AWS Client VPN 運作方式 - AWS Client VPN
案例和範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Client VPN 運作方式

使用 時 AWS Client VPN,有兩種類型的使用者角色會與用戶端VPN端點互動:管理員和用戶端。

管理員負責安裝和設定服務。這包括建立用戶端VPN端點、關聯目標網路、設定授權規則,以及設定其他路由 (如果需要)。設定用戶端VPN端點後,管理員會下載用戶端VPN端點組態檔案,並將其分發給需要存取的用戶端。用戶端VPN端點組態檔案包含用戶端VPN端點DNS的名稱,以及建立VPN工作階段所需的身分驗證資訊。如需設定此服務的詳細資訊,請參閱開始使用 AWS Client VPN

用戶端是終端使用者。這是連線至用戶端VPN端點以建立VPN工作階段的人員。用戶端會使用開放VPN型VPN用戶端應用程式,從本機電腦或行動裝置建立VPN工作階段。建立VPN工作階段後,他們可以安全地存取關聯子網路所在 VPC 中的資源。如果已設定必要的路由和授權規則 AWS,他們也可以存取 中的其他資源、內部部署網路或其他用戶端。如需連線至用戶端VPN端點以建立VPN工作階段的詳細資訊,請參閱《 AWS Client VPN 使用者指南》中的入門

下圖說明基本用戶端VPN架構。

用戶端VPN架構

用戶端的案例和範例 VPN

AWS Client VPN 是全受管遠端存取VPN解決方案,您可用來允許用戶端安全存取 AWS 和內部部署網路內的資源。設定存取的方式有多種選項。本節提供為您的用戶端建立和設定用戶端VPN存取的範例。

案例

此案例的 AWS Client VPN 組態包含單一目標 VPC。如果您需要VPC僅讓用戶端存取單一資源,建議您使用此組態。

VPN 用戶端存取 VPC

開始之前,請執行以下動作:

  • 建立或識別具有至少一個子網路VPC的 。識別 中VPC要與用戶端VPN端點建立關聯的子網路,並記下其IPv4CIDR範圍。

  • 識別與 不重疊的用戶端 IP VPC 地址的適當CIDR範圍CIDR。

  • 檢閱 中用戶端VPN端點的規則和限制使用 的規則和最佳實務 AWS Client VPN

實作此組態

  1. 在與 相同的區域中建立用戶端VPN端點VPC。若要執行此作業,請執行建立 AWS Client VPN 端點中所述的步驟。

  2. 將子網路與用戶端VPN端點建立關聯。若要執行此操作,請執行中所述的步驟,將目標網路與 AWS Client VPN 端點建立關聯然後選取子網路和VPC您先前識別的 。

  3. 新增授權規則,讓用戶端存取 VPC。若要執行此操作,請執行中所述的步驟新增授權規則,對於目的地網路,輸入 IPv4CIDR的範圍VPC。

  4. 將規則新增至資源的安全群組,以允許來自步驟 2 中套用至子網路關聯的安全性群組的流量。如需詳細資訊,請參閱安全群組

此案例的 AWS Client VPN 組態包含目標 VPC(VPC A),與其他 VPC(VPC B) 對等。如果您需要讓用戶端存取目標內的資源,VPC以及與其對等的其他資源 VPCs (例如 VPC B),建議您使用此組態。

注意

只有在用戶端VPN端點設定為分割通道模式時,才需要允許存取對等 VPC(概述於網路圖表) 的程序。在全通道模式中,預設VPC允許對等對等的存取。

VPN 用戶端存取對等 VPC

開始之前,請執行以下動作:

  • 建立或識別具有至少一個子網路VPC的 。識別 中VPC要與用戶端VPN端點建立關聯的子網路,並記下其IPv4CIDR範圍。

  • 識別與 不重疊的用戶端 IP VPC 地址的適當CIDR範圍CIDR。

  • 檢閱 中用戶端VPN端點的規則和限制使用 的規則和最佳實務 AWS Client VPN

實作此組態

  1. 在 之間建立VPC對等連線VPCs。請遵循 Amazon VPC對等指南中建立和接受對等互連連線的步驟。 VPC 確認 VPC A 中的執行個體可以使用對等連線與 VPC B 中的執行個體通訊。

  2. 在與目標 相同的區域中建立用戶端VPN端點VPC。在圖表中,這是 VPC A。請執行中所述的步驟建立 AWS Client VPN 端點

  3. 將您識別的子網路與您建立的用戶端VPN端點建立關聯。若要執行此操作,請執行中所述的步驟將目標網路與 AWS Client VPN 端點建立關聯,選取 VPC和子網路。根據預設,我們會將 的預設安全群組VPC與用戶端VPN端點建立關聯。您可以使用 將安全群組套用至中的目標網路 AWS Client VPN 中所述步驟來關聯不同安全群組。

  4. 新增授權規則,讓用戶端存取目標 VPC。若要執行此作業,請執行新增授權規則中所述的步驟。針對要啟用 的目的地網路,輸入 IPv4CIDR的範圍VPC。

  5. 新增路由,將流量導向對等 VPC。在圖表中,這是 VPC B。若要執行此操作,請執行中所述的步驟建立 AWS Client VPN 端點路由。針對 Route 目的地,輸入對等 IPv4CIDR的範圍VPC。針對目標VPC子網路 ID,選取您與用戶端VPN端點相關聯的子網路。

  6. 新增授權規則,以授予用戶端對對等 的存取權VPC。若要執行此作業,請執行新增授權規則中所述的步驟。針對目的地網路,輸入對等 IPv4CIDR的範圍VPC。

  7. 將規則新增至 VPC A 和 VPC B 中執行個體的安全群組,以允許來自步驟 3 中套用用戶端VPN端點之安全群組的流量。如需詳細資訊,請參閱安全群組

此案例的 AWS Client VPN 組態僅包含對內部部署網路的存取。如果您需要讓用戶端只存取現場部署網路內的資源,我們建議使用此組態。

VPN 存取內部部署網路的用戶端

開始之前,請執行以下動作:

  • 建立或識別具有至少一個子網路VPC的 。識別 中VPC要與用戶端VPN端點建立關聯的子網路,並記下其IPv4CIDR範圍。

  • 識別與 不重疊的用戶端 IP VPC 地址的適當CIDR範圍CIDR。

  • 檢閱 中用戶端VPN端點的規則和限制使用 的規則和最佳實務 AWS Client VPN

實作此組態

  1. 透過 連線, AWS Site-to-Site VPN在 VPC和您自己的內部部署網路之間啟用通訊。若要執行此動作,請執行 AWS Site-to-Site VPN 使用者指南入門所述的步驟。

    注意

    或者,您可以使用 VPC與內部部署網路之間的 AWS Direct Connect 連線來實作此案例。如需詳細資訊,請參閱《AWS Direct Connect 使用者指南》https://docs.aws.amazon.com/directconnect/latest/UserGuide/

  2. 測試您在上一個步驟建立的 AWS Site-to-Site VPN 連線。若要執行此操作,請執行 AWS Site-to-Site VPN 使用者指南測試 Site-to-SiteVPN連線中所述的步驟。如果VPN連線如預期運作,請繼續下一個步驟。

  3. 在與 相同的區域中建立用戶端VPN端點VPC。若要執行此作業,請執行建立 AWS Client VPN 端點中所述的步驟。

  4. 將您先前識別的子網路與用戶端VPN端點建立關聯。若要執行此操作,請執行中所述的步驟將目標網路與 AWS Client VPN 端點建立關聯,然後選取 VPC和子網路。

  5. 新增路由以允許存取 AWS Site-to-Site VPN 連線。若要執行此操作,請執行中所述的步驟建立 AWS Client VPN 端點路由;對於 Route 目的地,請輸入連線IPv4CIDR範圍 AWS Site-to-Site VPN,對於目標VPC子網路 ID,請選取您與用戶端VPN端點相關聯的子網路。

  6. 新增授權規則讓用戶端存取 AWS Site-to-Site VPN 連線。若要執行此操作,請執行中所述的步驟將授權規則新增至 AWS Client VPN 端點;對於目的地網路,請輸入 AWS Site-to-Site VPN連線IPv4CIDR範圍。

此案例的 AWS Client VPN 組態包含單一目標VPC和網際網路的存取。如果您需要讓用戶端存取單一目標內的資源VPC,並允許存取網際網路,建議您使用此組態。

如果您已完成 開始使用 AWS Client VPN教學課程,則您已實作此案例。

VPN 存取網際網路的用戶端

開始之前,請執行以下動作:

  • 建立或識別具有至少一個子網路VPC的 。識別 中VPC要與用戶端VPN端點建立關聯的子網路,並記下其IPv4CIDR範圍。

  • 識別與 不重疊的用戶端 IP VPC 地址的適當CIDR範圍CIDR。

  • 檢閱 中用戶端VPN端點的規則和限制使用 的規則和最佳實務 AWS Client VPN

實作此組態

  1. 確定您將用於用戶端VPN端點的安全群組允許傳出流量到網際網路。若要這樣做,請新增允許 HTTP和 流量流量 0.0.0.0/0 的傳出規則HTTPS。

  2. 建立網際網路閘道並將其連接至您的 VPC。如需詳細資訊,請參閱《Amazon VPC使用者指南》中的建立和連接網際網路閘道

  3. 將網際網路閘道的路由新增到其路由表,以公開您的子網路。在 VPC 主控台中,選擇子網路,選擇您要與用戶端VPN端點建立關聯的子網路,選擇路由表,然後選擇路由表 ID。選擇 Actions (動作),選擇 Edit routes (編輯路由),然後選擇 Add route (新增路由)。對於 Destination (目的地),輸入 0.0.0.0/0,對於 Target (目標),選擇上一個步驟中的網際網路閘道。

  4. 在與 相同的區域中建立用戶端VPN端點VPC。若要執行此作業,請執行建立 AWS Client VPN 端點中所述的步驟。

  5. 將您先前識別的子網路與用戶端VPN端點建立關聯。若要執行此操作,請執行中所述的步驟將目標網路與 AWS Client VPN 端點建立關聯,然後選取 VPC和子網路。

  6. 新增授權規則,讓用戶端存取 VPC。若要執行此操作,請執行中所述的步驟新增授權規則;若要讓目的地網路啟用 ,請輸入 IPv4CIDR的範圍VPC。

  7. 新增路由以允許流向網際網路的流量。若要執行此操作,請執行中所述的步驟建立 AWS Client VPN 端點路由;對於路由目的地,請輸入 0.0.0.0/0,對於目標VPC子網路 ID,請選取您與用戶端VPN端點相關聯的子網路。

  8. 新增授權規則讓用戶端存取網際網路。若要執行此作業,請執行新增授權規則中所述的步驟;對於目的地網路,輸入 0.0.0.0/0

  9. 確保 中資源的安全群組VPC具有規則,允許從與用戶端VPN端點相關聯的安全群組存取 。這可讓用戶端存取 中的資源VPC。

此案例的 AWS Client VPN 組態可讓用戶端存取單一 VPC,並讓用戶端將流量路由至彼此。如果連接至相同用戶端VPN端點的用戶端也需要彼此通訊,我們建議使用此組態。用戶端可以使用在連線至用戶端VPN端點時,從用戶端CIDR範圍指派給他們的唯一 IP 地址互相通訊。

Client-to-client 存取

開始之前,請執行以下動作:

  • 建立或識別具有至少一個子網路VPC的 。識別 中VPC要與用戶端VPN端點建立關聯的子網路,並記下其IPv4CIDR範圍。

  • 為與 不重疊的用戶端 IP VPC 地址識別適當的CIDR範圍CIDR。

  • 檢閱 中用戶端VPN端點的規則和限制使用 的規則和最佳實務 AWS Client VPN

注意

在此案例中,不支援使用 Active Directory 群組或 SAMLIdP 群組的網路型授權規則。

實作此組態

  1. 在與 相同的區域中建立用戶端VPN端點VPC。若要執行此作業,請執行建立 AWS Client VPN 端點中所述的步驟。

  2. 將您先前識別的子網路與用戶端VPN端點建立關聯。若要執行此操作,請執行中所述的步驟將目標網路與 AWS Client VPN 端點建立關聯,然後選取 VPC和子網路。

  3. 在路由表中新增路由至區域網路。若要執行此作業,請執行建立 AWS Client VPN 端點路由中所述的步驟。對於路由目的地,輸入用戶端CIDR範圍,對於目標VPC子網路 ID,請指定 local

  4. 新增授權規則,讓用戶端存取 VPC。若要執行此作業,請執行新增授權規則中所述的步驟。針對要啟用 的目的地網路,輸入 IPv4CIDR的範圍VPC。

  5. 新增授權規則,讓用戶端存取用戶端CIDR範圍。若要執行此作業,請執行新增授權規則中所述的步驟。針對要啟用的目的地網路,輸入用戶端CIDR範圍。

您可以設定 AWS Client VPN 端點,以限制對 中特定資源的存取VPC。對於以使用者為基礎的身分驗證,您也可以根據存取用戶端VPN端點的使用者群組,限制對網路部分 的存取。

使用安全群組限制存取

您可以新增或移除參考套用至目標網路關聯之安全群組 (用戶端VPN安全群組) 的安全群組規則,VPC以授予或拒絕存取 中的特定資源。此組態闡明VPC 使用 用戶端存取 VPN 中所述的案例。除了該案例中設定的授權規則,還會套用此組態。

若要授與特定資源的存取權,請識別與執行資源的執行個體相關聯的安全群組。然後,建立允許來自用戶端VPN安全群組流量的規則。

在下圖中,安全群組 A 是用戶端VPN安全群組,安全群組 B 與EC2執行個體相關聯,而安全群組 C 與EC2執行個體相關聯。若您將規則新增至安全群組 B,允許來自安全群組 A 的存取權限,則用戶端可以存取與安全群組 B 關聯的執行個體。若安全群組 C 沒有規則允許來自安全群組 A 的存取權限,則用戶端無法存取與安全群組 C 關聯的執行個體。

限制對 中資源的存取 VPC

開始之前,請檢查用戶端VPN安全群組是否與您 中的其他資源相關聯VPC。如果您新增或移除參考用戶端VPN安全群組的規則,您也可以授予或拒絕其他相關資源的存取權。若要防止這種情況,請使用專門為搭配用戶端VPN端點使用而建立的安全群組。

建立安全群組規則

  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇與執行資源之執行個體相關聯的安全群組。

  4. 選擇 Actions (動作)、Edit inbound rules (編輯傳入規則)。

  5. 選擇 Add rule (新增規則),然後執行下列動作:

    • Type (類型) 中,選擇 All traffic (所有流量) 或您要允許的特定流量類型。

    • 針對來源,選擇自訂,然後輸入或選擇用戶端VPN安全群組的 ID。

  6. 選擇 Save rules (儲存規則)

若要移除特定資源的存取權,請檢查與執行資源之執行個體相關聯的安全群組。如果有規則允許來自用戶端VPN安全群組的流量,請將其刪除。

檢查安全群組規則

  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Inbound Rules (傳入規則)。

  4. 檢閱規則清單。如果有規則,其中 Source 是用戶端VPN安全群組,請選擇編輯規則,然後選擇刪除 (x 圖示) 作為規則。選擇 Save rules (儲存規則)。

根據使用者群組限制存取

如果您的用戶端VPN端點設定為以使用者為基礎的身分驗證,您可以授予特定使用者群組存取您網路的特定部分的權限。若要執行此動作,請執行下列步驟。

  1. 在 AWS Directory Service 或您的 IdP 中設定使用者和群組。如需詳細資訊,請參閱下列主題:

  2. 為您的用戶端VPN端點建立授權規則,允許指定群組存取您全部或部分的網路。如需詳細資訊,請參閱AWS Client VPN 授權規則

如果您的用戶端VPN端點設定為相互身分驗證,則無法設定使用者群組。當您建立授權規則時,您必須將存取權授與所有使用者。若要啟用特定使用者群組存取網路的特定部分,您可以建立多個用戶端VPN端點。例如,對於存取您網路的每個使用者群組,請執行下列動作:

  1. 為該使用者群組建立一組伺服器和用戶端憑證和金鑰。如需詳細資訊,請參閱中的相互身分驗證 AWS Client VPN

  2. 建立用戶端VPN端點。如需詳細資訊,請參閱建立 AWS Client VPN 端點

  3. 建立授權規則,授與全部或部分網路的存取權。例如,對於管理員使用的用戶端VPN端點,您可以建立授權規則來授予整個網路的存取權。如需詳細資訊,請參閱新增授權規則