本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
故障排除 AWS Client VPN:Active Directory 群组的授权规则未按预期运行
问题
我已为我的 Active Directory 组配置授权规则,但这些规则未按预期工作。我为添加了授权规则0.0.0.0/0来授权所有网络的流量,但是特定目的地的流量仍然会失败 CIDRs。
原因
授权规则已在网络 CIDRs上建立索引。授权规则必须授予 Active Directory 组访问特定网络的权限 CIDRs。针对 0.0.0.0/0 的授权规则将作为特殊情况处理,并在最后进行评估,无论授权规则的创建顺序如何。
例如,假设您按以下顺序创建五个授权规则:
-
规则 1:组 1 有权访问
10.1.0.0/16 -
规则 2:组 1 有权访问
0.0.0.0/0 -
规则 3:组 2 有权访问
0.0.0.0/0 -
规则 4:组 3 有权访问
0.0.0.0/0 -
规则 5:组 2 有权访问
172.131.0.0/16
在此示例中,最后评估规则 2、规则 3 和规则 4。组 1 仅有权访问 10.1.0.0/16,组 2仅有权访问 172.131.0.0/16。组 3 无权访问 10.1.0.0/16 或 172.131.0.0/16,但它有权访问所有其他网络。如果删除规则 1 和规则 5,则所有三个组都有权访问所有网络。
在评估授权规则时,客户端 VPN 会使用最长前缀匹配。有关更多详细信息,请参阅 Amazon VPC 用户指南中的路由优先级。
解决方案
确认您创建的授权规则明确授予 Active Directory 组访问特定网络的权限 CIDRs。如果添加针对 0.0.0.0/0 的授权规则,请记住此规则将最后进行评估,并且以前的授权规则可能会限制其授予访问权限的网络。
