Was ist AWS Client VPN? - AWS Client VPN
Funktionen von Client VPNKomponenten von Client VPNArbeiten mit Client VPNPreise für Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS Client VPN?

AWS Client VPN ist ein verwalteter Client-basierter VPN-Service, der es Ihnen ermöglicht, im On-Premise-Netzwerk auf Ihre AWS-Ressourcen zuzugreifen. Mit Client VPN können Sie von jedem Standort aus über einen OpenVPN-basierten VPN-Client auf Ihre Ressourcen zugreifen.

Inhalt

Funktionen von Client VPN

Client VPN bietet die folgenden Merkmale und Funktionen:

  • Sichere Verbindungen – Der Service bietet eine sichere TLS-Verbindung von jedem Standort aus über den OpenVPN-Client.

  • Verwalteter Service – Es handelt sich um einen AWS-verwalteten Service, der den betrieblicher Aufwand für die Bereitstellung und Verwaltung einer Drittanbieter-Remote-Access-VPN-Lösung eliminiert.

  • Hohe Verfügbarkeit und Elastizität – Der Service skaliert automatisch entsprechend der Anzahl der Benutzer, die sich mit Ihren AWS-Ressourcen und On-Premise-Ressourcen verbinden.

  • Authentifizierung – Der Service unterstützt die Client-Authentifizierung mithilfe von Active Directory, die Verbundauthentifizierung und die zertifikatbasierte Authentifizierung.

  • Detaillierte Kontrolle – Mit diesem Service können Sie benutzerdefinierte Sicherheitskontrollen implementieren, indem Sie netzwerkbasierte Zugriffsregeln definieren. Diese Regeln können unter Berücksichtigung der Granularität von Active Directory-Gruppen konfiguriert werden. Sie können die Zugriffskontrolle auch mit Sicherheitsgruppen implementieren.

  • Anwenderfreundlichkeit – Sie können mithilfe eines einzelnen VPN-Tunnels auf Ihre AWS-Ressourcen und On-Premises-Ressourcen zugreifen.

  • Verwaltbarkeit – Sie können Verbindungsprotokolle anzeigen, die Details zu Client-Verbindungsversuchen zur Verfügung stellen. Sie können aktive Client-Verbindungen auch verwalten, und zwar mit der Möglichkeit, diese Verbindungen zu beenden.

  • Umfassende Integration – Der Service ist mit vorhandenen AWS-Services integriert, einschließlich AWS Directory Service und Amazon VPC.

Komponenten von Client VPN

Die wichtigsten Konzepte für Client VPN sind die folgenden:

Client-VPN-Endpunkt

Ein Client VPN-Endpunkt ist die Ressource, die Sie erstellen und konfigurieren, um Client VPN-Sitzungen zu aktivieren und zu verwalten. Es handelt sich hier um den Beendigungspunkt für alle Client-VPN-Sitzungen.

Ziel-Netzwerk

Ein Ziel-Netzwerk ist das Netzwerk, das Sie einem Client VPN-Endpunkt zuordnen. Ein Subnetz aus einer VPC ist ein Ziel-Netzwerk. Durch das Zuordnen eines Subnetzes zu einem Client VPN-Endpunkt können Sie VPN-Sitzungen einrichten. Sie können mehrere Subnetze einem Client VPN-Endpunkt zuordnen, um eine hohe Verfügbarkeit zu gewährleisten. Alle Subnetze müssen sich in derselben VPC befinden. Jedes Subnetz muss einer anderen Availability Zone angehören.

Route

Jeder Client VPN-Endpunkt verfügt über eine Routing-Tabelle, die die verfügbaren Zielnetzwerkrouten beschreibt. Jede Route in der Routing-Tabelle gibt den Pfad für den Datenverkehr zu bestimmten Ressourcen oder zu Netzwerken an.

Autorisierungsregeln

Eine Autorisierungsregel beschränkt die Benutzer, die auf ein Netzwerk zugreifen können. Sie können für ein bestimmtes Netzwerk die Active Directory- oder Identitätsanbietergruppe konfigurieren, die Zugriff erhalten soll. Nur Benutzer, die dieser Gruppe angehören, können auf das angegebene Netzwerk zugreifen. Standardmäßig gibt es keine Autorisierungsregeln. Sie müssen Autorisierungsregeln konfigurieren, damit Benutzer auf Ressourcen und Netzwerke zugreifen können.

Client

Dies ist der Endbenutzer, der eine Verbindung mit dem Client VPN-Endpunkt herstellt, um eine VPN-Sitzung einzurichten. Die Endbenutzer müssen einen OpenVPN-Client herunterladen und die Client-VPN-Konfigurationsdatei verwenden, die Sie zum Einrichten einer VPN-Sitzung erstellt haben.

CIDR-Bereich des Clients

Ein IP-Adressbereich, aus dem Client-IP-Adressen zugewiesen werden sollen. Jeder Verbindung mit dem Client VPN-Endpunkt wird eine eindeutige IP-Adresse aus dem Client-CIDR-Bereich zugewiesen. Sie wählen den Client-CIDR-Bereich, zum Beispie, 10.2.0.0/16.

Client-VPN-Ports

AWS Client VPN unterstützt die Ports 443 und 1194 für TCP und UDP. Der Standard ist Port 443.

Client VPN-Netzwerkschnittstellen

Wenn Sie Ihrem Client VPN-Endpunkt ein Subnetz zuordnen, erstellen wir in diesem Subnetz Client VPN-Netzwerkschnittstellen. Der Datenverkehr, der vom Client VPN-Endpunkt an die VPC gesendet wird, wird über eine Client VPN-Netzwerkschnittstelle gesendet. Anschließend wird die Quell-Netzwerkadressübersetzung (SNAT) angewendet, wobei die Quell-IP-Adresse aus dem CIDR-Bereich des Clients in die Client VPN-Netzwerkschnittstellen-IP-Adresse übersetzt wird.

Verbindungsprotokollierung

Sie können die Verbindungsprotokollierung für Ihren Client VPN-Endpunkt aktivieren, um Verbindungsereignisse zu protokollieren. Sie können diese Informationen verwenden, um forensische Untersuchungen durchzuführen, zu analysieren, wie Ihr Client VPN-Endpunkt verwendet wird, oder Verbindungsprobleme zu debuggen.

Self-Service-Portal

Client VPN bietet Endbenutzern ein Self-Service-Portal als Webseite, auf der sie die neueste Version des AWS-VPN-Desktop-Clients und die neueste Version der Client-VPN-Endpunkt-Konfigurationsdatei herunterladen können, in der die für die Verbindung mit ihrem Endpunkt erforderlichen Einstellungen enthalten sind. Der Client-VPN-Endpunkt-Administrator kann ein Self-Service-Portal für den Client-VPN-Endpunkt aktivieren oder deaktivieren. Das Self-Service-Portal ist ein globaler Service, der von Service-Stacks in den folgenden Regionen unterstützt wird: USA Ost (Nord-Virginia), Asien-Pazifik (Tokio), Europa (Irland) und AWS GovCloud (USA-West).

Arbeiten mit Client VPN

Sie können auf eine der folgenden Arten mit Client VPN arbeiten:

AWS Management Console

Die Konsole bietet eine webbasierte Benutzeroberfläche für Client VPN. Wenn Sie sich für ein AWS-Konto registriert haben, können Sie sich in der Amazon-VPC-Konsole anmelden und Client VPN im Navigationsbereich auswählen.

AWS Command Line Interface (AWS CLI)

Die AWS CLI bietet direkten Zugriff auf die öffentlichen Client VPN-APIs. Sie wird unter Windows, macOS und Linux unterstützt. Weitere Informationen zu den ersten Schritten mit AWS CLI finden Sie im AWS Command Line Interface-Benutzerhandbuch. Weitere Informationen zu den Befehlen für Client VPN finden Sie in der AWS CLI-Befehlsreferenz.

AWS Tools for Windows PowerShell

AWS bietet Befehle für zahlreiche AWS Angebote für Benutzer, die Skripts in der PowerShell Umgebung erstellen. Weitere Informationen zu den ersten Schritten mit AWS Tools for Windows PowerShell finden Sie im AWS Tools for Windows PowerShell-Benutzerhandbuch. Weitere Informationen über die cmdlets für Client VPN finden Sie in der AWS Tools for Windows PowerShell-Cmdlet-Referenz.

Abfrage-API

Die Client VPN-HTTPS-Abfrage-API bietet Ihnen programmatischen Zugriff auf Client-VPN und AWS. Mit der HTTPS-Query-API können Sie HTTPS-Anforderungen direkt an den Service richten. Wenn Sie die HTTPS-API nutzen, müssen Sie Code zur digitalen Signierung von Anfragen über Ihre Anmeldeinformationen einsetzen. Weitere Informationen finden Sie unter Aktionen für AWS Client VPN.

Preise für Client VPN

Ihnen wird jede Endpunktzuordnung und jede VPN-Verbindung auf Stundenbasis in Rechnung gestellt. Weitere Informationen finden Sie unter AWS Client VPN Preise.

Die Datenübertragung von Amazon EC2 ins Internet wird Ihnen in Rechnung gestellt. Weitere Informationen hierzu erhalten Sie unter Datenübertragung auf der Seite Amazon EC2.

Wenn Sie die Verbindungsprotokollierung für Ihren Client-VPN-Endpunkt aktivieren, müssen Sie eine CloudWatch Protokollgruppe in Ihrem Konto erstellen. Für die Verwendung von Protokollgruppen fallen Gebühren an. Weitere Informationen finden Sie unter Amazon- CloudWatch Preise (wählen Sie unter Zahlungspflichtiges Kontingent die Option Protokolle aus).

Wenn Sie den Client Connect-Handler für Ihren Client VPN-Endpunkt aktivieren, müssen Sie eine Lambda-Funktion erstellen und aufrufen. Für den Aufruf von Lambda-Funktionen fallen Gebühren an. Weitere Informationen finden Sie unter AWS Lambda Preise.

Client VPN-Endpunkte sind einem Zielnetzwerk zugeordnet, bei dem es sich um ein Subnetz in einer VPC handelt. Wenn diese VPC über ein Internet-Gateway verfügt, ordnen wir Elastic IP-Adressen den Elastic Network-Schnittstellen (ENIs) des Client VPN zu. Diese Elastic IP-Adressen werden als verwendete öffentliche IPv4-Adressen berechnet. Weitere Informationen finden Sie auf der Registerkarte Öffentliche IPv4-Adresse auf der Seite VPC-Preise.