本文档介绍了 Chrome 远程桌面在您的网络中正常运行所需满足的网络要求。本文档还介绍了 Chrome 远程桌面协议和点对点 (P2P) 连接协商流程的一些底层细节。
如果您使用的是限制非常严格的专用网络,并且/或者在网络中运行 Chrome 远程桌面时遇到问题,请参考本指南做出应对措施。
所需端口和协议的列表
Chrome 远程桌面的网址允许规则
如要访问 Chrome 远程桌面,用户需要能够前往下列特定网址。您的网络必须允许对这些网址进行出站访问。
您可以在 Google 管理控制台的用户和浏览器以及受管理的访客会话设置页面中,使用网址拦截设置来控制对网址的访问。如需了解如何允许或拦截网址,请参阅为用户或浏览器设置 Chrome 政策。
了解 URLAllowlist 和 URLBlocklist 政策。
|
网址 |
操作 |
|---|---|
|
instantmessaging-pa.googleapis.com |
允许 |
|
remotedesktop.google.com |
允许 |
|
remotedesktop-pa.googleapis.com |
允许 |
在专用网络上使用 Chrome 远程桌面所需的通用防火墙规则
如需查看 Google 服务 IP 范围的列表,请参阅 Google Cloud 文档。
IP 地址会根据地理位置而动态变化。虽然设备有可能仅通过基于明确 IP/端口/协议的防火墙规则来建立连接,但由于 IP 地址分配是一个动态行为,因此这些规则也将是动态变化的目标。Google 使用托管在 www.gstatic.com 的一项服务来动态查找各项服务的本地化 IP。
脚本未返回 Chrome 远程桌面所需的一个重要 IP,因为该 IP 没有如下 DNS 网址:74.125.247.128。这是用于促成 TURN/STUN 连接的信令服务的 IP,详见下文。仅在以下情况下使用:
- 防火墙穿越设置为启用防火墙穿越,并且
- 允许使用中继服务器处于选中状态。
如需了解防火墙穿越设置,请参阅为用户或浏览器设置 Chrome 政策。请参阅 RemoteAccessHostAllowRelayedConnection 和 RemoteAccessHostFirewallTraversal。
|
来源 |
目的地 |
端口 |
协议 |
操作 |
|---|---|---|---|---|
|
专用网络 IP 地址范围 |
Google 服务 IP 地址范围 |
443 + 3478 |
TCP + UDP |
允许 |
|
专用网络 IP 地址范围 |
专用网络 IP 地址范围 |
动态范围,可以使用 UDP 端口范围予以限制。 如需了解 UDP 端口范围设置,请参阅为用户或浏览器设置 Chrome 政策。 |
TCP + UDP |
允许 |
|
专用网络 IP 地址范围 |
74.125.247.128 |
动态范围,不过可予以限制。 如需了解 UDP 端口范围设置,请参阅为用户或浏览器设置 Chrome 政策。 |
TCP + UDP |
允许 |
协议详细信息
您可以通过企业政策配置 Chrome 远程桌面的连接类型。Chrome 远程桌面客户端与主机之间的连接最初是与 Google 服务协商的网络请求。连接实例化后,会通过一个 P2P 连接促成实时会话。
P2P 连接类型
P2P 连接使用交互式连接创建 (ICE) 协议和网络实时通信 (WebRTC) 协议建立。连接模式为“直连”“STUN”或“TURN/中继”。
- 直连
- 两个设备通过其实际 IP 直接通信。
- STUN - 在管理控制台中,防火墙穿越被设置为启用防火墙穿越。
- 两个设备通过各自的路由器/防火墙公开的互联网/子网可寻址 IP 进行通信。
- 启用 STUN 需要打开端口 3478 并允许 STUN 数据包传输。
- TURN/中继 - 在管理控制台中,允许使用中继服务器处于选中状态。
- 数据包会发送到 Google 服务,并通过 Google 数据中心中继到连接的另一端。
- 启用 TURN 也需要为 UDP/TCP(其中一项或两项)流量打开端口 3478。UDP 会优于 TCP 被选择,因为其性能更出色。但如果 UDP 被屏蔽,Chrome 远程桌面会回退到使用 TCP。
管理控制台流程
在管理控制台中创建 Chrome 远程桌面会话时,工作流程如下:
- 在管理控制台中,管理员选择要使用 Chrome 远程桌面连接到的设备。
- 客户端设备通过管理控制台界面向 Cloud API 发送请求,以启动与所选设备的远程会话。
- Google Cloud 服务会向受管理的主机 ChromeOS 设备发送命令。
- 受管理的主机 ChromeOS 设备上的 RemoteCommand 服务使用 OAuth 访问令牌向 Chrome 远程桌面服务注册新的支持主机实例。
- Chrome 远程桌面主机实例会返回一个访问代码,该代码是其主机 ID 和一个密钥代码的组合。
- RemoteCommand 服务会将访问代码从主机发送到管理控制台。
- Google Cloud 服务向客户端返回连接信息。
- 客户端管理控制台会将访问代码作为网址参数,打开 Chrome 远程桌面网站。
- 连接会根据您的政策设置,通过直连/STUN/TURN 方法执行 P2P 设置步骤。
- 实时视图通过 UDP 或 TCP 在动态分配的端口上进行流式传输,端口范围可通过企业政策进行配置。
序列图
注意:该图仅作说明之用,实际连接细节会比这更繁琐、更复杂。
Chrome 企业版政策列表
如需了解 Chrome 远程桌面政策,请前往 Chrome 企业版政策列表,然后在搜索政策框中输入远程。查看远程访问部分列出的所有政策。