什麼是 AWS Client VPN? - AWS Client VPN
Client VPN 的功能Client VPN 的元件使用 Client VPNClient VPN 的定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Client VPN?

AWS Client VPN 是一種受管的用戶端型 VPN 服務,可讓您安全地存取內部部署網路中的 AWS 資源和資源。透過 Client VPN,您可以從任何地方使用以 OpenVPN 為基礎的 VPN 用戶端存取您的資源。

主題

Client VPN 的功能

Client VPN 提供以下特色和功能:

  • 安全連線 – 支援從任何地方使用 OpenVPN 用戶端建立安全的 TLS 連線。

  • 受管服務 — 它是一種 AWS 受管服務,因此可免除部署和管理第三方遠端存取 VPN 解決方案的操作負擔。

  • 高可用性和彈性 — 它會自動擴展到連接到您的 AWS 資源和內部部署資源的使用者數量。

  • 身分驗證 – 支援使用 Active Directory、聯合身分驗證和以憑證為基礎的身分驗證進行用戶端身分驗證。

  • 精細控制 – 可讓您定義以網路為基礎的存取規則,以實作自訂安全控制。這些規則的設定可達到 Active Directory 群組的精細度。您也可以使用安全群組來實作存取控制。

  • 易於使用 — 它可讓您使用單一 VPN 通道存取您的 AWS 資源和內部部署資源。

  • 可管理性 – 可讓您查看連線日誌,其中提供用戶端連線嘗試的詳細資訊。您也可以管理作用中用戶端連線,允許您終止作用中用戶端連線。

  • 深度整合 — 它與現有的 AWS 服務整合,包括 AWS Directory Service 和 Amazon VPC。

Client VPN 的元件

以下是 Client VPN 的重要概念:

用戶端 VPN 端點

Client VPN 端點是您為了啟用和管理 Client VPN 工作階段而建立及設定的資源。它是所有用户端 VPN 工作階段的終止點。

目標網路

目標網路是與 Client VPN 端點相關聯的網路。始於 VPC 的子網路是目標網路。將子網路與 Client VPN 端點建立關聯可讓您建立 VPN 工作階段。您可以將多個子網路與 Client VPN 端點建立關聯,以獲得高可用性。所有子網路必須來自相同的 VPC。每個子網路必須屬於不同的可用區域。

路由

每個用戶端 VPN 端點都有路由表來描述可用的目標網路路由。路由表中的每個路由指定流量流向特定資源或網路的路徑。

授權規則

授權規則限制可存取網路的使用者。針對指定的網路,您可以設定允許存取的 Active Directory 或身分提供者 (IdP) 群組。只有屬於此群組的使用者才能存取指定的網路。在預設情況下沒有授權規則,您必須設定授權規則讓使用者存取資源和網路。

用戶端

連線到 Client VPN 端點以建立 VPN 工作階段的最終使用者。最終使用者需要下載 OpenVPN 用戶端,並使用您建立的用戶端 VPN 組態檔案來建立 VPN 工作階段。

用戶端 CIDR 範圍

要指派用戶端 IP 地址的來源 IP 地址範圍。每個與 Client VPN 端點的連線都會從用戶端 CIDR 範圍指派唯一的 IP 地址。您可以選擇用戶端 CIDR 範圍,例如 10.2.0.0/16

用戶端 VPN 連接埠

AWS Client VPN 支援 TCP 和 UDP 的連接埠 443 和 1194。預設值為連接埠 443。

Client VPN 網路界面

當您將子網路與 Client VPN 端點建立關聯時,我們會在該子網路中建立 Client VPN 網路界面。從 Client VPN 端點傳送至 VPC 的流量是透過 Client VPN 網路界面傳送。接著會套用來源網路位址轉譯 (SNAT),其中來源 IP 地址會從用戶端 CIDR 範圍轉譯成 Client VPN 網路界面 IP 地址。

連線日誌記錄

您可以啟用 Client VPN 端點的連線日誌,以記錄連線事件。您可以使用此資訊來執行鑑識、分析 Client VPN 端點的使用方式,或偵錯連線問題。

自助式入口網站

Client VPN 提供自助式入口網站做為網頁,讓最終使用者能夠下載 AWS VPN 桌面用戶端的最新版本,以及 Client VPN 端點組態檔案的最新版本,其中包含連線至端點所需的設定。Client VPN 端點管理員可以啟用或停用 Client VPN 端點的自助式入口網站。自助式入口網站是一項全球服務,由下列區域中的服務堆疊提供支援:美國東部 (維吉尼亞北部)、亞太區域 (東京)、歐洲 (愛爾蘭) 和 AWS GovCloud (美國西部)。

使用 Client VPN

您可以透過以下任何方式來使用 Client VPN:

AWS Management Console

主控台為 Client VPN 提供 Web 型使用者界面。如果您已註冊 AWS 帳戶,您可以登入 Amazon VPC 主控台,然後在導覽窗格中選取 Client VPN。

AWS Command Line Interface (AWS CLI)

AWS CLI 可讓您直接存取 Client VPN 公有 APIs。Windows、macOS 和 Linux 都提供支援。如需 入門的詳細資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南。如需 Client VPN 命令的詳細資訊,請參閱《AWS CLI 命令參考》。

AWS Tools for Windows PowerShell

AWS 為在 PowerShell 環境中編寫指令碼的人員提供廣泛的 AWS 產品命令。如需 AWS Tools for Windows PowerShell入門的詳細資訊,請參閱 AWS Tools for Windows PowerShell 使用者指南。如需 Client VPN 專用 Cmdlet 的詳細資訊,請參閱 AWS Tools for Windows PowerShell Cmdlet 參考

查詢 API

Client VPN HTTPS 查詢 API 可讓您以程式設計方式存取 Client VPN 和 AWS。HTTPS 查詢 API 可讓您直接向該服務發出 HTTPS 請求。當您使用 HTTPS API 時,必須包含使用您的登入資料來數位簽署請求的程式碼。如需詳細資訊,請參閱 AWS Client VPN 動作

Client VPN 的定價

系統會針對每個端點關聯和每個 VPN 連接來向您收取費用 (以小時為計費單位)。如需詳細資訊,請參閱 AWS Client VPN 定價

系統會針對從 Amazon EC2 傳輸資料至網際網路來向您收取費用。如需詳細資訊,請參閱「Amazon EC2 隨需定價」頁面上的資料傳輸

如果您啟用 Client VPN 端點的連線日誌記錄,則必須在帳戶中建立 CloudWatch Logs 日誌群組。使用日誌群組需支付費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價 (在 Paid tier (付費層級) 下,選擇 Logs (日誌))。

如果您為 Client VPN 端點啟用用戶端連線處理器,就必須建立並呼叫 Lambda 函數。呼叫 Lambda 函數需支付費用。如需詳細資訊,請參閱 AWS Lambda 定價

Client VPN 端點與目標網路相關聯,而目標網路是 VPC 中的子網路。如果此 VPC 具有網際網路閘道,我們會將彈性 IP 地址與 Client VPN 彈性網路介面 (ENIs建立關聯。這些彈性 IP 地址會以使用中的公有 IPv4 地址收費。如需詳細資訊,請參閱 VPC 定價頁面上的公有 IPv4 地址索引標籤。