Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tutorial: Mengkonfigurasi akses jaringan pribadi menggunakan AWS Client VPN
Tutorial ini memandu Anda melalui langkah-langkah untuk membuat terowongan VPN dari komputer Anda ke server web Apache Airflow untuk Amazon Managed Workflow untuk lingkungan Apache Airflow Anda. Untuk terhubung ke internet melalui terowongan VPN, Anda harus terlebih dahulu membuat AWS Client VPN titik akhir. Setelah diatur, titik akhir Client VPN bertindak sebagai server VPN yang memungkinkan koneksi aman dari komputer Anda ke sumber daya di VPC Anda. Anda kemudian akan terhubung ke Client VPN dari komputer Anda menggunakan [AWS Client VPN for Desktop](https://aws.amazon.com/vpn/client-vpn-download/).
**Topics**
+ [Jaringan pribadi](#private-network-vpn-onconsole)
+ [Kasus penggunaan](#private-network-vpn-usecases)
+ [Sebelum memulai](#private-network-vpn-prereqs)
+ [Tujuan](#private-network-vpn-objectives)
+ [(Opsional) Langkah satu: Identifikasi VPC, aturan CIDR, dan keamanan VPC Anda](#private-network-vpn-optional)
+ [Langkah kedua: Buat server dan sertifikat klien](#private-network-vpn-certs)
+ [Langkah ketiga: Simpan CloudFormation template secara lokal](#private-network-vpn-template)
+ [Langkah empat: Buat CloudFormation tumpukan Client VPN](#private-network-vpn-create)
+ [Langkah lima: Kaitkan subnet ke Client VPN Anda](#private-network-vpn-associate)
+ [Langkah enam: Tambahkan aturan masuknya otorisasi ke Client VPN Anda](#private-network-vpn-autho)
+ [Langkah tujuh: Unduh file konfigurasi titik akhir Client VPN](#private-network-vpn-download)
+ [Langkah delapan: Connect ke AWS Client VPN](#private-network-vpn-connect)
+ [Apa selanjutnya?](#create-vpc-vpn-next-up)
## Jaringan pribadi
Tutorial ini mengasumsikan Anda telah memilih mode akses **jaringan Pribadi** untuk server web Apache Airflow Anda.
[Mode akses jaringan pribadi membatasi akses ke UI Apache Airflow kepada pengguna *dalam VPC Amazon* Anda yang telah diberikan akses ke kebijakan IAM untuk lingkungan Anda.](access-policies.md)
Saat Anda membuat lingkungan dengan akses server web pribadi, Anda harus mengemas semua dependensi Anda dalam arsip roda Python (`.whl`), lalu mereferensikan di file Anda. `.whl` `requirements.txt` Untuk petunjuk tentang pengemasan dan pemasangan dependensi Anda menggunakan roda, lihat [Mengelola dependensi menggunakan](best-practices-dependencies.md#best-practices-dependencies-python-wheels) roda Python.
Gambar berikut menggambarkan di mana menemukan opsi **Jaringan pribadi** di konsol Amazon MWAA.
## Kasus penggunaan
Anda dapat menggunakan tutorial ini sebelum atau setelah Anda membuat lingkungan Amazon MWAA. Anda harus menggunakan VPC Amazon, grup keamanan VPC, dan subnet pribadi yang sama dengan lingkungan Anda. **Jika Anda menggunakan tutorial ini setelah Anda membuat lingkungan Amazon MWAA, setelah Anda menyelesaikan langkah-langkahnya, Anda dapat kembali ke konsol Amazon MWAA dan mengubah mode akses server web Apache Airflow Anda ke Jaringan pribadi.**
## Sebelum memulai
1. Periksa izin pengguna. Pastikan akun Anda di AWS Identity and Access Management (IAM) memiliki izin yang cukup untuk membuat dan mengelola sumber daya VPC.
1. Gunakan VPC Amazon MWAA Anda. Tutorial ini mengasumsikan bahwa Anda mengaitkan Client VPN ke VPC yang ada. VPC Amazon harus sama Wilayah AWS dengan lingkungan Amazon MWAA dan memiliki dua subnet pribadi. Jika Anda belum membuat VPC Amazon, gunakan CloudFormation template di. [Opsi tiga: Membuat jaringan VPC Amazon *tanpa* akses internet](vpc-create.md#vpc-create-template-private-only)
## Tujuan
Dalam tutorial ini, Anda akan melakukan hal berikut:
1. Buat AWS Client VPN titik akhir menggunakan CloudFormation templat untuk VPC Amazon yang ada.
1. Hasilkan sertifikat dan kunci server dan klien, lalu unggah sertifikat server dan kunci ke AWS Certificate Manager Wilayah AWS sama dengan lingkungan Amazon MWAA.
1. Unduh dan modifikasi file konfigurasi titik akhir Client VPN untuk Client VPN Anda, dan gunakan file tersebut untuk membuat profil VPN untuk terhubung menggunakan Client VPN for Desktop.
## (Opsional) Langkah satu: Identifikasi VPC, aturan CIDR, dan keamanan VPC Anda
Bagian berikut menjelaskan cara menemukan IDs VPC Amazon Anda, grup keamanan VPC, dan cara untuk mengidentifikasi aturan CIDR yang Anda perlukan untuk membuat Client VPN Anda di langkah selanjutnya.
### Identifikasi aturan CIDR Anda
Bagian berikut menjelaskan cara mengidentifikasi aturan CIDR, yang Anda perlukan untuk membuat Client VPN Anda.
**Untuk mengidentifikasi CIDR untuk Client VPN Anda**
1. Buka [ VPCs halaman Amazon Anda](https://console.aws.amazon.com/vpc/home#/vpcs:) di konsol VPC Amazon.
1. Gunakan pemilih wilayah di bilah navigasi untuk memilih yang Wilayah AWS sama dengan lingkungan Amazon MWAA.
1. Pilih Amazon VPC Anda.
1. Dengan asumsi CIDRs untuk subnet pribadi Anda adalah:
+ Subnet Pribadi 1:10.192.10.0 `/24`
+ Subnet Pribadi 2:10.192.11.0 `/24`
Jika CIDR untuk VPC Amazon Anda adalah `/16` 10.192.0.0, maka CIDR Klien yang akan Anda tentukan untuk ** IPv4 Client VPN** Anda adalah 10.192.0.0. `/22`
1. Simpan nilai CIDR ini, dan nilai ID VPC Anda untuk langkah selanjutnya.
### Identifikasi VPC dan grup keamanan Anda
Bagian berikut menjelaskan cara menemukan ID VPC Amazon dan grup keamanan Anda, yang Anda perlukan untuk membuat Client VPN Anda.
**catatan**
Anda mungkin menggunakan lebih dari satu grup keamanan. Anda harus menentukan semua grup keamanan VPC Anda di langkah selanjutnya.
**Untuk mengidentifikasi kelompok-kelompok keamanan**
1. Buka [halaman Grup Keamanan](https://console.aws.amazon.com/vpc/home#/securityGroups:) di konsol VPC Amazon.
1. Gunakan pemilih wilayah di bilah navigasi untuk memilih. Wilayah AWS
1. Cari VPC Amazon di **ID VPC**, dan identifikasi grup keamanan yang terkait dengan VPC.
1. Simpan ID grup keamanan dan VPC Anda untuk langkah selanjutnya.
## Langkah kedua: Buat server dan sertifikat klien
Titik akhir Client VPN mendukung 1024-bit dan 2048-bit RSA kunci ukuran saja. Bagian berikut menjelaskan cara menggunakan OpenVPN easy-rsa untuk menghasilkan sertifikat dan kunci server dan klien, dan kemudian mengunggah sertifikat ke ACM menggunakan (). AWS Command Line Interface AWS CLI
**Untuk membuat sertifikat klien**
1. Ikuti langkah-langkah cepat ini untuk membuat dan mengunggah sertifikat ke ACM melalui [otentikasi dan otorisasi Klien AWS CLI di: Otentikasi](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html#mutual) bersama.
1. Dalam langkah-langkah ini, Anda **harus** menentukan Wilayah AWS sama dengan lingkungan Amazon MWAA dalam AWS CLI perintah saat mengunggah server dan sertifikat klien Anda. Berikut beberapa contoh cara menentukan wilayah dalam perintah ini:
1.
**Example wilayah untuk sertifikat server**
```
aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt {{--region us-west-2}}
```
1.
**Example wilayah untuk sertifikat klien**
```
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt {{--region us-west-2}}
```
1. Setelah langkah-langkah ini, simpan nilai yang dikembalikan dalam AWS CLI respons untuk sertifikat server dan sertifikat klien ARNs. Anda akan menentukan ini ARNs di CloudFormation template Anda untuk membuat Client VPN.
1. Dalam langkah-langkah ini, sertifikat klien dan kunci pribadi disimpan ke komputer Anda. Berikut adalah contoh di mana menemukan kredensional ini:
1.
**Example di macOS**
Di macOS, konten disimpan di. `/Users/{{your-user}}/custom_folder` Jika Anda mencantumkan semua (`ls -a`) isi direktori ini, Anda mendapatkan sesuatu yang mirip dengan berikut ini:
```
.
..
ca.crt
client1.domain.tld.crt
client1.domain.tld.key
server.crt
server.key
```
1. Setelah langkah-langkah ini, simpan konten atau catat lokasi sertifikat klien`client1.domain.tld.crt`, dan kunci pribadi masuk`client1.domain.tld.key`. Anda akan menambahkan nilai-nilai ini ke file konfigurasi untuk Client VPN Anda.
## Langkah ketiga: Simpan CloudFormation template secara lokal
Bagian berikut berisi CloudFormation template untuk membuat Client VPN. Anda harus menentukan VPC Amazon, grup keamanan VPC, dan subnet pribadi yang sama dengan lingkungan Amazon MWAA Anda.
+ Salin isi template berikut dan simpan secara lokal sebagai`mwaa_vpn_client.yaml`. Anda juga dapat [mengunduh template](./samples/mwaa_vpn_client.zip).
Gantikan nilai-nilai berikut:
+ **YOUR\_CLIENT\_ROOT\_CERTIFICATE\_ARN**— ARN untuk sertifikat **client1.domain.tld** Anda di. `ClientRootCertificateChainArn`
+ **YOUR\_SERVER\_CERTIFICATE\_ARN**— ARN untuk sertifikat **server** Anda di. `ServerCertificateArn`
+ Aturan IPv4 CIDR Klien di`ClientCidrBlock`. Aturan CIDR `10.192.0.0/22` disediakan.
+ ID VPC Amazon Anda masuk. `VpcId` VPC disediakan. `vpc-010101010101`
+ Grup IDs keamanan VPC Anda masuk. `SecurityGroupIds` Kelompok keamanan `sg-0101010101` disediakan.
```
AWSTemplateFormatVersion: 2010-09-09
Description: This template deploys a VPN Client Endpoint.
Resources:
ClientVpnEndpoint:
Type: 'AWS::EC2::ClientVpnEndpoint'
Properties:
AuthenticationOptions:
- Type: "certificate-authentication"
MutualAuthentication:
ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN"
ClientCidrBlock: 10.192.0.0/22
ClientConnectOptions:
Enabled: false
ConnectionLogOptions:
Enabled: false
Description: "MWAA Client VPN"
DnsServers: []
SecurityGroupIds:
- sg-0101010101
SelfServicePortal: ''
ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN"
SplitTunnel: true
TagSpecifications:
- ResourceType: "client-vpn-endpoint"
Tags:
- Key: Name
Value: MWAA-Client-VPN
TransportProtocol: udp
VpcId: vpc-010101010101
VpnPort: 443
```
**catatan**
Jika Anda menggunakan lebih dari satu grup keamanan untuk lingkungan Anda, Anda dapat menentukan beberapa grup keamanan dalam format berikut:
```
SecurityGroupIds:
- sg-0112233445566778b
- sg-0223344556677889f
```
## Langkah empat: Buat CloudFormation tumpukan Client VPN
**Untuk membuat AWS Client VPN**
1. Buka [konsol AWS CloudFormation](https://console.aws.amazon.com/cloudformation/home#).
1. Pilih **Template siap**, **Upload file template**.
1. Pilih **Pilih file**, dan pilih `mwaa_vpn_client.yaml` file Anda.
1. Pilih **Berikutnya**, **Berikutnya**.
1. Pilih pengakuan, lalu pilih **Buat** tumpukan.
## Langkah lima: Kaitkan subnet ke Client VPN Anda
**Untuk mengaitkan subnet pribadi ke AWS Client VPN**
1. Buka konsol [Amazon VPC](https://console.aws.amazon.com/vpc/home#).
1. Pilih halaman **Endpoint Client VPN**.
1. Pilih Client VPN Anda, lalu pilih tab **Asosiasi**, **Associate**.
1. Pilih yang berikut dalam daftar dropdown:
+ **VPC Amazon Anda di VPC.**
+ Salah satu subnet pribadi Anda di **Pilih subnet untuk diasosiasikan**.
1. Pilih **Kaitkan**.
**catatan**
Dibutuhkan beberapa menit untuk VPC dan subnet untuk dikaitkan dengan Client VPN.
## Langkah enam: Tambahkan aturan masuknya otorisasi ke Client VPN Anda
Anda perlu menambahkan aturan masuknya otorisasi menggunakan aturan CIDR untuk VPC Anda ke Client VPN Anda. *Jika Anda ingin mengotorisasi pengguna atau grup tertentu dari Grup Direktori Aktif atau Penyedia Identitas berbasis SAML (IDP), lihat aturan [Otorisasi dalam](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-rules.html) panduan Client VPN.*
**Untuk menambahkan CIDR ke AWS Client VPN**
1. Buka konsol [Amazon VPC](https://console.aws.amazon.com/vpc/home#).
1. Pilih halaman **Endpoint Client VPN**.
1. Pilih Client VPN Anda, lalu pilih tab **Otorisasi**, **Otorisasi** Ingress.
1. Tentukan hal berikut:
+ Aturan CIDR Amazon VPC Anda di **jaringan Tujuan untuk mengaktifkan**. Misalnya:
```
10.192.0.0/16
```
+ Pilih **Izinkan akses ke semua pengguna** di **Akses hibah ke**.
+ Masukkan nama deskriptif di **Deskripsi**.
1. Pilih **Tambahkan aturan Otorisasi**.
**catatan**
Bergantung pada komponen jaringan untuk VPC Amazon Anda, Anda mungkin juga perlu aturan masuknya otorisasi ini ke daftar kontrol akses jaringan (NACL) Anda.
## Langkah tujuh: Unduh file konfigurasi titik akhir Client VPN
**Untuk mengunduh file konfigurasi**
1. Ikuti langkah-langkah cepat ini untuk mengunduh file konfigurasi Client VPN di [Unduh file konfigurasi titik akhir Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html#cvpn-getting-started-config).
1. Dalam langkah-langkah ini, Anda diminta untuk menambahkan string ke nama DNS endpoint Client VPN Anda. Inilah contohnya:
1.
**Example nama DNS titik akhir**
Jika nama DNS titik akhir Client VPN Anda adalah:
```
remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
Anda dapat menambahkan string untuk mengidentifikasi titik akhir Client VPN Anda seperti ini:
```
remote {{mwaavpn}}.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
1. Dalam langkah-langkah ini, Anda diminta untuk menambahkan konten sertifikat klien antara kumpulan `` tag baru dan isi kunci pribadi di antara kumpulan `` tag baru. Inilah contohnya:
1. Buka prompt perintah dan ubah direktori ke lokasi sertifikat klien dan kunci pribadi Anda.
1.
**Example macOS client1.domain.tld.crt**
Untuk menampilkan konten `client1.domain.tld.crt` file di macOS, Anda dapat menggunakan. `cat client1.domain.tld.crt`
Salin nilai dari terminal dan tempel `downloaded-client-config.ovpn` seperti ini:
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.crt}}
-----END CERTIFICATE-----
```
1.
**Example macOS client1.domain.tld.key**
Untuk menampilkan isi`client1.domain.tld.key`, Anda dapat menggunakan`cat client1.domain.tld.key`.
Salin nilai dari terminal dan tempel `downloaded-client-config.ovpn` seperti ini:
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.crt}}
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
{{YOUR client1.domain.tld.key}}
-----END CERTIFICATE-----
```
## Langkah delapan: Connect ke AWS Client VPN
Klien untuk AWS Client VPN disediakan secara gratis. Anda dapat menghubungkan komputer Anda secara langsung AWS Client VPN untuk pengalaman end-to-end VPN.
**Untuk terhubung ke Client VPN**
1. Unduh dan instal [AWS Client VPN untuk Desktop](https://aws.amazon.com/vpn/client-vpn-download/).
1. Buka AWS Client VPN.
1. Pilih **File**, **Profil terkelola** di menu klien VPN.
1. Pilih **Tambahkan profil**, lalu pilih`downloaded-client-config.ovpn`.
1. Masukkan nama deskriptif di **Nama Tampilan**.
1. Pilih **Tambahkan profil**, **Selesai**.
1. Pilih **Hubungkan**.
Setelah terhubung ke Client VPN, Anda harus memutuskan sambungan dari yang lain VPNs untuk mengakses sumber daya apa pun di VPC Amazon Anda.
**catatan**
Anda mungkin harus keluar dari klien, dan mulai lagi sebelum Anda dapat terhubung.
## Apa selanjutnya?
+ Pelajari cara membuat lingkungan Amazon MWAA di. [Memulai dengan Amazon Managed Workflows for Apache Airflow](get-started.md) Anda harus membuat lingkungan yang Wilayah AWS sama dengan Client VPN, dan menggunakan VPC, subnet pribadi, dan grup keamanan yang sama dengan Client VPN.