Che cos'è AWS Client VPN?

AWS Client VPN è un VPN servizio gestito basato su client che consente di accedere in modo sicuro alle AWS risorse e alle risorse della rete locale. Con ClientVPN, puoi accedere alle tue risorse da qualsiasi luogo utilizzando un client basato su OpenVPN. VPN

Argomenti

• Caratteristiche del client VPN
• Componenti del client VPN
• Lavorare con il cliente VPN
• Prezzi per il cliente VPN
• Regole e migliori pratiche

Caratteristiche del client VPN

Client VPN offre le seguenti caratteristiche e funzionalità:

• Connessioni sicure: fornisce una TLS connessione sicura da qualsiasi posizione utilizzando il VPN client Open.

• Servizio gestito: è un servizio AWS gestito, quindi elimina l'onere operativo dell'implementazione e della gestione di una VPN soluzione di accesso remoto di terze parti.

• Disponibilità ed elasticità elevate: si adatta automaticamente al numero di utenti che si connettono alle tue AWS risorse e alle risorse locali.

• Autenticazione: supporta l'autenticazione client utilizzando Active Directory, l'autenticazione federata e l'autenticazione basata su certificati.

• Controllo granulare: consente di implementare controlli di sicurezza personalizzati tramite la definizione di regole di accesso di rete. Tali regole possono essere configurate a livello di gruppi di Active Directory. Puoi implementare il controllo degli accessi anche utilizzando i gruppi di sicurezza.

• Facilità d'uso: consente di accedere alle AWS risorse e alle risorse locali utilizzando un unico tunnel. VPN

• Gestibilità: consente di visualizzare i log di connessione che forniscono informazioni sui tentativi di connessione dei client. Puoi inoltre gestire le connessioni client attive con la possibilità di terminarle.

• Integrazione profonda: si integra con i AWS servizi esistenti, tra cui AWS Directory Service AmazonVPC.

Componenti del client VPN

Di seguito sono riportati i concetti chiave per ClientVPN:

VPNEndpoint del client

L'VPNendpoint Client è la risorsa creata e configurata per abilitare e gestire le sessioni clientVPN. È il punto di terminazione per tutte le sessioni clientVPN.

Rete target

Una rete di destinazione è la rete associata a un VPN endpoint Client. Una sottorete di a VPC è una rete di destinazione. L'associazione di una sottorete a un VPN endpoint Client consente di stabilire sessioni. VPN È possibile associare più sottoreti a un endpoint Client VPN per un'elevata disponibilità. Tutte le sottoreti devono provenire dalla stessa. VPC Ogni sottorete deve appartenere a una zona di disponibilità diversa.

Route

Ogni VPN endpoint Client dispone di una tabella di routing che descrive le rotte di rete di destinazione disponibili. Ogni route nella tabella di routing specifica il percorso del traffico a determinate risorse o reti.

Regole di autorizzazione

Una regola di autorizzazione limita gli utenti che possono accedere a una rete. Per una rete specificata, configuri il gruppo di Active Directory o provider di identità (IdP) a cui è consentito accedere. Solo gli utenti appartenenti a questo gruppo possono accedere alla rete specificata. Per impostazione predefinita, non sono definite regole di autorizzazione ed è necessario configurarle per consentire agli utenti di accedere alle risorse e alle reti.

Client

L'utente finale che si connette all'VPNendpoint Client per stabilire una VPN sessione. Gli utenti finali devono scaricare un VPN client Open e utilizzare il file di VPN configurazione del client creato per stabilire una VPN sessione.

CIDRIntervallo di client

Intervallo di indirizzi IP da cui assegnare gli indirizzi IP del client. A ogni connessione all'VPNendpoint Client viene assegnato un indirizzo IP univoco dall'CIDRintervallo di client. Si sceglie l'CIDRintervallo di client, ad esempio,10.2.0.0/16.

VPNPorte client

AWS Client VPN supporta le porte 443 e 1194 per entrambe TCP e. UDP La porta 443 è predefinita.

Interfacce di rete client VPN

Quando associ una sottorete all'VPNendpoint Client, creiamo interfacce di VPN rete Client in quella sottorete. Il traffico inviato all'VPNendpoint Client viene inviato tramite un'interfaccia di rete Client. VPC VPN Viene quindi applicata la traduzione dell'indirizzo di rete di origine (SNAT), in cui l'indirizzo IP di origine dell'CIDRintervallo di client viene tradotto nell'indirizzo IP dell'interfaccia di VPN rete del client.

Registrazione delle connessioni

È possibile abilitare la registrazione della connessione per l'VPNendpoint Client per registrare gli eventi di connessione. È possibile utilizzare queste informazioni per eseguire analisi forensi, analizzare come viene utilizzato l'VPNendpoint Client o risolvere problemi di connessione.

Portale self-service

Client VPN fornisce un portale self-service come pagina Web agli utenti finali per scaricare la versione più recente di AWS VPN Desktop Client e l'ultima versione del file di configurazione dell'VPNendpoint Client, che contiene le impostazioni necessarie per connettersi al proprio endpoint. L'amministratore dell'VPNendpoint Client può abilitare o disabilitare il portale self-service per l'endpoint Client. VPN Il portale self-service è un servizio globale supportato da stack di servizi nelle seguenti regioni: Stati Uniti orientali (Virginia settentrionale), Asia Pacifico (Tokyo), Europa (Irlanda) e (Stati Uniti occidentali). AWS GovCloud

Lavorare con il cliente VPN

Puoi lavorare con Client VPN in uno dei seguenti modi:

AWS Management Console

La console fornisce un'interfaccia utente basata sul Web per ClientVPN. Se ti sei registrato a Account AWS, puoi accedere alla VPC console Amazon e selezionare Client VPN nel riquadro di navigazione.

AWS Command Line Interface (AWS CLI)

AWS CLI Fornisce l'accesso diretto al VPN pubblico del ClienteAPIs. ed è supportata su Windows, macOS e Linux. Per ulteriori informazioni su come iniziare a usare AWS CLI, consulta la Guida AWS Command Line Interface per l'utente. Per ulteriori informazioni sui comandi per ClientVPN, vedere AWS CLI Command Reference.

AWS Tools for Windows PowerShell

AWS fornisce comandi per un'ampia gamma di AWS offerte per coloro che utilizzano script nell'PowerShell ambiente. Per ulteriori informazioni su come iniziare a utilizzare AWS Tools for Windows PowerShell, consulta la Guida per l'utente di AWS Tools for Windows PowerShell. Per ulteriori informazioni sui cmdlet per ClientVPN, vedere la Guida di riferimento ai cmdlet.AWS Tools for Windows PowerShell

Query API

Client VPN HTTPS Query API consente l'accesso programmatico a Client VPN e AWS. La HTTPS Query API consente di inviare HTTPS richieste direttamente al servizio. Quando si utilizza il HTTPSAPI, è necessario includere il codice per firmare digitalmente le richieste utilizzando le proprie credenziali. Per ulteriori informazioni, consulta Operazioni di AWS Client VPN.

Prezzi per il cliente VPN

Ti viene addebitato un costo per ogni associazione di endpoint e ogni VPN connessione su base oraria. Per ulteriori informazioni, consulta Prezzi di AWS Client VPN.

Ti viene addebitato il costo del trasferimento dei dati da Amazon EC2 a Internet. Per ulteriori informazioni, consulta Data Transfer on the Amazon EC2 On-Demand Pricing.

Se abiliti la registrazione delle connessioni per il tuo VPN endpoint Client, devi creare un gruppo di log CloudWatch Logs nel tuo account. Si applicano addebiti per l'utilizzo dei gruppi di log. Per ulteriori informazioni, consulta CloudWatch i prezzi di Amazon (in Piano a pagamento, scegli Logs).

Se abiliti il gestore di connessione client per l'VPNendpoint Client, devi creare e richiamare una funzione Lambda. Per richiamare le funzioni Lambda sono previsti costi aggiuntivi. Per ulteriori informazioni, consulta Prezzi di AWS Lambda.

Gli VPN endpoint client sono associati a una rete di destinazione, che è una sottorete in un. VPC Se VPC dispone di un Internet Gateway, associamo gli indirizzi IP elastici alle interfacce di rete VPN elastiche del client (ENIs). Questi indirizzi IP elastici vengono addebitati come indirizzi pubblici IPv4 in uso. Per ulteriori informazioni, consulta la scheda IPv4 Indirizzo pubblico nella pagina dei VPC prezzi.