Client VPN 端點 - AWS Client VPN
建立 Client VPN 端點。修改 Client VPN 端點檢視Client VPN 端點建立 Client VPN 端點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Client VPN 端點

所有用戶端的 VPN 工作階段都會在 Client VPN 端點終止。請設定 Client VPN 端點來管理和控制所有用戶端的 VPN 工作階段。

建立 Client VPN 端點。

建立 Client VPN 端點,讓您的用戶端建立 VPN 工作階段。

您必須在佈建所需目標網路的同一個 AWS 帳戶中建立 Client VPN。

必要條件

開始之前,請務必備妥下列項目:

建立 Client VPN 端點 (主控台)

  1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點),然後選擇 Create Client VPN Endpoint (建立 Client VPN 端點)

  3. (選用) 提供 Client VPN 端點的名稱標籤和說明。

  4. 對於 Client IPv4 CIDR (用戶端 IPv4 CIDR),以 CIDR 標記法指定 IP 地址範圍,以從中指派用戶端 IP 地址。例如,10.0.0.0/22

    注意

    IP 地址範圍不可以與目標網路或任何將與 Client VPN 端點建立關聯的路由重疊。用户端地址範圍必須至少為 /22 且不大於 /12 CIDR 區塊大小。建立 Client VPN 端點後,您無法變更用戶端地址範圍。

  5. 對於 Server certificate ARN (伺服器憑證 ARN),指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。

    注意

    伺服器憑證必須在您要建立 Client VPN 端點的區域中之 AWS Certificate Manager (ACM) 中存在。憑證可以使用 ACM 佈建,也可以匯入至 ACM。

  6. 指定當用戶端建立 VPN 連接時,用來驗證用戶端的身分驗證方法。您必須選取身分驗證方法。

    • 若要使用使用者型身分驗證,請選取 Use user-based authentication (使用使用者型身分驗證),然後選擇下列其中一項:

      • Active Directory authentication (Active Directory 身分驗證):為 Active Directory 身分驗證選擇此選項。針對 Directory ID (目錄 ID),指定要使用的 Active Directory ID。

      • Federated authentication (聯合身分驗證):為 SAML 型聯合身分驗證選擇此選項。

        若為 SAML provider ARN (SAML 提供者 ARN),請指定 IAM SAML 身分提供者的 ARN。

        (選用) 在 Self-service SAML provider ARN (自助式 SAML 提供者 ARN)中指定您為支援自助式入口網站所建立之 IAM SAML 身分提供者的 ARN (如果適用)。

    • 若要使用交互憑證驗證,請選取 Use mutual authentication (使用交互身分驗證),然後對於 Client certificate ARN (用戶端憑證 ARN),指定於 AWS Certificate Manager (ACM) 中佈建的用戶端憑證 ARN。

      注意

      如果伺服器和用戶端憑證是由同一家憑證授權機構 (CA) 所發行,則您可同時為伺服器和用戶端使用伺服器憑證 ARN。如果用戶端憑證是由不同的 CA 發出,則應該指定用戶端憑證 ARN。

  7. (選擇性) 對於連線記錄,請指定是否使用 Amazon Lo CloudWatch gs 記錄有關用戶端連線的資料。開啟 Enable log details on client connections (啟用用户端連線的日誌詳細資訊)。在記CloudWatch 錄檔記錄群組名稱中,輸入要使用的記錄群組名稱。對於CloudWatch 記錄檔資料流名稱,請輸入要使用的記錄串流名稱,或將此選項保留空白,讓我們為您建立記錄資料流。

  8. (選用) 對於 Client Connect Handler (用戶端連線處理常式),開啟 Enable client connect handler (啟用用戶端連線處理常式) 以執行自訂程式碼,允許或拒絕新的 Client VPN 端點連線。在 Client Connect Handler ARN (用戶端連線處理常式 ARN) 中指定 Lambda 函數的 Amazon 資源名稱 (ARN),此函數包含允許或拒絕連線的邏輯。

  9. (選用) 指定哪些 DNS 伺服器要用於 DNS 解析。若要使用自訂 DNS 伺服器,對於 DNS Server 1 IP address (DNS 伺服器 1 IP 地址)和 DNS Server 2 IP address (DNS 伺服器 2 IP 地址),請指定要使用的 DNS 伺服器 IP 地址。若要使用 VPC DNS 伺服器,對於 DNS Server 1 IP address (DNS 伺服器 1 IP 地址)或 DNS Server 2 IP address (DNS 伺服器 2 IP 地址),請指定 IP 地址,並新增 VPC DNS 伺服器 IP 地址。

    注意

    請確定用戶端可以觸達 DNS 伺服器。

  10. (選用) 根據預設,Client VPN 端點會使用 UDP 傳輸協定。若要改用 TCP 傳輸通訊協定,對於 Transport Protocol (傳輸通訊協定),請選擇 TCP

    注意

    UDP 的效能通常比 TCP 更好。建立 Client VPN 端點之後,即無法變更傳輸協定。

  11. (選用) 若要讓端點成為分割通道 Client VPN 端點,請開啟 Enable split-tunnel (啟用分割通道)。根據預設,Client VPN 端點上的分割通道會停用。

  12. (選用) 請為 VPC ID 選擇要與 Client VPN 端點建立關聯的 VPC。Security Group IDs (安全群組識別碼) 請選擇一或多個要套用至 Client VPN 端點的 VPC 安全群組。

  13. (選用) 對於 VPN port (VPN 連接埠),請選擇 VPN 連接埠號碼。預設為 443。

  14. (選用) 若要產生用戶端的自助式入口網站 URL,請選擇 Enable self-service portal (啟用自助式入口網站)。

  15. (選用) 對於 Session timeout hours (工作階段逾時時數),從可用選項中選擇所需的 VPN 工作階段持續時間上限 (以小時為單位),或保留設定為預設的 24 小時。

  16. (選用) 指定是否啟用用戶端登入橫幅文字。開啟 Enable client login banner (啟用用户端登入橫幅)。對於 Client Login Banner Text (用戶端登入橫幅文字),輸入當系統建立了 VPN 工作階段時,會在 AWS 提供的用戶端的橫幅中顯示的文字。僅限 UTF-8 編碼字元。最多 1400 個字元。

  17. 選擇 Create Client VPN Endpoint (建立 Client VPN 端點)。

建立 Client VPN 端點之後,請執行下列動作以完成組態並讓用戶端連線:

  • Client VPN 端點的初始狀態為 pending-associate。只有在您建立第一個目標網路的關聯後,用戶端才能連線到 Client VPN 端點。

  • 建立授權規則,以指定哪些用戶端具有網路的存取權。

  • 下載並準備 Client VPN 端點組態檔案,以發佈給用戶端。

  • 指示您的用戶端使用 AWS 提供的用戶端或其他 OpenVPN 型用戶端應用程式以連線到 Client VPN 端點。如需詳細資訊,請參閱《 使用者指南》AWS Client VPN

建立 Client VPN 端點 (AWS CLI)

使用 create-client-vpn-endpoint 命令。

修改 Client VPN 端點

建立 Client VPN 之後,您就可以修改下列任一設定:

  • 描述

  • 伺服器憑證

  • 用戶端連線日誌記錄選項

  • 用戶端連線處理常式選項

  • DNS 伺服器

  • 分割通道選項

  • 路由 (使用分割通道選項時)

  • 憑證撤銷清單 (CRL)

  • 授權規則

  • VPC 和安全群組關聯

  • VPN 連接埠號碼

  • 自助式入口網站選項

  • 最長 VPN 工作階段持續時間

  • 啟用或停用用戶端登入橫幅文字

  • 用戶端登入橫幅文字

注意

對 Client VPN 端點進行的修改,包括憑證撤銷清單 (CRL) 變更在內,將於 Client VPN 服務接受要求後的 4 小時內生效。

在建立 Client VPN 端點之後,您即無法修改用戶端 IPv4 CIDR 範圍、驗證選項、用戶端憑證或傳輸協定。

當您修改 Client VPN 端點上的下列參數時,連線會重設:

  • 伺服器憑證

  • DNS 伺服器

  • 分割通道選項 (開啟或關閉支援)

  • 路由 (當您使用分割通道選項時)

  • 憑證撤銷清單 (CRL)

  • 授權規則

  • VPN 連接埠號碼

您可以使用主控台或 AWS CLI 修改 Client VPN 端點。

修改 Client VPN 端點 (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。

  3. 選取要修改的 Client VPN 端點,選擇 Actions (動作),然後選擇 Modify Client VPN Endpoint (修改 Client VPN 端點)。

  4. Description (描述)中輸入 Client VPN 端點的簡短描述。

  5. 對於 Server certificate ARN (伺服器憑證 ARN),指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。

    注意

    伺服器憑證必須在您要建立 Client VPN 端點的區域中之 AWS Certificate Manager (ACM) 中存在。憑證可以使用 ACM 佈建,也可以匯入至 ACM。

  6. 指定是否使用 Amazon CloudWatch 日誌記錄有關用戶端連線的資料。對於 Enable log details on client connections (啟用用戶端連線的日誌詳細資訊),請執行以下其中一項:

    • 若要啟用用户端連線的日誌記錄,請開啟 Enable log details on client connections (啟用用户端連線的日誌詳細資訊)。在記CloudWatch錄檔記錄群組名稱中,選取要使用的記錄群組名稱。對於CloudWatch 記錄檔資料流名稱,請選取要使用的記錄串流名稱,或將此選項保留空白,讓我們為您建立記錄資料流。

    • 若要停用用户端連線的日誌記錄,請關閉 Enable log details on client connections (啟用用户端連線的日誌詳細資訊)。

  7. 對於 Client connect handler (Client 連線處理常式),若要啟用 client connect handler (用端連線處理常式),請開啟 Enable client connect handler (啟用用户端連線處理常式)。在 Client Connect Handler ARN (用戶端連線處理常式 ARN) 中指定 Lambda 函數的 Amazon 資源名稱 (ARN),此函數包含允許或拒絕連線的邏輯。

  8. 開啟或關閉 Enable DNS servers (啟用 DNS 伺服器)。若要使用自訂 DNS 伺服器,對於 DNS Server 1 IP address (DNS 伺服器 1 IP 地址)和 DNS Server 2 IP address (DNS 伺服器 2 IP 地址),請指定要使用的 DNS 伺服器 IP 地址。若要使用 VPC DNS 伺服器,對於 DNS Server 1 IP address (DNS 伺服器 1 IP 地址)或 DNS Server 2 IP address (DNS 伺服器 2 IP 地址),請指定 IP 地址,並新增 VPC DNS 伺服器 IP 地址。

    注意

    請確定用戶端可以觸達 DNS 伺服器。

  9. 開啟或關閉 Enable split-tunnel (啟用分割通道)。根據預設,VPN 端點上的分割通道會關閉。

  10. 對於 VPC ID,選擇要與 Client VPN 端點關聯的 VPC。Security Group IDs (安全群組識別碼) 請選擇一或多個要套用至 Client VPN 端點的 VPC 安全群組。

  11. 對於 VPN port (VPN 連接埠),請選擇 VPN 連接埠號碼。預設為 443。

  12. 若要產生用戶端的自助式入口網站 URL,請選擇 Enable self-service portal (啟用自助式入口網站)。

  13. 對於 Session timeout hours (工作階段逾時時數),從可用選項中選擇所需的 VPN 工作階段持續時間上限 (以小時為單位),或保留設定為預設的 24 小時。

  14. 開啟或關閉 Enable client login banner (啟用用户端登入橫幅)。如果您想要使用用戶端登入橫幅,輸入當系統建立 VPN 工作階段時,會在 AWS 提供的用戶端的橫幅中顯示的文字。僅限 UTF-8 編碼字元。最多 1400 個字元。

  15. 選擇 Modify Client VPN Endpoint (修改 Client VPN 端點)。

修改 Client VPN 端點 (AWS CLI)

使用 modify-client-vpn-endpoint 命令。

檢視Client VPN 端點

您可以使用主控台或 AWS CLI 來檢視 Client VPN 端點的相關資訊。

若要檢視 Client VPN 端點 (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。

  3. 選取要檢視的 Client VPN 端點。

  4. 使用 Details (詳細資訊)、Target network associations (目標網路關聯)、Security groups (安全群組)、Authorization rules (授權規則)、Route table (路由表)、Connections (連線) 和 Tags (標籤) 標籤來查看有關現有 Client VPN 端點的資訊。

    您可以使用篩選條件來協助縮小搜尋範圍。

若要檢視 Client VPN 端點 (AWS CLI)

使用 describe-client-vpn-endpoints 命令。

建立 Client VPN 端點

您必須取消所有關聯的目標網路,才能刪除 Client VPN 端點。當您刪除 Client VPN 端點後,其狀態會變更為 deleting,而且用戶端無法再連線到該端點。

您可以使用主控台或 AWS CLI 刪除 Client VPN 端點。

刪除 Client VPN 端點 (主控台)

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Client VPN Endpoints (Client VPN 端點)。

  3. 選取要刪除的 Client VPN 端點。選擇 Actions (動作)、Delete Client VPN endpoint (刪除 Client VPN 端點)。

  4. 在確認視窗中輸入 delete (刪除),然後選擇 Delete (刪除)。

刪除 Client VPN 端點 (AWS CLI)

使用 delete-client-vpn-endpoint 命令。