创建 AWS Client VPN 终端节点 - AWS Client VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 AWS Client VPN 终端节点

创建客户端 VPN 终端节点,使您的客户端能够使用 Amazon VPC 控制台或建立 VPN 会话 AWS CLI。

在创建端点之前,请先熟悉各项要求。有关更多信息,请参阅 创建 Client VPN 端点的要求

使用控制台创建 Client VPN 端点

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Client VPN Endpoints(Client VPN 端点),然后选择 Create Client VPN Endpoint(创建 Client VPN 端点)。

  3. (可选)提供 Client VPN 终端节点的名称标签和描述。

  4. 对于客户端 IPv4 CIDR,以 CIDR 表示法指定一个 IP 地址范围,从中分配客户端 IP 地址。例如,10.0.0.0/22

    注意

    此地址范围不能与目标网络地址范围、VPC 地址范围或将与 Client VPN 端点关联的任何路由重叠。客户端地址范围必须至少为 /22 且不大于 /12 CIDR 块大小。创建 Client VPN 终端节点后,您无法更改客户端地址范围。

  5. 对于 Server certificate ARN(服务器证书 ARN),请指定服务器要使用的 TLS 证书的 ARN。客户端使用服务器证书对它们正在连接的 Client VPN 终端节点进行身份验证。

    注意

    服务器证书必须存在于您正在创建 Client VPN 端点的区域的 AWS Certificate Manager (ACM) 中。可以使用 ACM 预置证书,也可以导入到 ACM 中。

  6. 指定当客户端建立 VPN 连接时要用来对客户端进行身份验证的身份验证方法。您必须选择身份验证方法。

    • 要使用基于用户的身份验证,请选择 Use user-based authentication(使用基于用户的身份验证),然后选择以下选项之一:

      • Active Directory authentication(Active Directory 身份验证):为 Active Directory 身份验证选择此选项。对于 Directory ID(目录 ID),指定要使用的 Active Directory 的 ID。

      • Federated authentication(联合身份验证):为基于 SAML 的联合身份验证选择此选项。

        对于 SAML provider ARN(SAML 提供商 ARN),指定 IAM SAML 身份提供商的 ARN。

        (可选)对于 Self-service SAML provider ARN(自助服务 SAML 提供商 ARN),指定您为支持自助服务门户而创建的 IAM SAML 身份提供商的 ARN(如果适用)。

    • 要使用相互证书身份验证,请选择 “使用相互身份验证”,然后在 “客户端证书 ARN” 中,指定在 (ACM) 中配置的客户证书的 ARN。 AWS Certificate Manager

      注意

      如果服务器证书和客户端证书是由相同证书颁发机构 (CA) 颁发,则您可以将服务器证书 ARN 用于服务器和客户端。如果客户端证书是由其他 CA 颁发,则应指定客户端证书 ARN。

  7. (可选)对于连接日志,请指定是否使用 Amazon Log CloudWatch s 记录有关客户端连接的数据。开启 Enable log details on client connections(在客户端连接上启用日志详细信息)。在CloudWatch 日志日志组名称中,输入要使用的日志组的名称。在CloudWatch 日志日志流名称中,输入要使用的日志流的名称,或者将此选项留空以让我们为您创建日志流。

  8. (可选)对于 Client Connect Handler(客户端连接处理程序),开启 Enable client connect handler(启用客户端连接处理程序),以运行允许或拒绝与 Client VPN 端点的新连接的自定义代码。对于 Client Connect Handler ARN(客户端连接处理程序 ARN),指定包含允许或拒绝连接的逻辑的 Lambda 函数的 Amazon 资源名称(ARN)。

  9. (可选)指定用于 DNS 解析的 DNS 服务器。要使用自定义 DNS 服务器,对于 DNS Server 1 IP address(DNS 服务器 1 IP 地址)和 DNS Server 2 IP address(DNS 服务器 2 IP 地址),指定要使用的 DNS 服务器的 IP 地址。要使用 VPC DNS 服务器,对于 DNS Server 1 IP address(DNS 服务器 1 IP 地址)或 DNS Server 2 IP address(DNS 服务器 2 IP 地址),指定 IP 地址,并添加 VPC DNS 服务器 IP 地址。

    注意

    验证客户端是否能访问 DNS 服务器。

  10. (可选)原定设置情况下,Client VPN 端点使用 UDP 传输协议。若要改用 TCP 传输协议,对于 Transport Protocol(传输协议),选择 TCP

    注意

    UDP 通常能比 TCP 提供更好的性能。创建 Client VPN 端点后,无法更改传输协议。

  11. (可选)要使端点成为拆分隧道 Client VPN 端点,请开启 Enable split-tunnel(启用拆分隧道)。默认情况下,Client VPN 端点会禁用拆分隧道功能。

  12. (可选)对于 VPC ID,请选择要与 Client VPN 端点关联的 VPC。对于安全组 IDs,选择一个或多个 VPC 的安全组以应用于 Client VPN 终端节点。

  13. (可选)对于 VPN port(VPN 端口),选择 VPN 端口号。默认值为 443。

  14. (可选)要为客户端生成 self-service portal URL(自助服务门户 URL),请开启 Enable self-service portal(启用自助服务门户)。

  15. (可选)对于 Session timeout hours(会话超时时间),请从可用的选项中选择所需的最长 VPN 会话持续时间(以小时为单位),也可保留 24 小时的原定设置。

  16. (可选)对于会话超时时断开连接,请选择是否要在达到最大会话时间时终止会话。选择此选项要求用户在会话超时时时手动重新连接到终端;否则,Client VPN 将自动尝试重新连接。

  17. (可选)指定是否启用客户端登录横幅文本。开启 Enable client login banner(启用客户端登录横幅)。对于 Client login banner text(客户端登录横幅文本),输入 VPN 会话建立时将在 AWS 提供的客户端上显示的横幅文本。仅支持 UTF-8 编码字符。最多可使用 1400 个字符。

  18. 选择 Create Client VPN Endpoint(创建 Client VPN 终端节点)。

创建 Client VPN 端点后,请执行以下操作以完成配置并使客户端能够连接:

  • Client VPN 端点的初始状态为 pending-associate。仅当您关联第一个目标网络后,客户端才能连接到 Client VPN 端点。

  • 创建授权规则,以指定哪些客户端具有网络访问权限。

  • 下载并准备要分发给客户端的 Client VPN 端点配置文件

  • 指示您的客户使用 AWS 提供的客户端或其他基于 OpenVPN 的客户端应用程序连接到 Client VPN 端点。有关更多信息,请参阅 用户指南。AWS Client VPN

使用创建 Client VPN 端点 AWS CLI

使用 create-client-vpn-endpoint 命令。