本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 AWS Client VPN?
AWS Client VPN 是一項受管理的用戶端VPN服務,可讓您安全地存取內部部署網路中的資 AWS 源和資源。使用 ClientVPN,您可以使用開放VPN式用VPN戶端從任何位置存取您的資源。
客戶的特點 VPN
用戶端VPN提供下列特性和功能:
-
安全連TLS接 — 它提供了使用打開VPN客戶端從任何位置的安全連接。
-
託管服務 — 這是一項 AWS 託管服務,因此可消除部署和管理第三方遠端存取VPN解決方案的操作負擔。
-
高可用性和彈性 — 它會自動擴展到連接到您的 AWS 資源和內部部署資源的用戶數量。
-
身分驗證 – 支援使用 Active Directory、聯合身分驗證和以憑證為基礎的身分驗證進行用戶端身分驗證。
-
精細控制 – 可讓您定義以網路為基礎的存取規則,以實作自訂安全控制。這些規則的設定可達到 Active Directory 群組的精細度。您也可以使用安全群組來實作存取控制。
-
易於使用 — 它可讓您使用單一VPN通道存取資 AWS 源和內部部署資源。
-
可管理性 – 可讓您查看連線日誌,其中提供用戶端連線嘗試的詳細資訊。您也可以管理作用中用戶端連線,允許您終止作用中用戶端連線。
-
深度集成 — 它與包括 AWS Directory Service Amazon 在內的現有 AWS 服務集成VPC。
用戶端的元件 VPN
以下是客戶端的關鍵概念VPN:
- 用戶端VPN端點
-
Client VPN 端點是您建立和設定以啟用和管理用戶端VPN工作階段的資源。這是所有用戶端VPN工作階段的終止點。
- 目標網路
-
目標網路是您與用戶VPN端端點建立關聯的網路。來自的子網路VPC是目標網路。將子網路與 Client VPN 端點建立關聯可讓您建立VPN工作階段。您可以將多個子網路與用戶VPN端端點建立關聯,以取得高可用性。所有子網路必須來自相同VPC的子網路。每個子網路必須屬於不同的可用區域。
- 路由
-
每個 Client VPN 端點都有一個路由表格,說明可用的目的地網路路由。路由表中的每個路由指定流量流向特定資源或網路的路徑。
- 授權規則
-
授權規則限制可存取網路的使用者。針對指定的網路,您可以設定允許存取的 Active Directory 或身分提供者 (IdP) 群組。只有屬於此群組的使用者才能存取指定的網路。在預設情況下沒有授權規則,您必須設定授權規則讓使用者存取資源和網路。
- 用戶端
-
連線到用戶端端點以建立VPN工作階段的終VPN端使用者。使用者需要下載開啟的用VPN戶端,並使用您建立的用戶端VPN組態檔案來建立VPN工作階段。
- 用戶端CIDR範圍
-
要指派用戶端 IP 地址的來源 IP 地址範圍。每個與用戶VPN端端點的連線都會從用戶端CIDR範圍指派一個唯一的 IP 位址。您可以選擇用戶端CIDR範圍,例如,
10.2.0.0/16
。 - 客戶端端VPN口
-
AWS Client VPN 同TCP時支援和的連接埠 443 和 1194。UDP預設值為連接埠 443。
- 用戶端VPN網路介面
-
當您將子網路與 Client VPN 端點建立關聯時,我們會在該子VPN網路中建立用戶端網路介面。從用戶端端點傳送VPC到的流量會透過用戶VPN端VPN網路介面傳送。接著會套用來源網路位址轉譯 (SNAT),其中來自用戶端CIDR範圍的來源 IP 位址會轉譯為用戶端VPN網路介面 IP 位址。
- 連線日誌記錄
-
您可以啟用用戶VPN端端點的連線記錄,以記錄連線事件。您可以使用此資訊執行鑑識、分析 Client VPN 端點的使用方式,或偵錯連線問題。
- 自助式入口網站
-
Client VPN 提供自助入口網站做為網頁,供使用者下載最新版的AWSVPN桌面用戶端和最新版本的用戶VPN端端點設定檔,其中包含連線到其端點所需的設定。用戶端VPN端點管理員可以啟用或停用 Client VPN 端點的自助入口網站。自助入口網站是以下區域的服務堆疊支援的全球服務:美國東部 (維吉尼亞北部)、亞太區域 (東京)、歐洲 (愛爾蘭) 及 AWS GovCloud (美國西部)。
使用用戶端 VPN
您可以透過下列任何一種方式與用戶端VPN合作:
- AWS Management Console
-
主控台為用戶端提供網頁式使用者介面VPN。如果您已註冊 AWS 帳戶,則可以登入 Amazon VPC
主控台並在導覽窗格VPN中選取用戶端。 - AWS Command Line Interface (AWS CLI)
-
提 AWS CLI 供對用戶端VPN公用的直接存取APIs。Windows、macOS 和 Linux 都提供支援。若要取得有關入門的更多資訊 AWS CLI,請參閱《AWS Command Line Interface 使用者指南》。若要取得有關用戶端指令的更多資訊VPN,請參閱《AWS CLI 命令參考》。
- AWS Tools for Windows PowerShell
-
AWS 為在PowerShell 環境中編寫指令碼的使用者提供廣泛的 AWS 產品組合的命令。如需 AWS Tools for Windows PowerShell入門的詳細資訊,請參閱 AWS Tools for Windows PowerShell 使用者指南。如需用戶端指令程式的相關資訊VPN,請參閱AWS Tools for Windows PowerShell 指令程式參考。
- 查詢 API
-
用戶端VPNHTTPS查詢可API讓您以程式設計方式存取用戶端VPN和 AWS. 「HTTPS查詢」API 可讓您直接向服務發出HTTPS要求。使用時 HTTPSAPI,您必須包含程式碼,才能使用您的認證進行數位簽署要求。如需詳細資訊,請參閱 AWS Client VPN 動作。
客戶定價 VPN
每個端點關聯和每個VPN連線每小時都會向您收費。如需詳細資訊,請參閱 AWS Client VPN 定價
您需要支付從 Amazon 傳輸到互聯網EC2的數據費用。如需詳細資訊,請參閱 Amazon EC2 隨需定價期限的資料傳輸
如果您為 Client VPN 端點啟用連線記錄,則必須在帳戶中建立記錄 CloudWatch 檔記錄群組。使用日誌群組需支付費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價
如果您為用戶端端點啟用用戶VPN端連線處理常式,則必須建立並叫用 Lambda 函數。呼叫 Lambda 函數需支付費用。如需詳細資訊,請參閱 AWS Lambda
定價
用戶VPN端端點與目標網路相關聯,目標網路是VPC. 如果VPC有網 Internet Gateway,我們會將彈性 IP 位址與用戶端VPN彈性網路介面 (ENIs) 建立關聯。這些彈性 IP 位址會以使用中的公用位IPv4址計費。如需詳細資訊,請參閱定VPC價頁面