View a markdown version of this page

Integrasi Transit Gateway dengan Client VPN - AWS Client VPN
IkhtisarManfaatCara kerja integrasi Transit GatewayPrasyaratBuat titik akhir VPN Klien Transit GatewayKelola ruteKonfigurasikan otorisasiKelola Availability ZoneAkses Transit Gateway lintas akunPertimbangan dan batasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Integrasi Transit Gateway dengan Client VPN

Anda dapat melampirkan titik akhir Client VPN secara native ke Gateway Transit untuk akses jarak jauh yang aman ke beberapa jaringan lokal VPCs, dan sumber daya lain yang terhubung ke Gateway Transit. Ini menghilangkan kebutuhan untuk membuat titik akhir VPN terpisah untuk setiap VPC atau mengelola perutean kompleks melalui perantara. VPCs

Ikhtisar

Saat Anda mengaitkan Gateway Transit dengan titik akhir Client VPN, klien VPN yang terhubung dapat mengakses semua sumber daya yang terhubung ke Gateway Transit jika rute dan aturan otorisasi yang sesuai dikonfigurasi di titik akhir Client VPN.

Titik akhir terkait Transit Gateway mempertahankan alamat IP sumber klien. Terjemahan alamat jaringan sumber (SNAT) tidak diterapkan, yang memberikan peningkatan visibilitas ke lalu lintas klien.

penting

Anda tidak dapat menggabungkan asosiasi subnet VPC dan asosiasi Transit Gateway dalam satu titik akhir Client VPN. Pilih satu jenis asosiasi saat Anda membuat titik akhir.

Manfaat

Integrasi Transit Gateway dengan Client VPN memberikan manfaat berikut:

  • Manajemen yang disederhanakan — Hilangkan kebutuhan akan titik akhir VPN terpisah per VPC. Tidak perlu membuat perantara VPCs hanya untuk penghentian VPN.

  • Perutean terpusat — Manfaatkan Transit Gateway sebagai hub perutean pusat. Sederhanakan manajemen rute di seluruh jaringan Anda.

  • Visibilitas yang ditingkatkan - Pertahankan alamat IP sumber klien (tanpa SNAT). Menyediakan dukungan flow log untuk Client VPN.

  • Skalabilitas — Mudah menambahkan baru VPCs ke Transit Gateway Anda yang dapat diakses melalui Client VPN. Skala untuk mendukung tenaga kerja jarak jauh dan unit bisnis yang besar.

  • Keamanan terpusat — Menerapkan kebijakan keamanan yang konsisten di semua jaringan yang terhubung. Pertahankan jejak audit yang komprehensif.

Cara kerja integrasi Transit Gateway

Berikut ini menjelaskan cara kerja Client VPN dengan Transit Gateway:

  1. Pembuatan titik akhir — Anda membuat titik akhir Client VPN dan menentukan ID Gateway Transit.

  2. Pembuatan lampiran — AWS secara otomatis membuat jenis lampiran Transit Gateway client-vpn untuk titik akhir.

  3. Pemilihan Availability Zone — Anda menentukan Availability Zone yang akan digunakan, atau AWS memilih 2 Availability Zone secara otomatis.

  4. Konfigurasi rute - Anda menambahkan rute ke tabel rute titik akhir Client VPN untuk mengarahkan lalu lintas klien ke jaringan tujuan melalui Gateway Transit.

  5. Alur koneksi klien — Ketika klien terhubung, lalu lintas mengalir dari klien melalui titik akhir Client VPN ke Gateway Transit, dan kemudian ke jaringan tujuan berdasarkan tabel rute Transit Gateway.

Aliran lalu lintas Transit Gateway dengan Client VPN

Prasyarat

Sebelum Anda membuat titik akhir Client VPN terkait Transit Gateway, verifikasi persyaratan berikut.

Persyaratan Transit Gateway

  • Transit Gateway yang ada di Wilayah yang sama dengan titik akhir Client VPN.

  • Untuk akses lintas akun, Transit Gateway harus dibagikan dengan akun Anda. AWS Resource Access Manager

  • Transit Gateway harus memiliki blok IPv4 CIDR yang ditetapkan. Jika Anda berencana untuk menggunakan IPv6 atau konfigurasi dual-stack, tetapkan juga blok CIDR. IPv6

Persyaratan jaringan

  • Rentang CIDR klien tidak boleh tumpang tindih dengan rentang CIDR yang VPCs dilampirkan ke Transit Gateway.

  • Availability Zone yang Anda pilih harus didukung oleh Transit Gateway.

  • Rute kembali harus dikonfigurasi dalam tabel rute VPC untuk mengarahkan lalu lintas yang ditujukan untuk rentang CIDR klien ke Gateway Transit.

Persyaratan sertifikat

  • Sertifikat server yang disediakan di AWS Certificate Manager (ACM) di Wilayah yang sama dengan titik akhir Client VPN.

  • Jika Anda menggunakan otentikasi timbal balik, sertifikat klien disediakan di ACM.

Buat titik akhir VPN Klien Transit Gateway

Anda dapat membuat titik akhir Client VPN yang terkait dengan Transit Gateway dengan menggunakan konsol atau. AWS CLI

Untuk membuat titik akhir Transit Gateway Client VPN (konsol)

  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Titik akhir Client VPN lalu pilih Buat Titik akhir Client VPN.

  3. (Opsional) Untuk tag Nama dan Deskripsi, masukkan nama dan deskripsi untuk titik akhir.

  4. Untuk jenis alamat IP Lalu Lintas, pilih salah satu dari berikut ini:

    • IPv4— Tentukan rentang IPv4 CIDR klien (misalnya,10.0.0.0/22).

    • IPv6— AWS secara otomatis menetapkan rentang IPv6 CIDR klien.

    • Tumpukan ganda - Tentukan rentang IPv4 CIDR klien. AWS secara otomatis menetapkan rentang IPv6 CIDR klien.

  5. Untuk ARN sertifikat Server, tentukan ARN untuk sertifikat TLS yang disediakan di ACM.

  6. Pilih metode otentikasi Anda. Untuk informasi selengkapnya, lihat Otentikasi klien di AWS Client VPN.

  7. (Opsional) Untuk pencatatan Koneksi, aktifkan Aktifkan detail log pada koneksi klien dan tentukan grup CloudWatch log log dan aliran log.

  8. Untuk Infrastruktur Jaringan, pilih Transit Gateway.

  9. Untuk ID Transit Gateway, pilih Transit Gateway dari daftar dropdown.

  10. (Opsional) Untuk Availability Zone, pilih hingga 5 Availability Zone. Jika Anda tidak memilih Availability Zones, AWS secara otomatis memilih 2.

  11. (Opsional) Konfigurasikan pengaturan tambahan seperti server DNS, protokol transport, split-tunnel, port VPN, batas waktu sesi, dan spanduk login.

  12. Pilih Create Client VPN endpoint.

catatan

Setelah pembuatan, status titik akhir adalahpending-associate. Lampiran Transit Gateway dibuat secara otomatis. Klien dapat terhubung setelah lampiran tersedia.

Untuk membuat titik akhir Transit Gateway Client VPN ()AWS CLI

Gunakan create-client-vpn-endpointperintah dengan --transit-gateway-id parameter.

Contoh berikut membuat titik akhir Client VPN dengan Availability Zone tertentu:

aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone-list us-east-1a us-east-1b us-east-1c

Contoh output:

{
    "ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
    "Status": {
        "Code": "pending-associate"
    },
    "DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}

Untuk membiarkan AWS secara otomatis memilih 2 Availability Zones, hilangkan --availability-zone-list parameter:

aws ec2 create-client-vpn-endpoint \
    --client-cidr-block 10.0.0.0/22 \
    --server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
    --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
    --connection-log-options Enabled=false \
    --transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE

Verifikasi lampiran Transit Gateway

Setelah Anda membuat titik akhir, verifikasi bahwa lampiran Transit Gateway telah dibuat.

Untuk memverifikasi lampiran Transit Gateway (konsol)

  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Lampiran Transit Gateway.

  3. Temukan lampiran dengan Resource type = client-vpn dan Resource ID yang cocok dengan ID endpoint Client VPN Anda.

  4. Verifikasi bahwa Negara adalahavailable.

Untuk memverifikasi lampiran Transit Gateway (AWS CLI)

Gunakan perintah describe-transit-gateway-attachments.

aws ec2 describe-transit-gateway-attachments \
    --filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn

Untuk melihat konfigurasi Transit Gateway untuk titik akhir, gunakan describe-client-vpn-endpointsperintah:

aws ec2 describe-client-vpn-endpoints \
    --client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE

Outputnya mencakup TransitGatewayConfiguration objek dengan ID Transit Gateway dan Availability Zone terkait.

Kelola rute

penting

Untuk titik akhir terkait Transit Gateway, Anda tidak menentukan ID subnet target saat membuat rute. Lalu lintas secara otomatis diarahkan melalui lampiran Transit Gateway.

Untuk menambahkan rute (konsol)

  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Pada panel navigasi, pilih Titik Akhir Client VPN.

  3. Pilih titik akhir Client VPN, pilih tabel Route, lalu pilih Buat rute.

  4. Untuk tujuan Rute, masukkan rentang CIDR tujuan (misalnya, 10.1.0.0/16 untuk VPC 0.0.0.0/0 atau untuk semua lalu lintas).

  5. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk rute.

  6. Pilih Buat rute.

Untuk menambahkan rute (AWS CLI)

Gunakan create-client-vpn-routeperintah tanpa --target-vpc-subnet-id parameter.

aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

Untuk menambahkan beberapa rute, jalankan perintah untuk setiap rentang CIDR tujuan:

# Route to VPC 1
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

# Route to VPC 2
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.2.0.0/16

# Route to on-premises network
aws ec2 create-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 192.168.0.0/16
Untuk menghapus rute (konsol)

  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Pada panel navigasi, pilih Titik Akhir Client VPN.

  3. Pilih titik akhir Client VPN, pilih tabel Route, pilih rute, lalu pilih Hapus rute.

  4. Pilih Hapus rute untuk mengonfirmasi.

Untuk menghapus rute (AWS CLI)

Gunakan perintah delete-client-vpn-route.

aws ec2 delete-client-vpn-route \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --destination-cidr-block 10.1.0.0/16

Konfigurasikan otorisasi

penting

Otorisasi berbasis grup keamanan tidak didukung untuk titik akhir Client VPN terkait Transit Gateway. Anda harus menggunakan aturan otorisasi berbasis jaringan untuk mengontrol akses klien.

Untuk menambahkan aturan otorisasi (konsol)

  1. Buka konsol VPC Amazon di. https://console.aws.amazon.com/vpc/

  2. Pada panel navigasi, pilih Titik Akhir Client VPN.

  3. Pilih titik akhir Client VPN, pilih Aturan otorisasi, lalu pilih Tambahkan aturan otorisasi.

  4. Untuk jaringan Tujuan untuk mengaktifkan akses, masukkan rentang CIDR tujuan (misalnya,10.1.0.0/16).

  5. Untuk akses Grant ke, pilih salah satu dari berikut ini:

    • Izinkan akses ke semua pengguna — Semua klien yang diautentikasi dapat mengakses jaringan tujuan.

    • Izinkan akses ke pengguna dalam grup akses tertentu - Masukkan grup Active Directory SID atau nama grup IDP di ID grup Access.

  6. Pilih Tambahkan aturan otorisasi.

Untuk menambahkan aturan otorisasi ()AWS CLI

Gunakan perintah authorize-client-vpn-ingress.

Contoh berikut memberi wewenang kepada semua pengguna untuk mengakses 10.1.0.0/16 jaringan:

aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --authorize-all-groups

Contoh berikut mengotorisasi grup Active Directory tertentu:

aws ec2 authorize-client-vpn-ingress \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --target-network-cidr 10.1.0.0/16 \
    --access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234

Kelola Availability Zone

Anda dapat memodifikasi Availability Zone untuk titik akhir VPN Klien terkait Transit Gateway setelah pembuatan.

Untuk menambahkan satu Availability Zone (AWS CLI)

Gunakan perintah associate-client-vpn-target-network dengan --availability-zone parameter.

aws ec2 associate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --availability-zone us-east-1c
Untuk menghapus satu Availability Zone (AWS CLI)

Pertama, gunakan perintah describe-client-vpn-target-networks untuk menemukan ID asosiasi untuk Availability Zone.

aws ec2 describe-client-vpn-target-networks \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE

Kemudian gunakan perintah disassociate-client-vpn-target-network dengan ID asosiasi.

aws ec2 disassociate-client-vpn-target-network \
    --client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
    --association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE

Akses Transit Gateway lintas akun

Anda dapat membuat titik akhir Client VPN yang terkait dengan Transit Gateway yang dimiliki oleh AWS akun lain. Untuk melakukan ini, pemilik Transit Gateway harus membagikan Gateway Transit dengan akun Anda melalui AWS Resource Access Manager.

Prasyarat

  • Akun pemilik Transit Gateway — Gateway Transit yang ada dan izin untuk membuat pembagian sumber daya. AWS Resource Access Manager

  • Akun endpoint Client VPN — Izin untuk membuat titik akhir Client VPN dan menerima AWS Resource Access Manager pembagian sumber daya.

Di akun titik akhir Client VPN, terima pembagian sumber daya di AWS Resource Access Manager konsol atau dengan menggunakan accept-resource-share-invitationperintah. Setelah Anda menerima pembagian, Gateway Transit muncul di dropdown ID Gateway Transit saat Anda membuat titik akhir Client VPN.

Pertimbangan dan batasan

Pertimbangkan hal berikut ketika Anda menggunakan integrasi Transit Gateway dengan Client VPN:

  • Pembatasan asosiasi

    • Anda tidak dapat menggabungkan asosiasi subnet VPC dan asosiasi Transit Gateway dalam satu titik akhir.

    • Setiap titik akhir harus menggunakan satu jenis asosiasi secara eksklusif.

  • Grup keamanan

    • Otorisasi berbasis grup keamanan tidak didukung untuk titik akhir Transit Gateway.

    • Gunakan aturan otorisasi berbasis jaringan saja.

  • Manajemen rute

    • Propagasi rute otomatis dari Transit Gateway tidak didukung.

    • Anda harus secara manual menentukan rute untuk jaringan tujuan.

  • CIDR tumpang tindih

    • Blok CIDR Client VPN tidak boleh tumpang tindih dengan lampiran Transit Gateway lainnya atau blok CIDR Transit Gateway.

    • Transit Gateway tidak mendukung rentang CIDR yang tumpang tindih di seluruh lampiran. VPCs

  • Batasan regional

    • Titik akhir Client VPN dan Transit Gateway harus berada di AWS Wilayah yang sama.

    • Peering Transit Gateway lintas wilayah tidak didukung untuk Client VPN.

  • Zona Ketersediaan

    • Anda dapat menentukan hingga 5 Availability Zone per endpoint.

    • Jika tidak ditentukan, AWS secara otomatis menetapkan 2 Availability Zones.

    • Semua Availability Zone yang ditentukan harus didukung oleh Client VPN dan Transit Gateway.

  • Kembalikan perutean

    • VPCs terhubung ke Transit Gateway harus memiliki rute kembali yang dikonfigurasi untuk mengarahkan lalu lintas yang ditujukan untuk Client VPN CIDR kembali ke Gateway Transit.

    • Tanpa routing pengembalian yang tepat, klien VPN tidak dapat mengakses sumber daya di. VPCs

      • Untuk IPv4: Client VPN CIDR dikenal pada waktu pembuatan endpoint.

      • Untuk IPv6: Anda harus menjelaskan tabel rute Transit Gateway untuk menentukan rentang IPv6 CIDR yang ditetapkan ke titik akhir Client VPN (rentang CIDR terbesar dalam Tabel Rute Gateway Transit yang terkait dengan titik akhir Client VPN), karena rentang CIDR IPv6 klien ditetapkan secara otomatis oleh. AWS Client VPN

  • Koneksi dan log aliran

    • Log aliran Transit Gateway dapat diaktifkan untuk menangkap informasi tentang lalu lintas IP yang menuju dan dari Gateway Transit Anda. Log koneksi Client VPN dapat diaktifkan untuk menangkap informasi tentang peristiwa koneksi Client VPN.

    • Anda dapat menghubungkan peristiwa log aliran Transit Gateway ke koneksi Client VPN dengan membandingkan IP klien dan stempel waktu dalam peristiwa log aliran Transit Gateway dengan IP klien dan periode waktu yang sama dalam log koneksi Client VPN.

  • Konektivitas internet

    • Untuk mengakses internet melalui Client VPN dengan Transit Gateway, tanpa terowongan terpisah, VPC yang terpasang harus memiliki konfigurasi NAT.