创建 AWS Client VPN 终端节点 - AWS Client VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 AWS Client VPN 终端节点

创建客户端VPN终端节点,使您的客户能够使用 Amazon VPC 控制台或 AWS CLI. VPN

在创建终端节点之前,请先熟悉相关要求。有关端点要求的更多信息,请参阅创建客户端VPN端点的要求

创建客户端VPN终端节点(控制台)

  1. 打开 Amazon VPC 控制台,网址为https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择客户端VPN终端节点,然后选择创建客户端VPN终端节点

  3. (可选)为客户端VPN终端节点提供名称标签和描述。

  4. 对于 “客户端” IPv4CIDR,用CIDR符号指定 IP 地址范围,从中分配客户端 IP 地址。例如,10.0.0.0/22

    注意

    地址范围不能与目标网络地址范围、VPC地址范围或将与客户端VPN端点关联的任何路由重叠。客户端地址范围必须至少为 /22 且不大于 /12 CIDR 区块大小。创建客户端终端节点后,您无法更改客户端VPN地址范围。

  5. 对于服务器证书 ARN,请ARN为服务器要使用的TLS证书指定。客户端使用服务器证书对它们所连接的客户端VPN端点进行身份验证。

    注意

    服务器证书必须存在于您要创建客户端VPN终端节点的区域的 AWS Certificate Manager (ACM) 中。证书可以配置ACM或导入到ACM。

  6. 指定用于在客户端建立VPN连接时对其进行身份验证的身份验证方法。您必须选择身份验证方法。

    • 要使用基于用户的身份验证,请选择 Use user-based authentication(使用基于用户的身份验证),然后选择以下选项之一:

      • Active Directory authentication(Active Directory 身份验证):为 Active Directory 身份验证选择此选项。对于 Directory ID(目录 ID),指定要使用的 Active Directory 的 ID。

      • 联合身份验证:为SAML基于联合身份验证选择此选项。

        对于SAML提供者 ARN,请指定ARNIAMSAML身份提供者的。

        (可选)对于自助服务SAML提供商 ARN,请指定您为支持自助服务门户而创建的IAMSAML身份提供商(如果适用)。ARN

    • 要使用相互证书身份验证,请选择 “使用相互身份验证”ARN,然后在 “客户端证书” 中指定在 AWS Certificate Manager (ACM) 中配置的客户端证书。ARN

      注意

      如果服务器和客户端证书是由同一个证书颁发机构 (CA) 颁发的,则可以将服务器证书同时ARN用于服务器和客户端。如果客户端证书是由其他 CA 颁发的,则ARN应指定客户端证书。

  7. (可选)对于连接日志,请指定是否使用 Amazon Log CloudWatch s 记录有关客户端连接的数据。开启 Enable log details on client connections(在客户端连接上启用日志详细信息)。在CloudWatch 日志日志组名称中,输入要使用的日志组的名称。在CloudWatch 日志日志流名称中,输入要使用的日志流的名称,或者将此选项留空以让我们为您创建日志流。

  8. (可选)对于 Cli ent Connect Handler,开启启用客户端连接处理程序以运行允许或拒绝与客户端VPN端点建立新连接的自定义代码。对于 Client Connect Handler ARN,指定 Lambda 函数的亚马逊资源名称 (ARN),该函数包含允许或拒绝连接的逻辑。

  9. (可选)指定要使用哪些DNS服务器进行DNS解析。要使用自定义DNS服务器,请为DNS服务器 1 的 IP 地址DNS服务器 2 的 IP 地址指定要使用的DNS服务器的 IP 地址。要使用VPCDNS服务器,请为DNS服务器 1 的 IP 地址DNS服务器 2 的 IP 地址指定 IP 地址,然后添加VPCDNS服务器 IP 地址。

    注意

    验证客户端是否可以访问DNS服务器。

  10. (可选)默认情况下,客户端VPN端点使用UDP传输协议。要改用TCP传输协议,请在 “传输协议” 中选择TCP

    注意

    UDP通常提供比TCP。更好的性能。创建客户端VPN终端节点后,您无法更改传输协议。

  11. (可选)要使端点成为分割隧道客户端VPN端点,请打开 “启用分割隧道”。默认情况下,客户端VPN端点上的分割隧道处于禁用状态。

  12. (可选)对于 VPCID,选择VPC要与客户端VPN终端节点关联的。对于安全组 IDs,选择一个或多个要应用于客户端VPN终端节点的安全组。VPC

  13. (可选)对于VPN端口,请选择VPN端口号。默认值为 443。

  14. (可选)要URL为客户生成自助服务门户,请打开启用自助服务门户

  15. (可选)对于会话超时时间,请从可用选项中选择所需的最大VPN会话持续时间(以小时为单位),或者将设置为默认值 24 小时。

  16. (可选)指定是否启用客户端登录横幅文本。开启 Enable client login banner(启用客户端登录横幅)。对于客户端登录横幅文本,输入在建立会VPN话时将在AWS提供的客户端上的横幅中显示的文本。UTF仅限 -8 个编码字符。最多可使用 1400 个字符。

  17. 选择创建客户端VPN终端节点

创建客户端VPN终端节点后,请执行以下操作以完成配置并使客户端能够连接:

  • 客户端VPN终端节点的初始状态为pending-associate。只有在您关联第一个目标网络之后,客户端才能连接到客户端VPN终端节点。

  • 创建授权规则,以指定哪些客户端具有网络访问权限。

  • 下载并准备要分发给您的客户端的客户端VPN终端节点配置文件

  • 指示您的客户端使用 AWS 提供的客户端或其他VPN基于开放的客户端应用程序连接到客户端VPN终端节点。有关更多信息,请参阅 用户指南。AWS Client VPN

创建客户端VPN终端节点 (AWS CLI)

使用create-client-vpn-endpoint命令。