Was ist AWS Client VPN? - AWS Client VPN

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS Client VPN?

AWS Client VPN ist ein verwalteter clientbasierter VPN Dienst, mit dem Sie sicher auf Ihre AWS Ressourcen und Ressourcen in Ihrem lokalen Netzwerk zugreifen können. Mit Client VPN können Sie mit einem VPN Open-basierten VPN Client von jedem Ort aus auf Ihre Ressourcen zugreifen.

Funktionen des Clients VPN

Der Client VPN bietet die folgenden Merkmale und Funktionen:

  • Sichere Verbindungen — Mithilfe des VPN Open-Clients wird von jedem Standort aus eine sichere TLS Verbindung hergestellt.

  • Managed Service — Es handelt sich um einen AWS verwalteten Service, sodass der betriebliche Aufwand für die Bereitstellung und Verwaltung einer VPN Fernzugriffslösung eines Drittanbieters entfällt.

  • Hohe Verfügbarkeit und Elastizität — Die Lösung passt sich automatisch der Anzahl der Benutzer an, die eine Verbindung zu Ihren AWS Ressourcen und lokalen Ressourcen herstellen.

  • Authentifizierung – Der Service unterstützt die Client-Authentifizierung mithilfe von Active Directory, die Verbundauthentifizierung und die zertifikatbasierte Authentifizierung.

  • Detaillierte Kontrolle – Mit diesem Service können Sie benutzerdefinierte Sicherheitskontrollen implementieren, indem Sie netzwerkbasierte Zugriffsregeln definieren. Diese Regeln können unter Berücksichtigung der Granularität von Active Directory-Gruppen konfiguriert werden. Sie können die Zugriffskontrolle auch mit Sicherheitsgruppen implementieren.

  • Benutzerfreundlichkeit — Es ermöglicht Ihnen den Zugriff auf Ihre AWS Ressourcen und lokalen Ressourcen über einen einzigen VPN Tunnel.

  • Verwaltbarkeit – Sie können Verbindungsprotokolle anzeigen, die Details zu Client-Verbindungsversuchen zur Verfügung stellen. Sie können aktive Client-Verbindungen auch verwalten, und zwar mit der Möglichkeit, diese Verbindungen zu beenden.

  • Tiefe Integration — Es lässt sich in bestehende AWS Dienste integrieren, einschließlich AWS Directory Service AmazonVPC.

Komponenten des Clients VPN

Im Folgenden sind die wichtigsten Konzepte für Client aufgeführtVPN:

VPNClient-Endpunkt

Der VPN Client-Endpunkt ist die Ressource, die Sie erstellen und konfigurieren, um VPN Clientsitzungen zu aktivieren und zu verwalten. Er ist der Endpunkt für alle VPN Clientsitzungen.

Ziel-Netzwerk

Ein Zielnetzwerk ist das Netzwerk, das Sie einem VPN Client-Endpunkt zuordnen. Ein Subnetz von a VPC ist ein Zielnetzwerk. Wenn Sie ein Subnetz einem VPN Client-Endpunkt zuordnen, können Sie Sitzungen einrichten. VPN Sie können einem VPN Client-Endpunkt mehrere Subnetze zuordnen, um eine hohe Verfügbarkeit zu gewährleisten. Alle Subnetze müssen aus demselben stammen. VPC Jedes Subnetz muss einer anderen Availability Zone angehören.

Route

Jeder VPN Client-Endpunkt hat eine Routentabelle, in der die verfügbaren Zielnetzwerkrouten beschrieben werden. Jede Route in der Routing-Tabelle gibt den Pfad für den Datenverkehr zu bestimmten Ressourcen oder zu Netzwerken an.

Autorisierungsregeln

Eine Autorisierungsregel beschränkt die Benutzer, die auf ein Netzwerk zugreifen können. Sie können für ein bestimmtes Netzwerk die Active Directory- oder Identitätsanbietergruppe konfigurieren, die Zugriff erhalten soll. Nur Benutzer, die dieser Gruppe angehören, können auf das angegebene Netzwerk zugreifen. Standardmäßig gibt es keine Autorisierungsregeln. Sie müssen Autorisierungsregeln konfigurieren, damit Benutzer auf Ressourcen und Netzwerke zugreifen können.

Client

Der Endbenutzer stellt eine Verbindung zum VPN Client-Endpunkt her, um eine VPN Sitzung einzurichten. Endbenutzer müssen einen Open VPN Client herunterladen und die von Ihnen erstellte VPN Client-Konfigurationsdatei verwenden, um eine VPN Sitzung einzurichten.

CIDRKundenbereich

Ein IP-Adressbereich, aus dem Client-IP-Adressen zugewiesen werden sollen. Jeder Verbindung zum VPN Client-Endpunkt wird eine eindeutige IP-Adresse aus dem CIDR Client-Bereich zugewiesen. Sie wählen den CIDR Client-Bereich aus, zum Beispiel10.2.0.0/16.

VPNClient-Ports

AWS Client VPN unterstützt die Ports 443 und 1194 sowohl für als TCP auchUDP. Der Standard ist Port 443.

VPNClient-Netzwerkschnittstellen

Wenn Sie Ihrem VPN Client-Endpunkt ein Subnetz zuordnen, erstellen wir VPN Client-Netzwerkschnittstellen in diesem Subnetz. Der Datenverkehr, der VPC vom VPN Client-Endpunkt an den gesendet wird, wird über eine VPN Client-Netzwerkschnittstelle gesendet. Anschließend wird die Quell-Netzwerkadressübersetzung (SNAT) angewendet, wobei die Quell-IP-Adresse aus dem CIDR Client-Bereich in die IP-Adresse der VPN Client-Netzwerkschnittstelle übersetzt wird.

Verbindungsprotokollierung

Sie können die Verbindungsprotokollierung für Ihren VPN Client-Endpunkt aktivieren, um Verbindungsereignisse zu protokollieren. Sie können diese Informationen verwenden, um forensische Untersuchungen durchzuführen, zu analysieren, wie Ihr VPN Client-Endpunkt verwendet wird, oder Verbindungsprobleme zu debuggen.

Self-Service-Portal

Der Client VPN stellt Endbenutzern ein Self-Service-Portal als Webseite zur Verfügung, auf der sie die neueste Version des AWS VPN Desktop Client und die neueste Version der VPN Client-Endpunktkonfigurationsdatei herunterladen können, die die Einstellungen enthält, die für die Verbindung zu ihrem Endpunkt erforderlich sind. Der VPN Client-Endpunktadministrator kann das Self-Service-Portal für den VPN Client-Endpunkt aktivieren oder deaktivieren. Das Self-Service-Portal ist ein globaler Service, der durch Service-Stacks in den folgenden Regionen unterstützt wird: USA Ost (Nord-Virginia), Asien-Pazifik (Tokio), Europa (Irland) und AWS GovCloud (USA West).

Mit dem Kunden arbeiten VPN

Sie können auf eine der folgenden Arten mit dem Kunden VPN arbeiten:

AWS Management Console

Die Konsole bietet eine webbasierte Benutzeroberfläche für den ClientVPN. Wenn Sie sich für eine angemeldet haben AWS-Konto, können Sie sich in der VPCAmazon-Konsole anmelden und VPN im Navigationsbereich Client auswählen.

AWS Command Line Interface (AWS CLI)

Das AWS CLI bietet direkten Zugriff auf die VPN Öffentlichkeit des KundenAPIs. Sie wird unter Windows, macOS und Linux unterstützt. Weitere Informationen zu den ersten Schritten mit dem AWS CLI finden Sie im AWS Command Line Interface Benutzerhandbuch. Weitere Informationen zu den Befehlen für den Client VPN finden Sie in der AWS CLI Befehlsreferenz.

AWS Tools for Windows PowerShell

AWS bietet Befehle für eine breite Palette von AWS Angeboten für Benutzer, die in der PowerShell Umgebung Skripts erstellen. Weitere Informationen zu den ersten Schritten mit AWS Tools for Windows PowerShell finden Sie im AWS Tools for Windows PowerShell -Benutzerhandbuch. Weitere Informationen zu den Cmdlets für Client VPN finden Sie in der AWS Tools for Windows PowerShell Cmdlet-Referenz.

Abfrage API

Die VPN HTTPS Client-Abfrage API bietet Ihnen programmatischen Zugriff auf Client VPN und AWS. Mit der HTTPS Abfrage API können Sie HTTPS Anfragen direkt an den Dienst richten. Wenn Sie den verwenden HTTPSAPI, müssen Sie Code hinzufügen, um Anfragen mit Ihren Anmeldeinformationen digital zu signieren. Weitere Informationen finden Sie unter Aktionen für AWS Client VPN.

Preisgestaltung für Kunden VPN

Ihnen wird jede Endpunktzuweisung und jede VPN Verbindung stündlich in Rechnung gestellt. Weitere Informationen finden Sie unter AWS Client VPN Preise.

Die Datenübertragung von Amazon ins Internet wird Ihnen EC2 in Rechnung gestellt. Weitere Informationen finden Sie unter Datenübertragung auf der Seite mit den EC2 Amazon-On-Demand-Preisen.

Wenn Sie die Verbindungsprotokollierung für Ihren VPN Client-Endpunkt aktivieren, müssen Sie in Ihrem Konto eine Protokollgruppe „ CloudWatch Protokolle“ erstellen. Für die Verwendung von Protokollgruppen fallen Gebühren an. Weitere Informationen finden Sie unter CloudWatch Amazon-Preise (wählen Sie unter Bezahlter Tarif die Option Logs aus).

Wenn Sie den Client-Connect-Handler für Ihren VPN Client-Endpunkt aktivieren, müssen Sie eine Lambda-Funktion erstellen und aufrufen. Für den Aufruf von Lambda-Funktionen fallen Gebühren an. Weitere Informationen finden Sie unter AWS Lambda Preise.

VPNClient-Endpunkte sind einem Zielnetzwerk zugeordnet, bei dem es sich um ein Subnetz in einem handelt. VPC Wenn dieser VPC über ein Internet Gateway verfügt, verknüpfen wir Elastic IP-Adressen mit den VPN Elastic Network Interfaces des Clients (ENIs). Diese Elastic IP-Adressen werden als genutzte öffentliche IPv4 Adressen berechnet. Weitere Informationen finden Sie auf der Seite mit den VPC Preisen auf der Registerkarte Öffentliche IPv4 Adresse.