组网与连通性要求

本章节详细说明云空间在实际生产环境中的资源配置建议、网络架构拓扑以及各组件间的访问关系，为系统部署及防火墙策略配置提供参考依据。

一、 资源规格清单

在典型的生产环境中，建议的最小资源配置如下表所示：

组件名称	推荐规格	操作系统	部署说明
管理端	3台 × 8C/16G/200G 虚拟机	openEuler 22.03	以 k3s 容器集群形式部署，需 3 个静态内网 IP。
接入网关	1台或多台 × 4C/8G/100G 虚拟机	Ubuntu 22.04.5	建议单网卡部署，每台需 1 个静态内网IP，且 1 对 1 映射公网 IP。
代理端	根据业务需求配置云桌面的规格和数量	Windows/Linux	安装在每台云桌面虚拟机内，需预装 Mole/HSRServer/USBRedirect 软件包，需预配置 Mole 指向管理端地址。
客户端	PC机 / 笔记本 / 手机 / 平板 / 瘦终端	Windows、Linux、macOS、Android	需具备访问管理端、接入网关、云桌面的网络连通性。

二、 连通性需求分析

2.1 核心管理链路

• 管理端集群内部：3 台管理端 VM 之间必须保持二层网络互通，用于容器集群内部的心跳监测与数据同步。以主节点的IP地址作为管理端整体对外提供服务接口的地址。
• 南向管理接口：管理端所有节点均需能够访问底层 IaaS 云平台的 API 接口地址（用于执行桌面的创建、开关机、资源同步等操作）。
• 代理端控制链路：云桌面内的代理端（Mole 服务）需能够访问管理端，用于上报状态、获取管理指令及版本升级。

2.2 业务访问链路

• 管理后台访问：系统管理员及租户管理员通过浏览器访问管理端的 TCP 443 端口。
• 客户端接入：客户端访问管理端的 TCP 44301 端口（登录、获取桌面列表）；协议层则直连或经网关转发访问云桌面的 TCP 15701、TCP&UDP 15702、TCP 5703 端口。

三、 端口访问矩阵

请根据此表在防火墙或安全组中配置允许策略。

3.1 基础内网访问

源对象	目标对象	目的端口	协议	功能描述
WEB浏览器	管理端	443	TCP	Web 管理页面访问
管理端	IaaS云平台	视IaaS云平台对外提供的API接口的端口而定	TCP	管理端访问IaaS云平台
代理端 (Mole)	管理端	443, 44332	TCP	代理上报与版本升级等
客户端 (XSC)	管理端	44301	TCP	客户端调用API接口
客户端 (XSC)	云桌面	15701, 15702, 5703	TCP/UDP	局域网场景：远程桌面协议直连

3.2 公网接入访问 (NAT/映射)

若需面向互联网提供接入能力，需执行以下公网映射：

映射路径 (公网 -> 内网)	目的端口	协议	必选/可选
公网 IP : 44031	管理端 : 44031	TCP	必选：支持客户端从公网访问
公网 IP : 443	管理端 : 443	TCP	可选：支持公网访问系统控制台和租户控制台，外网运维管理
公网 IP : 44331	管理端 : 44331	TCP	可选：支持公网访问（仅）租户控制台，面向公网运营的场景
网关公网 IP : 901/902/903/5000	网关内网 : 901/902/903/5000	UDP	必选：承载 HSR 协议流量转发

网关部署要点：

接入网关的内网地址必须能够路由到所服务的云桌面的业务内网地址，否则将导致外网环境下客户端连接云桌面失败。

管理端的44301、443、44331端口的公网映射，可以与接入网关的公网IP合用，即一套云空间系统采用1个公网IP即可提供公网接入服务。

但是，默认还是推荐管理端占用一个单独的公网IP地址，各接入网关再各自占用一个公网IP地址。

四、 公网带宽需求评估

在规划公网出口带宽时，请参考以下模型进行估算：

1. 管理流量带宽： 主要用于 API 访问及客户端版本包下载。建议提供 20Mbps ~ 100Mbps 的保障带宽。
2. 协议流量带宽：
   • 计算公式：总带宽 = 预估并发数 × 单台桌面平均流量
   • 参考场景指标：
     • 普通办公/文字处理：约 1 ~ 2 Mbps
     • 高清视频/复杂网页：约 5 ~ 10 Mbps
     • 高端 3D 设计/视频编辑：约 20 ~ 30 Mbps
   • 流量方向：日常的协议流量以从云桌面经过网关发送到客户端的画面视频流为主，从数据中心角度为上行流量，从客户端侧看是下载流量。

为确保业务的稳定交付，客户需提前向网络服务提供商（ISP）申领独立的公网 IP 地址资源及充足的公网带宽。