什么是 AWS Client VPN？

AWS Client VPN 是一项基于客户端的托管 VPN 服务，可让您安全地访问本地网络中的 AWS 资源和资源。借助 Client VPN，您可以使用基于 OpenVPN 的 VPN 客户端从任何位置访问您的资源。

目录

• Client VPN 的特性
• Client VPN 的组件
• 使用 Client VPN
• Client VPN 的定价
• 规则和最佳实践

Client VPN 的特性

Client VPN 提供以下特性和功能：

• 安全连接 – 它使用 OpenVPN 客户端从任何位置提供安全的 TLS 连接。

• 托管服务 — 它是一项 AWS 托管服务，因此它消除了部署和管理第三方远程访问 VPN 解决方案的运营负担。

• 高可用性和弹性 — 它会根据连接到您的 AWS 资源和本地资源的用户数量自动扩展。

• 身份验证 – 支持使用 Active Directory、联合身份验证和基于证书的身份验证进行客户端身份验证。

• 精细控制 – 可以让您通过定义基于网络的访问规则来实施自定义安全控制。可以在 Active Directory 组的粒度配置这些规则。您还可以使用安全组实施访问控制。

• 易用性 — 它使您能够使用单个 VPN 隧道访问您的 AWS 资源和本地资源。

• 可管理性 – 它可让您查看连接日志，其中提供有关客户端连接尝试的详细信息。您还可以管理活跃的客户端连接，并且可以终止活跃的客户端连接。

• 深度集成 — 它与现有 AWS 服务（包括 AWS Directory Service 和 Amazon VPC）集成。

Client VPN 的组件

以下是 Client VPN 的主要概念：

Client VPN 终端节点

Client VPN 终端节点是您创建并配置以用于启用和管理 Client VPN 会话的资源。这是所有 Client VPN 会话的终止点。

目标网络

目标网络是与 Client VPN 终端节点关联的网络。VPC 中的子网是目标网络。通过将子网与 Client VPN 终端节点关联，您可以建立 VPN 会话。您可以将多个子网与一个 Client VPN 终端节点关联以实现高可用性。所有子网都必须来自同一 VPC。每个子网都必须属于不同的可用区。

路由

每个 Client VPN 终端节点都具有一个路由表，用于描述可用的目标网络路由。路由表中的每个路由都指定了到特定资源或网络的途径。

授权规则

授权规则限制可访问网络的用户。对于指定的网络，您可以配置允许访问的 Active Directory 或身份提供商 (IdP) 组。只有属于此组的用户才能访问指定的网络。默认情况下，没有授权规则，您必须配置授权规则来允许用户访问资源和网络。

客户端

连接到 Client VPN 终端节点以建立 VPN 会话的终端用户。终端用户需要下载 OpenVPN 客户端，并使用您创建的 Client VPN 配置文件来建立 VPN 会话。

客户端 CIDR 范围

从中分配客户端 IP 地址的 IP 地址范围。将从客户端 CIDR 范围中为每个到 Client VPN 终端节点的连接分配一个唯一的 IP 地址。您可以选择客户端 CIDR 范围，例如 10.2.0.0/16。

Client VPN 端口

AWS Client VPN 支持 TCP 和 UDP 端口 443 和 1194。默认值为端口 443。

Client VPN 网络接口

当您将子网与 Client VPN 终端节点关联时，我们在该子网中创建 Client VPN 网络接口。从 Client VPN 终端节点发送到 VPC 的流量将通过 Client VPN 网络接口发送。然后应用源网络地址转换 (SNAT)，将客户端 CIDR 范围内的源 IP 地址转换为 Client VPN 网络接口 IP 地址。

连接日志记录

您可以为 Client VPN 终端节点启用连接日志记录以记录连接事件。您可以使用此信息运行取证、分析 Client VPN 终端节点的使用方式或调试连接问题。

自助服务门户

Client VPN 为终端用户提供自助服务门户网页，他们可以通过该网页下载最新版 Amazon VPN Desktop Client 和最新版 Client VPN 端点配置文件，该配置文件中包括连接到其端点所需的设置。Client VPN 端点管理员可以为 Client VPN 端点启用或禁用自助服务门户。自助服务门户是一项全球服务，由以下地区的服务堆栈提供支持：美国东部（弗吉尼亚北部）、亚太地区（东京）、欧洲（爱尔兰）和 AWS GovCloud （美国西部）。

使用 Client VPN

您可以通过以下任何方式使用 Client VPN：

AWS Management Console

控制台为 Client VPN 提供基于 Web 的用户界面。如果您已经注册了 AWS 账户，则可以登录 Amazon VPC 控制台，然后在导航窗格中选择 Client VPN。

AWS Command Line Interface (AWS CLI)

AWS CLI 提供对 Client VPN 公共 API 的直接访问。它在 Windows、macOS 和 Linux 上受支持。有关入门的更多信息 AWS CLI，请参阅《AWS Command Line Interface 用户指南》。有关 Client VPN 命令的更多信息，请参阅 AWS CLI 命令参考。

AWS Tools for Windows PowerShell

AWS 为那些在PowerShell 环境中编写脚本的用户提供了一系列 AWS 产品的命令。有关 AWS Tools for Windows PowerShell入门的更多信息，请参阅 AWS Tools for Windows PowerShell 用户指南。如需详细了解 Client VPN 的 cmdlet，请参阅 AWS Tools for Windows PowerShell Cmdlet 参考。

查询 API

Client VPN HTTPS 查询 API 允许你以编程方式访问客户端 VPN 和 AWS。HTTPS 查询 API 可让您直接向服务发布 HTTPS 请求。使用 HTTPS API 时，必须添加代码，才能使用您的凭证对请求进行数字化签名。有关更多信息，请参阅 AWS Client VPN 操作。

Client VPN 的定价

您需要按小时为每个终端节点关联和每个 VPN 连接付费。有关更多信息，请参阅AWS Client VPN 定价。

您需要为从 Amazon EC2 传出到互联网的数据付费。有关更多信息，请参阅 Amazon EC2 按需定价页面上的数据传输。

如果您为 Client VPN 终端节点启用连接 CloudWatch 日志，则必须在您的账户中创建日志组。使用日志组需支付费用。有关更多信息，请参阅 Amazon CloudWatch 定价（在 “付费套餐” 下，选择 “日志”）。

如果为 Client VPN 终端节点启用客户端连接处理程序，则必须创建并调用 Lambda 函数。调用 Lambda 函数需支付费用。有关更多信息，请参阅AWS Lambda 定价。

Client VPN 终端节点与目标网络相关联，目标网络是 VPC 中的子网。如果此 VPC 有 Internet Gateway，我们会将弹性 IP 地址与客户端 VPN 的弹性网络接口 (ENI) 相关联。这些弹性 IP 地址按使用中的公有 IPv4 地址收费。有关更多信息，请参阅 V PC 定价页面上的公有 IPv4 地址选项卡。