Chrome 远程桌面网络指南

本文档介绍了 Chrome 远程桌面在您的网络中正常运行所需满足的网络要求。本文档还介绍了 Chrome 远程桌面协议和点对点 (P2P) 连接协商流程的一些底层细节。

如果您使用的是限制非常严格的专用网络，并且/或者在网络中运行 Chrome 远程桌面时遇到问题，请参考本指南做出应对措施。

所需端口和协议的列表

Chrome 远程桌面的网址允许规则

如要访问 Chrome 远程桌面，用户需要能够前往下列特定网址。您的网络必须允许对这些网址进行出站访问。

您可以在 Google 管理控制台的用户和浏览器以及受管理的访客会话设置页面中，使用网址拦截设置来控制对网址的访问。如需了解如何允许或拦截网址，请参阅为用户或浏览器设置 Chrome 政策。

了解 URLAllowlist 和 URLBlocklist 政策。

在专用网络上使用 Chrome 远程桌面所需的通用防火墙规则

如需查看 Google 服务 IP 范围的列表，请参阅 Google Cloud 文档。

IP 地址会根据地理位置而动态变化。虽然设备有可能仅通过基于明确 IP/端口/协议的防火墙规则来建立连接，但由于 IP 地址分配是一个动态行为，因此这些规则也将是动态变化的目标。Google 使用托管在 www.gstatic.com 的一项服务来动态查找各项服务的本地化 IP。

脚本未返回 Chrome 远程桌面所需的一个重要 IP，因为该 IP 没有如下 DNS 网址：74.125.247.128。这是用于促成 TURN/STUN 连接的信令服务的 IP，详见下文。仅在以下情况下使用：

1. 防火墙穿越设置为启用防火墙穿越，并且
2. 允许使用中继服务器处于选中状态。
   如需了解防火墙穿越设置，请参阅为用户或浏览器设置 Chrome 政策。请参阅 RemoteAccessHostAllowRelayedConnection 和 RemoteAccessHostFirewallTraversal。

协议详细信息

您可以通过企业政策配置 Chrome 远程桌面的连接类型。Chrome 远程桌面客户端与主机之间的连接最初是与 Google 服务协商的网络请求。连接实例化后，会通过一个 P2P 连接促成实时会话。

P2P 连接类型

P2P 连接使用交互式连接创建 (ICE) 协议和网络实时通信 (WebRTC) 协议建立。连接模式为“直连”“STUN”或“TURN/中继”。

• 直连
  • 两个设备通过其实际 IP 直接通信。
• STUN - 在管理控制台中，防火墙穿越被设置为启用防火墙穿越。
  • 两个设备通过各自的路由器/防火墙公开的互联网/子网可寻址 IP 进行通信。
  • 启用 STUN 需要打开端口 3478 并允许 STUN 数据包传输。
• TURN/中继 - 在管理控制台中，允许使用中继服务器处于选中状态。
  • 数据包会发送到 Google 服务，并通过 Google 数据中心中继到连接的另一端。
  • 启用 TURN 也需要为 UDP/TCP（其中一项或两项）流量打开端口 3478。UDP 会优于 TCP 被选择，因为其性能更出色。但如果 UDP 被屏蔽，Chrome 远程桌面会回退到使用 TCP。

管理控制台流程

在管理控制台中创建 Chrome 远程桌面会话时，工作流程如下：

1. 在管理控制台中，管理员选择要使用 Chrome 远程桌面连接到的设备。
2. 客户端设备通过管理控制台界面向 Cloud API 发送请求，以启动与所选设备的远程会话。
3. Google Cloud 服务会向受管理的主机 ChromeOS 设备发送命令。
4. 受管理的主机 ChromeOS 设备上的 RemoteCommand 服务使用 OAuth 访问令牌向 Chrome 远程桌面服务注册新的支持主机实例。
5. Chrome 远程桌面主机实例会返回一个访问代码，该代码是其主机 ID 和一个密钥代码的组合。
6. RemoteCommand 服务会将访问代码从主机发送到管理控制台。
7. Google Cloud 服务向客户端返回连接信息。
8. 客户端管理控制台会将访问代码作为网址参数，打开 Chrome 远程桌面网站。
9. 连接会根据您的政策设置，通过直连/STUN/TURN 方法执行 P2P 设置步骤。
10. 实时视图通过 UDP 或 TCP 在动态分配的端口上进行流式传输，端口范围可通过企业政策进行配置。

序列图

注意：该图仅作说明之用，实际连接细节会比这更繁琐、更复杂。

Chrome 企业版政策列表

相关主题

• 控制 Chrome 远程桌面的使用
• 通过 Chrome 远程桌面访问另一台计算机
• 为用户启用或停用 Chrome 远程桌面