建立 AWS Client VPN 端點

使用主控台建立 Client VPN 端點

1. 在 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在導覽窗格中，選擇 Client VPN Endpoints (Client VPN 端點)，然後選擇 Create Client VPN Endpoint (建立 Client VPN 端點)。

3. (選用) 提供 Client VPN 端點的名稱標籤和說明。

4. 對於 Client IPv4 CIDR (用戶端 IPv4 CIDR)，以 CIDR 標記法指定 IP 地址範圍，以從中指派用戶端 IP 地址。例如，10.0.0.0/22。

   注意

   IP 地址範圍不可以與目標網路或任何將與 Client VPN 端點建立關聯的路由重疊。用户端地址範圍必須至少為 /22 且不大於 /12 CIDR 區塊大小。建立 Client VPN 端點後，您無法變更用戶端地址範圍。

5. 對於 Server certificate ARN (伺服器憑證 ARN)，指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。

   注意

   在您建立 Client VPN 端點的區域 AWS Certificate Manager (ACM) 中必須存在伺服器憑證。憑證可以使用 ACM 佈建，也可以匯入至 ACM。

6. 指定當用戶端建立 VPN 連接時，用來驗證用戶端的身分驗證方法。您必須選取身分驗證方法。

   • 若要使用使用者型身分驗證，請選取 Use user-based authentication (使用使用者型身分驗證)，然後選擇下列其中一項：

     • Active Directory authentication (Active Directory 身分驗證)：為 Active Directory 身分驗證選擇此選項。針對 Directory ID (目錄 ID)，指定要使用的 Active Directory ID。

     • Federated authentication (聯合身分驗證)：為 SAML 型聯合身分驗證選擇此選項。

       若為 SAML provider ARN (SAML 提供者 ARN)，請指定 IAM SAML 身分提供者的 ARN。

       (選用) 在 Self-service SAML provider ARN (自助式 SAML 提供者 ARN)中指定您為支援自助式入口網站所建立之 IAM SAML 身分提供者的 ARN (如果適用)。

   • 若要使用交互憑證驗證，請選取使用交互驗證，然後在用戶端憑證 ARN 中指定佈建於 AWS Certificate Manager (ACM) 的用戶端憑證 ARN。

     注意

     如果伺服器和用戶端憑證是由同一家憑證授權機構 (CA) 所發行，則您可同時為伺服器和用戶端使用伺服器憑證 ARN。如果用戶端憑證是由不同的 CA 發出，則應該指定用戶端憑證 ARN。

7. (選用) 對於 Connection logging (連線日誌記錄)，指定是否使用 Amazon CloudWatch Logs 記錄有關用戶端連線的資料。開啟 Enable log details on client connections (啟用用户端連線的日誌詳細資訊)。針對 CloudWatch Logs log group name (CloudWatch Logs 日誌群組名稱)，請輸入要使用的日誌群組名稱。針對 CloudWatch Logs log stream name (CloudWatch Logs 日誌串流名稱)，請輸入要使用的日誌串流名稱，或將此選項留白，讓我們為您建立日誌串流。

8. (選用) 對於 Client Connect Handler (用戶端連線處理常式)，開啟 Enable client connect handler (啟用用戶端連線處理常式) 以執行自訂程式碼，允許或拒絕新的 Client VPN 端點連線。在 Client Connect Handler ARN (用戶端連線處理常式 ARN) 中指定 Lambda 函數的 Amazon 資源名稱 (ARN)，此函數包含允許或拒絕連線的邏輯。

9. (選用) 指定哪些 DNS 伺服器要用於 DNS 解析。若要使用自訂 DNS 伺服器，對於 DNS Server 1 IP address (DNS 伺服器 1 IP 地址)和 DNS Server 2 IP address (DNS 伺服器 2 IP 地址)，請指定要使用的 DNS 伺服器 IP 地址。若要使用 VPC DNS 伺服器，對於 DNS Server 1 IP address (DNS 伺服器 1 IP 地址)或 DNS Server 2 IP address (DNS 伺服器 2 IP 地址)，請指定 IP 地址，並新增 VPC DNS 伺服器 IP 地址。

   注意

   請確定用戶端可以觸達 DNS 伺服器。

10. (選用) 根據預設，Client VPN 端點會使用 UDP 傳輸協定。若要改用 TCP 傳輸通訊協定，對於 Transport Protocol (傳輸通訊協定)，請選擇 TCP。

    注意

    UDP 的效能通常比 TCP 更好。建立 Client VPN 端點之後，即無法變更傳輸協定。

11. (選用) 若要讓端點成為分割通道 Client VPN 端點，請開啟 Enable split-tunnel (啟用分割通道)。根據預設，Client VPN 端點上的分割通道會停用。

12. (選用) 請為 VPC ID 選擇要與 Client VPN 端點建立關聯的 VPC。Security Group IDs (安全群組識別碼) 請選擇一或多個要套用至 Client VPN 端點的 VPC 安全群組。

13. (選用) 對於 VPN port (VPN 連接埠)，請選擇 VPN 連接埠號碼。預設為 443。

14. (選用) 若要產生用戶端的自助式入口網站 URL，請選擇 Enable self-service portal (啟用自助式入口網站)。

15. (選用) 對於 Session timeout hours (工作階段逾時時數)，從可用選項中選擇所需的 VPN 工作階段持續時間上限 (以小時為單位)，或保留設定為預設的 24 小時。

16. （選用） 對於工作階段逾時時中斷連線，選擇是否要在達到工作階段時間上限時終止工作階段。選擇此選項需要使用者在工作階段逾時時手動重新連線至端點；否則 Client VPN 會自動嘗試重新連線。

17. (選用) 指定是否啟用用戶端登入橫幅文字。開啟 Enable client login banner (啟用用户端登入橫幅)。對於 Client Login Banner Text (用戶端登入橫幅文字)，輸入當系統建立了 VPN 工作階段時，會在 AWS 提供的用戶端的橫幅中顯示的文字。僅限 UTF-8 編碼字元。最多 1400 個字元。

18. 選擇 Create Client VPN Endpoint (建立 Client VPN 端點)。