Redes de destino - AWSClient VPN

Redes de destino

Uma rede de destino é uma sub-rede em uma VPC. Um endpoint do Client VPN deve ter pelo menos uma rede de destino para permitir que os clientes se conectar a ele e estabeleçam uma conexão VPN.

Para obter mais informações sobre os tipos de acesso que você pode configurar (como permitir que os clientes acessem a Internet), consulte Cenários e exemplos.

Associa uma rede de destino a um endpoint do Client VPN.

Você pode associar uma ou mais redes de destino (sub-redes) a um endpoint do Client VPN.

As seguintes regras se aplicam:

  • A sub-rede deve ter um bloco CIDR com pelo menos uma máscara de bits /27, por exemplo 10.0.0.0/27. A sub-rede deve ter pelo menos 8 endereços IP disponíveis.

  • O bloco CIDR da sub-rede não pode se sobrepor ao intervalo CIDR cliente do endpoint do Client VPN.

  • Se você associar mais de uma sub-rede a um endpoint do Client VPN, cada sub-rede deverá estar em uma zona de disponibilidade diferente. Recomendamos que você associe pelo menos duas sub-redes para fornecer redundância de zona de disponibilidade.

  • Se você especificou uma VPC ao criar o endpoint do Client VPN, a sub-rede deverá estar na mesma VPC. Se você ainda não associou uma VPC ao endpoint do Client VPN, poderá escolher qualquer sub-rede em qualquer VPC.

    Todas as associações de sub-rede adicionais devem ser na mesma VPC. Para associar uma sub-rede de uma VPC diferente, primeiro você deve modificar o endpoint do Client VPN e alterar a VPC associada a ele. Para obter mais informações, consulte Modificar um endpoint do Client VPN.

Quando você associa uma sub-rede a um endpoint do Client VPN, nós adicionamos automaticamente a rota local da VPC na qual a sub-rede associada está provisionada à tabela de rotas do endpoint do Client VPN.

nota

Depois que as redes de destino forem associadas, quando você adicionar ou remover CIDRs adicionais à VPC anexada, você deverá executar uma das seguintes operações para atualizar a rota local da tabela de rotas de endpoint do Client VPN:

  • Desassocie o endpoint do Client VPN da rede de destino e, em seguida, associe-o novamente.

  • Adicione manualmente a rota ou remova-a da tabela de rotas do endpoint do Client VPN.

Depois de associar a primeira sub-rede ao endpoint do Client VPN, o status do endpoint do Client VPN muda de pending-associate para available, e os clientes podem estabelecer uma conexão VPN.

Como associar uma rede de destino a um endpoint do Client VPN (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Client VPN Endpoints (Endpoints do Client VPN).

  3. Selecione o endpoint do Client VPN ao qual associar a rede de destino, escolha Associations (Associações) e escolha Associate (Associar).

  4. Para VPC, selecione a VPC na qual a sub-rede está localizada. Se você especificou uma VPC ao criar o endpoint do Client VPN ou se tiver associações de sub-rede anteriores, ela deverá ser a mesma VPC.

  5. Em Subnet to associate (Sub-rede para associar), escolha a sub-rede a ser associada ao endpoint do Client VPN.

  6. Escolha Associate (Associar).

Para associar uma rede de destino a um endpoint do Client VPN (AWS CLI)

Use o comando associate-client-vpn-target-network.

Aplicar um grupo de segurança a uma rede de destino

Ao criar um endpoint do Client VPN, você pode especificar os grupos de segurança a serem aplicados à rede de destino. Quando você associa a primeira rede de destino a um endpoint do Client VPN, aplicamos automaticamente o grupo de segurança padrão da VPC na qual a sub-rede associada está localizada. Para obter mais informações, consulte Grupos de segurança.

Você pode alterar os grupos de segurança para o endpoint do Client VPN. As regras de grupo de segurança de que você precisa dependem do tipo de acesso VPN que você deseja configurar. Para obter mais informações, consulte Cenários e exemplos.

Para aplicar um grupo de segurança a uma rede de destino (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Client VPN Endpoints (Endpoints do Client VPN).

  3. Selecione o endpoint do Client VPN ao qual aplicar os grupos de segurança.

  4. Escolha Grupos de segurança, selecione o grupo de segurança atual e escolha Aplicar grupos de segurança.

  5. Selecione os novos grupos de segurança na lista e escolha Aplicar grupos de segurança.

Para aplicar um grupo de segurança a uma rede de destino (AWS CLI)

Use o comando apply-security-groups-to-client-vpn-target-network.

Desassociar uma rede de destino de um endpoint do Client VPN

Se você desassociar todas as redes de destino de um endpoint do Client VPN, os clientes não poderão mais estabelecer uma conexão VPN. Quando você desassocia uma sub-rede, removemos a rota que foi criada automaticamente quando a associação foi feita.

Como desassociar uma rede de destino de um endpoint do Client VPN (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Client VPN Endpoints (Endpoints do Client VPN).

  3. Selecione o endpoint do Client VPN ao qual a rede de destino está associada e escolha Associations (Associações).

  4. Selecione a rede de destino a ser desassociada, escolha Disassociate (Desassociar) e escolha Yes, Disassociate (Sim, desassociar).

Para desassociar uma rede de destino de um endpoint do Client VPN (AWS CLI)

Use o comando disassociate-client-vpn-target-network.

Visualizar redes de destino

Você pode visualizar os destinos associados a um endpoint do Client VPN usando o console ou a AWS CLI.

Para visualizar redes de destino (console)

  1. Abra o console da Amazon VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Client VPN Endpoints (Endpoints do Client VPN).

  3. Selecione o endpoint do Client VPN e escolha Associations (Associações).

Para visualizar redes de destino usando a AWS CLI

Use o comando describe-client-vpn-target-networks.