AWS Client VPN 是什麼? - AWS Client VPN

AWS Client VPN 是什麼?

AWS Client VPN 是受管的用戶端型 VPN 服務,能讓您安全存取 AWS 資源和現場部署網路中的資源。透過 Client VPN,您可以從任何地方使用以 OpenVPN 為基礎的 VPN 用戶端存取您的資源。

Client VPN 的功能

Client VPN 提供以下特色和功能:

  • 安全連線 – 支援從任何地方使用 OpenVPN 用戶端建立安全的 TLS 連線。

  • 受管服務 – 它是 AWS 受管服務,免去部署和管理第三方遠端存取 VPN 解決方案的操作負擔。

  • 高可用性又有彈性 – 隨著連線到您的 AWS 資源和內部部署資源的使用者人數而自動擴展。

  • 身份驗證 – 支援使用 Active Directory、聯合身份驗證和以憑證為基礎的身份驗證進行用戶端身份驗證。

  • 精細控制 – 可讓您定義以網路為基礎的存取規則,以實作自訂安全控制。這些規則的設定可達到 Active Directory 群組的精細度。您也可以使用安全群組來實作存取控制。

  • 易於使用 – 可讓您使用單一 VPN 通道存取您的 AWS 資源與現場部署資源。

  • 可管理性 – 可讓您查看連線日誌,其中提供用戶端連線嘗試的詳細資訊。您也可以管理作用中用戶端連線,允許您終止作用中用戶端連線。

  • 深度整合 – 與現有的 AWS 服務整合,包括 AWS Directory Service 和 Amazon VPC。

Client VPN 的元件

以下是 Client VPN 的重要概念:

用戶端 VPN 端點

Client VPN 端點是您為了啟用和管理 Client VPN 工作階段而建立及設定的資源。此資源是所有用戶端 VPN 工作階段的終點。

目標網路

目標網路是與 Client VPN 端點相關聯的網路。始於 VPC 的子網路是目標網路。將子網路與 Client VPN 端點建立關聯可讓您建立 VPN 工作階段。您可以將多個子網路與 Client VPN 端點建立關聯,以獲得高可用性。所有子網路必須來自相同的 VPC。每個子網路必須屬於不同的可用區域。

路由

每個用戶端 VPN 端點都有路由表來描述可用的目標網路路由。路由表中的每個路由指定流量流向特定資源或網路的路徑。

授權規則

授權規則限制可存取網路的使用者。針對指定的網路,您可以設定允許存取的 Active Directory 或身分提供者 (IdP) 群組。只有屬於此群組的使用者才能存取指定的網路。在預設情況下沒有授權規則,您必須設定授權規則讓使用者存取資源和網路。

用戶端

連線到 Client VPN 端點以建立 VPN 工作階段的最終使用者。最終使用者需要下載 OpenVPN 用戶端,並使用您建立的用戶端 VPN 組態檔案來建立 VPN 工作階段。

用戶端 CIDR 範圍

要指派用戶端 IP 位址的來源 IP 位址範圍。每個與 Client VPN 端點的連線都會從用戶端 CIDR 範圍指派唯一的 IP 位址。您可以選擇用戶端 CIDR 範圍,例如 10.2.0.0/16

用戶端 VPN 連接埠

AWS Client VPN 同時支援 TCP 和 UDP 的連接埠 443 和 1194。預設值為連接埠 443。

Client VPN 網路界面

當您將子網路與 Client VPN 端點建立關聯時,我們會在該子網路中建立 Client VPN 網路界面。從 Client VPN 端點傳送至 VPC 的流量是透過 Client VPN 網路界面傳送。接著會套用來源網路位址轉譯 (SNAT),其中來源 IP 位址會從用戶端 CIDR 範圍轉譯成 Client VPN 網路界面 IP 位址。

連線日誌記錄

您可以啟用 Client VPN 端點的連線日誌,以記錄連線事件。您可以使用此資訊來執行鑑識、分析 Client VPN 端點的使用方式,或偵錯連線問題。

自助式入口網站

您可以為您的 Client VPN 端點啟用自助式入口網站。用戶端可以使用自己的登入資料,登入以 Web 為基礎的入口網站,並下載最新版本的 Client VPN 端點組態檔案,或是 AWS 提供用戶端的最新版本。

使用 Client VPN

您可以透過以下任何方式來使用 Client VPN:

Amazon VPC 主控台

Amazon VPC 主控台為 Client VPN 提供 Web 型使用者界面。如果您已註冊 AWS 帳戶,您可以登入 Amazon VPC 主控台,然後在導覽窗格中選取 Client VPN。

AWS 命令列界面 (CLI)

AWS CLI 提供直接存取 Client VPN 公有 API。Windows、macOS 和 Linux 都提供支援。如需開始使用 AWS CLI 的詳細資訊,請參閱《AWS 命令列界面使用者指南》。如需 Client VPN 命令的詳細資訊,請參閱《AWS CLI 命令參考》。

適用於 Windows PowerShell 的 AWS 工具

對於在 PowerShell 環境中編寫指令碼的使用者,AWS 提供許多 AWS 產品的命令。如需適用於 Windows PowerShell 的 AWS 工具入門的詳細資訊,請參閱《適用於 Windows PowerShell 的 AWS 工具使用者指南》。如需 Client VPN 的 Cmdlet 詳細資訊,請參閱《適用於 Windows PowerShell 的 AWS 工具 Cmdlet 參考》。

查詢 API

Client VPN HTTPS 查詢 API 可讓您以程式設計方式存取 Client VPN 和 AWS。HTTPS 查詢 API 可讓您直接向該服務發出 HTTPS 請求。當您使用 HTTPS API 時,必須包含程式碼來使用您的登入資料以數位簽署請求。如需詳細資訊,請參閱《Client VPN API 參考》。

Client VPN 的限制和規則

Client VPN 具有下列規則和限制:

  • 用戶端 CIDR 範圍與相關聯子網路所在的 VPC 的本機 CIDR 不可重疊,或與手動新增到 Client VPN 端點路由表的任何路由不可重疊。

  • 用戶端 CIDR 範圍必須有至少為 /22 且不可大於 /12 的區塊大小。

  • 用戶端 CIDR 範圍中的一部分位址用於支援 Client VPN 端點的可用性模型,而且無法指派給用戶端。因此,建議您指派 CIDR 區塊,其中包含您計劃在 Client VPN 端點上支援同時連線數目上限所需 IP 位址數目兩倍的 IP 位址數目。

  • 建立 Client VPN 端點之後,就無法變更用戶端 CIDR 範圍。

  • 與 Client VPN 端點相關聯的子網路必須位於同一個 VPC 中。

  • 您不能將來自相同可用區域的多個子網路與一個 Client VPN 端點建立關聯。

  • Client VPN 端點不支援專用租用 VPC 中的子網路關聯。

  • Client VPN 僅支援 IPv4 流量。

  • Client VPN 不符合聯邦資訊處理標準 (FIPS)。

  • 如果您的 Active Directory 停用 Multi-Factor Authentication (MFA),則使用者密碼不能使用下列格式。

    SCRV1:<base64_encoded_string>:<base64_encoded_string>
  • 使用交互身份驗證進行身份驗證的用戶端無法使用自助式入口網站。

Client VPN 的定價

我們依照每個 Client VPN 端點的每個作用中關聯,按小時計費。按小時的比例分配來計費。

我們依照每個用戶端 VPN 連線,按小時計費。按小時的比例分配來計費。

如需詳細資訊,請參閱 AWS Client VPN 定價

如果您啟用 Client VPN 端點的連線日誌記錄,則必須在帳戶中建立 CloudWatch Logs 日誌群組。使用日誌群組需支付費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價

如果您為 Client VPN 端點啟用用戶端連線處理器,就必須建立並呼叫 Lambda 函數。呼叫 Lambda 函數需支付費用。如需詳細資訊,請參閱 AWS Lambda 定價