ターゲットネットワーク - AWS クライアント VPN

ターゲットネットワーク

ターゲットネットワークは、VPC のサブネットです。クライアントがクライアント VPN エンドポイントに接続し、VPN 接続を確立するためには、クライアント VPN エンドポイントに少なくとも 1 つのターゲットネットワークが必要です。

設定できるアクセスの種類 (クライアントからインターネットへのアクセスなど) の詳細については、「シナリオと例」を参照してください。

ターゲットネットワークをクライアント VPN エンドポイントに関連付ける

1 つ以上のターゲットネットワーク (サブネット) をクライアント VPN エンドポイントに関連付けることができます。

以下のルールが適用されます。

  • サブネットには、少なくとも /27 ビットマスク (10.0.0.0/27 など) を持つ CIDR ブロックが必要です。サブネットには最低 8 個の利用可能な IP アドレスも必要です。

  • サブネットの CIDR ブロックは、クライアント VPN エンドポイントのクライアント CIDR 範囲と重複できません。

  • 複数のサブネットをクライアント VPN エンドポイントに関連付ける場合、各サブネットは異なるアベイラビリティーゾーンに存在する必要があります。アベイラビリティーゾーンの冗長性を提供するために、少なくとも 2 つのサブネットを関連付けることをお勧めします。

  • クライアント VPN エンドポイントの作成時に VPC を指定した場合、サブネットは同じ VPC 内にある必要があります。VPC をクライアント VPN エンドポイントにまだ関連付けていない場合、任意の VPC 内のサブネットを選択できます。

    それ以降のすべてのサブネットの関連付けは、同じ VPC から行う必要があります。別の VPC からのサブネットを関連付けるには、まずクライアント VPN エンドポイントを変更し、それに関連付けられている VPC を変更する必要があります。詳細については、「クライアント VPN エンドポイントを変更する」を参照してください。

サブネットをクライアント VPN エンドポイントに関連付けると、そのサブネットがプロビジョニングされたところの VPC のローカルルートが自動的にクライアント VPN エンドポイントのルートテーブルに追加されます。

注記

ターゲットネットワークが関連付けられた後に、アタッチされた VPC に CIDR をさらに追加したり、削除したりする場合は、次のいずれかの操作を実行して、クライアント VPN エンドポイントルートテーブルのローカルルートを更新する必要があります。

  • クライアント VPN エンドポイントの関連付けをターゲットネットワークから解除してから、クライアント VPN エンドポイントをターゲットネットワークに関連付けます。

  • クライアント VPN エンドポイントルートテーブルにルートを手動で追加するか、クライアント VPN エンドポイントルートテーブルからルートを削除します。

最初のサブネットをクライアント VPN エンドポイントに関連付けると、クライアント VPN エンドポイントのステータスが pending-associate から available に変わり、クライアントが VPN 接続を確立できるようになります。

ターゲットネットワークをクライアント VPN エンドポイントに関連付けるには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. ターゲットネットワークを関連付けるクライアント VPN エンドポイントを選択し、[Target network associations] (ターゲットネットワーク関連付け) を選択し、[Associate target network] (ターゲットネットワークを関連付ける) を選択します。

  4. [VPC] でサブネットが配置されている VPC を選択します。クライアント VPN エンドポイントの作成時に VPC を指定した場合、または以前のサブネットの関連付けがある場合は、同じ VPC である必要があります。

  5. [Choose a subnet to associate] (関連付けるサブネットを選択する) で、クライアント VPN エンドポイントに関連付けるサブネットを選択します。

  6. [Associate target network] (ターゲットネットワークを関連付ける) を選択します。

ターゲットネットワークをクライアント VPN エンドポイントに関連付けるには (AWS CLI)

associate-client-vpn-target-network コマンドを使用します。

セキュリティグループをターゲットネットワークに適用する

クライアント VPN エンドポイントを作成するときに、ターゲットネットワークに適用するセキュリティグループを指定できます。1 つ目のターゲットネットワークをクライアント VPN エンドポイントに関連付けると、関連付けられたサブネットが位置している VPC のデフォルトのセキュリティグループが自動的に適用されます。詳細については、「セキュリティグループ」を参照してください。

クライアント VPN エンドポイントのセキュリティグループを変更できます。必要なセキュリティグループルールは、設定する VPN アクセスの種類によって異なります。詳細については、「シナリオと例」を参照してください。

ターゲットネットワークにセキュリティグループを適用するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. セキュリティグループを適用するクライアント VPN エンドポイントを選択します。

  4. [Security Groups] (セキュリティグループ) を選択して、[Apply Security Groups] (セキュリティグループの適用) を選択します。

  5. [Security group IDs] (セキュリティグループ ID) から適切なセキュリティグループを選択します。

  6. [Assign Security Groups] (セキュリティグループの適用) を選択します。

ターゲットネットワークにセキュリティグループを適用するには (AWS CLI)

apply-security-groups-to-client-vpn-target-network コマンドを使用します。

ターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除する

すべてのターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除すると、クライアントは VPN 接続を確立できなくなります。サブネットの関連付けを解除した場合は、関連付けを行った際に自動的に作成されたルートが削除されます。

ターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. ターゲットネットワークが関連付けられているクライアント VPN エンドポイントを選択し、[Target network associations] (ターゲットネットワーク関連付け) を選択します。

  4. 関連付けを解除するターゲットネットワークを選択し、[Disassociate] (関連付け解除)、[Disassociate target network] (ターゲットネットワークの関連付け解除) の順に選択します。

ターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除するには (AWS CLI)

disassociate-client-vpn-target-network コマンドを使用します。

ターゲットネットワークの表示

クライアント VPN エンドポイントに関連付けられたターゲットを表示するには、コンソールまたは AWS CLI を使用します。

ターゲットネットワークを表示するには (コンソール)

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Client VPN Endpoints] (クライアント VPN エンドポイント) を選択します。

  3. 適切なクライアント VPN エンドポイントを選択し、[Target network associations] (ターゲットネットワーク関連付け) を選択します。

AWS CLI を使用してターゲットネットワークを表示するには

describe-client-vpn-target-networks コマンドを使用します。