什么是 AWS Client VPN? - AWS Client VPN

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 AWS Client VPN?

AWS Client VPN 是一项基于客户端的托管VPN服务,可让您安全地访问本地网络中的 AWS 资源和资源。借助 ClientVPN,您可以使用VPN基于开放的VPN客户端从任何位置访问您的资源。

客户端的特点 VPN

客户机VPN提供以下特性和功能:

  • 安全连接 — 它使用 Open VPN 客户端提供从任何位置的安全TLS连接。

  • 托管服务 — 它是一项 AWS 托管服务,因此它消除了部署和管理第三方远程访问VPN解决方案的运营负担。

  • 高可用性和弹性 — 它会根据连接到您的 AWS 资源和本地资源的用户数量自动扩展。

  • 身份验证 – 支持使用 Active Directory、联合身份验证和基于证书的身份验证进行客户端身份验证。

  • 精细控制 – 可以让您通过定义基于网络的访问规则来实施自定义安全控制。可以在 Active Directory 组的粒度配置这些规则。您还可以使用安全组实施访问控制。

  • 易用性 — 它使您能够使用单个VPN隧道访问您的 AWS 资源和本地资源。

  • 可管理性 – 它可让您查看连接日志,其中提供有关客户端连接尝试的详细信息。您还可以管理活跃的客户端连接,并且可以终止活跃的客户端连接。

  • 深度集成 — 它与现有 AWS 服务(包括 AWS Directory Service 和 Amazon)集成VPC。

客户机组件 VPN

以下是客户的主要概念VPN:

客户端VPN终端节点

客户端终VPN端节点是您创建和配置的资源,用于启用和管理客户端VPN会话。这是所有客户端VPN会话的终止点。

目标网络

目标网络是您与客户端VPN终端节点关联的网络。来自的子网VPC是目标网络。将子网与客户端VPN终端节点关联使您能够建立VPN会话。您可以将多个子网与一个客户端VPN终端节点关联以实现高可用性。所有子网必须来自同一个VPC子网。每个子网都必须属于不同的可用区。

路由

每个客户端VPN终端节点都有一个路由表,描述了可用的目的网络路由。路由表中的每个路由都指定了到特定资源或网络的途径。

授权规则

授权规则限制可访问网络的用户。对于指定的网络,您可以配置允许访问的 Active Directory 或身份提供商 (IdP) 组。只有属于此组的用户才能访问指定的网络。默认情况下,没有授权规则,您必须配置授权规则来允许用户访问资源和网络。

客户端

连接到客户端VPN端点以建立VPN会话的最终用户。最终用户需要下载 Open VPN 客户端,并使用您创建的客户端VPN配置文件来建立VPN会话。

客户CIDR范围

从中分配客户端 IP 地址的 IP 地址范围。与客户端VPN端点的每个连接都分配了一个来自客户端CIDR范围的唯一 IP 地址。例如,您可以选择客户CIDR范围10.2.0.0/16

客户端VPN端口

AWS Client VPN 和都TCP支持端口 443 和 1194。UDP默认值为端口 443。

客户端VPN网络接口

当您将子网与您的客户端VPN终端节点关联时,我们会在该子网中创建客户端VPN网络接口。VPC从客户端VPN端点发送到的流量通过客户端VPN网络接口发送。然后应用源网络地址转换 (SNAT),将来自客户端CIDR范围的源 IP 地址转换为客户端VPN网络接口 IP 地址。

连接日志记录

您可以为客户端VPN终端节点启用连接日志记录以记录连接事件。您可以使用此信息进行取证、分析您的客户端VPN终端节点的使用情况或调试连接问题。

自助服务门户

客户端VPN提供自助服务门户作为网页,供最终用户下载最新版本的AWSVPN桌面客户端和最新版本的客户端VPN端点配置文件,其中包含连接到其端点所需的设置。客户端终VPN端节点管理员可以启用或禁用客户端VPN终端节点的自助服务门户。自助服务门户是一项全球服务,由以下地区的服务堆栈提供支持:美国东部(弗吉尼亚北部)、亚太地区(东京)、欧洲(爱尔兰)和 AWS GovCloud (美国西部)。

与客户合作 VPN

您可以通过以下任何VPN一种方式与客户合作:

AWS Management Console

控制台为客户端提供基于 Web 的用户界面VPN。如果您已经注册了 AWS 账户,则可以登录亚马逊VPC控制台,然后在导航窗格VPN中选择 “客户端”。

AWS Command Line Interface (AWS CLI)

AWS CLI 提供对客户VPN公众的直接访问APIs。它在 Windows、macOS 和 Linux 上受支持。有关入门的更多信息 AWS CLI,请参阅《AWS Command Line Interface 用户指南》。有关 Client 命令的更多信息VPN,请参阅《AWS CLI 命令参考》。

AWS Tools for Windows PowerShell

AWS 为那些在PowerShell 环境中编写脚本的用户提供了一系列 AWS 产品的命令。有关 AWS Tools for Windows PowerShell入门的更多信息,请参阅 AWS Tools for Windows PowerShell 用户指南有关客户端 cmdlet 的更多信息VPN,请参阅 Cmdlet 参考AWS Tools for Windows PowerShell 。

查询 API

客户端VPNHTTPS查询API允许您以编程方式访问客户端VPN和 AWS. API通过HTTPS查询,您可以直接向服务发出HTTPS请求。使用时,必须包含代码 HTTPSAPI,以便使用您的凭据对请求进行数字签名。有关更多信息,请参阅 AWS Client VPN 操作

客户定价 VPN

您按小时为每个终端节点关联和每个VPN连接付费。有关更多信息,请参阅 AWS Client VPN 定价

您需要支付从 Amazon EC2 向互联网传输数据的费用。有关更多信息,请参阅 Amazon EC2 按需定价页面上的数据传输

如果您为客户端VPN终端节点启用连接日志记录,则必须在您的账户中创建 CloudWatch 日志日志组。使用日志组需支付费用。有关更多信息,请参阅 Amazon CloudWatch 定价(在付费套餐下,选择日志)。

如果您为客户端VPN终端节点启用客户端连接处理程序,则必须创建并调用 Lambda 函数。调用 Lambda 函数需支付费用。有关更多信息,请参阅AWS Lambda 定价

客户端VPN终端节点与目标网络相关联,目标网络是中的子网VPC。如果VPC它有 Internet Gateway,我们会将弹性 IP 地址与客户端VPN弹性网络接口 (ENIs) 关联起来。这些弹性 IP 地址按使用中的公有IPv4地址收费。有关更多信息,请参阅VPC定价页面上的 “公共IPv4地址” 选项卡。