шлюз RDGW.

    New-Item -Path 'RDS:\GatewayServer\RAP' -Name 'Default-RAP' -UserGroups Administrators@Builtin -ComputerGroupType '2'

    Результат:

        Directory: RDS:\GatewayServer\RAP

Name                   Type      CurrentValue         GP   PermissibleValues PermissibleOperations
----                   ----      ------------         --   ----------------- ---------------------
Default-RAP                                           -                      Get-Item, Get-ChildItem, Remove-Item,...

  6. Создайте сертификат с именем сервера, который будет использоваться для подключения и шифрования трафика:

    $Certificate = New-SelfSignedCertificate -CertStoreLocation 'Cert:\LocalMachine\My' -DnsName $ENV:COMPUTERNAME

  7. Экспортируйте созданный сертификат, чтобы в дальнейшем загрузить его в хранилище сертификатов Trusted Roots Certificate Authorities на компьютере, подключающемся к ВМ. Это необходимо, чтобы клиент доверял самоподписанному сертификату шлюза RDG:

    $Certificate | Export-Certificate -FilePath "C:\REGW.cer"

    Результат:

        Directory: C:\

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         6/9/2021  11:51 AM            796 REGW.cer

  8. Укажите, какой сертификат нужно использовать шлюзу RDGW. Перезагрузите службу RDG, чтобы применить настройки:

    Set-Item -Path 'RDS:\GatewayServer\SSLCertificate\Thumbprint' -Value $Certificate.Thumbprint
Get-Service TSGateway | Restart-Service

Виртуальная машина-шлюз с настроенной ролью RDGW позволяет локальным учетным записям группы BUILTIN\Administrators подключаться к ВМ, у которых напрямую нет доступа в интернет.

Проверьте работу шлюза RDGW

  1. Создайте ВМ без доступа в интернет, к которой вы будете подключаться во время проверки.

    1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

    2. В поле Имя введите имя виртуальной машины: test-vm.

    3. Выберите зону доступности ru-central1-a.

    4. В блоке Выбор образа/загрузочного диска выберите образ 2019 Datacenter.

    5. В блоке Диски укажите размер загрузочного диска 60 ГБ.

    6. В блоке Вычислительные ресурсы:

      • Выберите платформу: Intel Ice Lake.
      • Укажите необходимое количество vCPU и объем RAM:
        • vCPU — 2
        • Гарантированная доля vCPU — 100%
        • RAM — 4 ГБ

    7. В блоке Сетевые настройки нажмите кнопку Добавить сеть и выберите сеть rdgw-network. Выберите подсеть rdgw-subnet. В блоке Публичный адрес выберите вариант Без адреса.

    8. В блоке Доступ укажите данные для доступа на виртуальную машину: в поле Пароль укажите ваш пароль.

    9. Нажмите кнопку Создать ВМ.

    Создайте ВМ:

    yc compute instance create `
  --name test-vm `
  --hostname test-vm `
  --platform-id=standard-v3 `
  --memory 4 `
  --cores 2 `
  --zone ru-central1-a `
  --network-interface subnet-name=rdgw-subnet,ipv4-address=10.1.0.4 `
  --create-boot-disk image-folder-id=standard-images,image-family=windows-2019-dc-gvlk `
  --metadata-from-file user-data=setpass

    Результат:

    done (19s)
id: fhm5pflreh2jellq97r0
folder_id: big67u7m5flplkc6vvpc
created_at: "2021-06-09T11:53:03Z"
name: test-vm
zone_id: ru-central1-a
platform_id: standard-v3
resources:
memory: "4294967296"
cores: "2"
core_fraction: "100"
status: RUNNING
boot_disk:
mode: READ_WRITE
device_name: fhmmf65nlbt131b3e36l
auto_delete: true
disk_id: fhmmf65nlbt131b3e36l
network_interfaces:
- index: "0"
  mac_address: d0:0d:5d:ef:bb:74
  subnet_id: e9b95m6al33r62n5vkab
  primary_v4_address:
  address: 10.1.0.4
  fqdn: test-vm.ru-central1.internal
  scheduling_policy: {}
  network_settings:
  type: STANDARD
  placement_policy: {}

  2. Импортируйте созданный сертификат в папку Trusted Roots Certificate Authorities на компьютере, с которого вы будете подключаться к тестовой ВМ.

    Чтобы подключаться к шлюзу по имени ВМ, в файле C:\Windows\system32\drivers\etc\hosts укажите имя и внешний IP-адрес созданного шлюза RDGW. Например:

    87.250.250.242 my-rds-gw

  3. Запустите утилиту mstsc, которая создает подключения к удаленному рабочему столу. На вкладке Advanced нажмите Settings. Выберите Use these RD Gateway server settings. Укажите в поле Server name имя ВМ my-rds-gw. В качестве узла назначения используйте имя тестовой ВМ test-vm, имя пользователя — Administrator.

Как удалить созданные ресурсы

Если вам больше не нужны созданные ресурсы, удалите виртуальные машины и сети.

Если вы зарезервировали статический публичный IP-адрес, удалите его.

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье: