建立 AWS Client VPN 端點 - AWS Client VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 AWS Client VPN 端點

建立用戶VPN端端點,讓您的VPN客戶能夠使用 Amazon VPC 主控台或 AWS CLI.

在建立端點之前,請先熟悉需求。如需端點需求的詳細資訊,請參閱建立用戶VPN端端點的需求

建立用戶VPN端端點(主控台)

  1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇「用戶VPN端端點」,然後選擇「建立用戶端VPN端點」。

  3. (選擇性) 提供用戶VPN端端點的名稱標記和說明。

  4. 對於用戶端 IPv4 CIDR,請以CIDR標記指定 IP 位址範圍,以從中指派用戶端 IP 位址。例如:10.0.0.0/22

    注意

    位址範圍不能與目標網路位址範圍、VPC位址範圍或將與 Client VPN 端點關聯的任何路由重疊。用戶端位址範圍必須至少為 /22 且不大於 /12 CIDR 區塊大小。建立用戶端端點之後,就無法變更用戶VPN端位址範圍。

  5. 對於伺服器憑證 ARN,ARN請指定伺服器要使用的TLS憑證。用戶端會使用伺服器憑證來驗證正在連線的用戶VPN端端點。

    注意

    伺服器憑證必須出現在您要建立用戶VPN端端點的區域 AWS Certificate Manager (ACM) 中。憑證可以使用佈建ACM或匯入ACM。

  6. 指定建立VPN連線時用來驗證用戶端的驗證方法。您必須選取身分驗證方法。

    • 若要使用使用者型身分驗證,請選取 Use user-based authentication (使用使用者型身分驗證),然後選擇下列其中一項:

      • Active Directory authentication (Active Directory 身分驗證):為 Active Directory 身分驗證選擇此選項。針對 Directory ID (目錄 ID),指定要使用的 Active Directory ID。

      • 聯合驗證:選擇此選項以進行SAML以聯合認證為基礎。

        對於SAML提供者 ARN,請指定IAMSAML身分識別提供者ARN的。

        (選擇性) 若為自助服務SAML提供者 ARN,請指定ARN您為支援自助入口網站而建立的IAMSAML身分識別提供者 (如果適用)。

    • 若要使用相互憑證驗證,請選取 [使用相互驗證]ARN,然後針對 [用端憑證],指定 AWS Certificate Manager (ACM) 中佈建的用戶端憑證。ARN

      注意

      如果伺服器和用戶端憑證已由相同的憑證授權單位 (CA) 發行,您可以同時ARN針對伺服器和用戶端使用伺服器憑證。如果用戶端憑證是由不同的 CA 核發,則ARN應指定用戶端憑證。

  7. (選擇性) 對於連線記錄,請指定是否使用 Amazon Lo CloudWatch gs 記錄有關用戶端連線的資料。開啟 Enable log details on client connections (啟用用户端連線的日誌詳細資訊)。在記CloudWatch 錄檔記錄群組名稱中,輸入要使用的記錄群組名稱。對於CloudWatch 記錄檔資料流名稱,請輸入要使用的記錄串流名稱,或將此選項保留空白,讓我們為您建立記錄資料流。

  8. (選擇性)對於用戶端 Connect 線處理常式,開啟啟用用戶端連線處理常式以執行允許或拒絕新連線到 Client VPN 端點的自訂程式碼。對於用戶端 Connect 線處理常式 ARN,請指定 Lambda 函數的 Amazon 資源名稱 (ARN),該函數包含允許或拒絕連線的邏輯。

  9. (選擇性) 指定要使用哪些DNS伺服器進行DNS解析。若要使用自訂DNS伺服器,請對於DNS伺服器 1 IP 位址DNS伺服器 2 IP 位址,指定要使用的DNS伺服器 IP 位址。若要使用VPCDNS伺服器,請針對DNS伺服器 1 IP 位址DNS伺服器 2 IP 位址指定 IP 位址,然後新增VPCDNS伺服器 IP 位址。

    注意

    確認用戶端可以連線到DNS伺服器。

  10. (選擇性) 根據預設,用戶VPN端端點會使用UDP傳輸通訊協定。若要改用TCP傳輸通訊協定,請針對「傳輸通訊協定」選取TCP

    注意

    UDP通常提供比TCP. 建立用戶VPN端端點之後,就無法變更傳輸通訊協定。

  11. (選擇性) 若要讓端點成為分割通道用戶VPN端端點,請開啟啟用分割通道。根據預設,用戶VPN端端點上的分割通道為停用狀態。

  12. (選擇性) 對於 VPCID,請選擇VPC要與用戶VPN端端點建立關聯。在 VPC「安全群組」中IDs,選擇要套用至用戶VPN端端點的一或多個安全群組。

  13. (選擇性) 對於VPN連接埠,請選擇VPN連接埠號碼。預設為 443。

  14. (選擇性) 若要URL為用戶端產生自助入口網站,請開啟啟用自助入口網站

  15. (選擇性) 對於工作階段逾時時數,請從可用選項中選擇所需的VPN工作階段持續時間上限 (以小時為單位),或保留預設值為 24 小時。

  16. (選用) 指定是否啟用用戶端登入橫幅文字。開啟 Enable client login banner (啟用用户端登入橫幅)。對于「客戶端」登錄標題文本,請輸入在AWS提供客戶端的標題中顯示的文本。VPNUTF僅限 -8 個編碼字元。最多 1400 個字元。

  17. 選擇建立用戶VPN端端點

建立 Client VPN 端點之後,請執行下列動作以完成組態設定並讓用戶端連線:

  • 用戶VPN端端點的初始狀態為pending-associate。只有在您關聯第一個目標網路後,用戶VPN端才能連線到用戶端端點。

  • 建立授權規則,以指定哪些用戶端具有網路的存取權。

  • 下載並準備用戶VPN端端點設定檔案,以便散發給您的用戶端。

  • 指示您的用戶端使用 AWS 提供的用戶端或其他開放VPN式用戶端應用程式連線到 Client VPN 端點。如需詳細資訊,請參閱《AWS Client VPN 使用者指南》https://docs.aws.amazon.com/vpn/latest/clientvpn-user/

建立用戶端VPN端點 (AWS CLI)

使用指create-client-vpn-endpoint令。