Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Integrasi Transit Gateway dengan Client VPN
Anda dapat melampirkan titik akhir Client VPN secara native ke Gateway Transit untuk akses jarak jauh yang aman ke beberapa jaringan lokal VPCs, dan sumber daya lain yang terhubung ke Gateway Transit. Ini menghilangkan kebutuhan untuk membuat titik akhir VPN terpisah untuk setiap VPC atau mengelola perutean kompleks melalui perantara. VPCs
**Topics**
+ [Ikhtisar](#cvpn-tgw-overview)
+ [Manfaat](#cvpn-tgw-benefits)
+ [Cara kerja integrasi Transit Gateway](#cvpn-tgw-how-it-works)
+ [Prasyarat](#cvpn-tgw-prerequisites)
+ [Buat titik akhir VPN Klien Transit Gateway](#cvpn-tgw-create)
+ [Kelola rute](#cvpn-tgw-routes)
+ [Konfigurasikan otorisasi](#cvpn-tgw-authorization)
+ [Kelola Availability Zone](#cvpn-tgw-manage-azs)
+ [Akses Transit Gateway lintas akun](#cvpn-tgw-cross-account)
+ [Pertimbangan dan batasan](#cvpn-tgw-limitations)
## Ikhtisar
Saat Anda mengaitkan Gateway Transit dengan titik akhir Client VPN, klien VPN yang terhubung dapat mengakses semua sumber daya yang terhubung ke Gateway Transit jika rute dan aturan otorisasi yang sesuai dikonfigurasi di titik akhir Client VPN.
Titik akhir terkait Transit Gateway mempertahankan alamat IP sumber klien. Terjemahan alamat jaringan sumber (SNAT) tidak diterapkan, yang memberikan peningkatan visibilitas ke lalu lintas klien.
**penting**
Anda tidak dapat menggabungkan asosiasi subnet VPC dan asosiasi Transit Gateway dalam satu titik akhir Client VPN. Pilih satu jenis asosiasi saat Anda membuat titik akhir.
## Manfaat
Integrasi Transit Gateway dengan Client VPN memberikan manfaat berikut:
+ **Manajemen yang disederhanakan** — Hilangkan kebutuhan akan titik akhir VPN terpisah per VPC. Tidak perlu membuat perantara VPCs hanya untuk penghentian VPN.
+ **Perutean terpusat** — Manfaatkan Transit Gateway sebagai hub perutean pusat. Sederhanakan manajemen rute di seluruh jaringan Anda.
+ **Visibilitas yang ditingkatkan** - Pertahankan alamat IP sumber klien (tanpa SNAT). Menyediakan dukungan flow log untuk Client VPN.
+ **Skalabilitas** — Mudah menambahkan baru VPCs ke Transit Gateway Anda yang dapat diakses melalui Client VPN. Skala untuk mendukung tenaga kerja jarak jauh dan unit bisnis yang besar.
+ **Keamanan terpusat** — Menerapkan kebijakan keamanan yang konsisten di semua jaringan yang terhubung. Pertahankan jejak audit yang komprehensif.
## Cara kerja integrasi Transit Gateway
Berikut ini menjelaskan cara kerja Client VPN dengan Transit Gateway:
1. **Pembuatan titik akhir** — Anda membuat titik akhir Client VPN dan menentukan ID Gateway Transit.
1. **Pembuatan lampiran** — AWS secara otomatis membuat jenis lampiran Transit Gateway `client-vpn` untuk titik akhir.
1. **Pemilihan Availability Zone** — Anda menentukan Availability Zone yang akan digunakan, atau AWS memilih 2 Availability Zone secara otomatis.
1. **Konfigurasi rute** - Anda menambahkan rute ke tabel rute titik akhir Client VPN untuk mengarahkan lalu lintas klien ke jaringan tujuan melalui Gateway Transit.
1. **Alur koneksi klien** — Ketika klien terhubung, lalu lintas mengalir dari klien melalui titik akhir Client VPN ke Gateway Transit, dan kemudian ke jaringan tujuan berdasarkan tabel rute Transit Gateway.
## Prasyarat
Sebelum Anda membuat titik akhir Client VPN terkait Transit Gateway, verifikasi persyaratan berikut.
Persyaratan Transit Gateway
+ Transit Gateway yang ada di Wilayah yang sama dengan titik akhir Client VPN.
+ Untuk akses lintas akun, Transit Gateway harus dibagikan dengan akun Anda. AWS Resource Access Manager
+ Transit Gateway harus memiliki blok IPv4 CIDR yang ditetapkan. Jika Anda berencana untuk menggunakan IPv6 atau konfigurasi dual-stack, tetapkan juga blok CIDR. IPv6
Persyaratan jaringan
+ Rentang CIDR klien tidak boleh tumpang tindih dengan rentang CIDR yang VPCs dilampirkan ke Transit Gateway.
+ Availability Zone yang Anda pilih harus didukung oleh Transit Gateway.
+ Rute kembali harus dikonfigurasi dalam tabel rute VPC untuk mengarahkan lalu lintas yang ditujukan untuk rentang CIDR klien ke Gateway Transit.
Persyaratan sertifikat
+ Sertifikat server yang disediakan di AWS Certificate Manager (ACM) di Wilayah yang sama dengan titik akhir Client VPN.
+ Jika Anda menggunakan otentikasi timbal balik, sertifikat klien disediakan di ACM.
## Buat titik akhir VPN Klien Transit Gateway
Anda dapat membuat titik akhir Client VPN yang terkait dengan Transit Gateway dengan menggunakan konsol atau. AWS CLI
**Untuk membuat titik akhir Transit Gateway Client VPN (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Titik akhir Client VPN** lalu pilih **Buat Titik akhir Client VPN**.
1. (Opsional) Untuk **tag Nama** dan **Deskripsi**, masukkan nama dan deskripsi untuk titik akhir.
1. Untuk **jenis alamat IP Lalu** Lintas, pilih salah satu dari berikut ini:
+ **IPv4**— Tentukan rentang IPv4 CIDR klien (misalnya,`10.0.0.0/22`).
+ **IPv6**— AWS secara otomatis menetapkan rentang IPv6 CIDR klien.
+ **Tumpukan ganda** - Tentukan rentang IPv4 CIDR klien. AWS secara otomatis menetapkan rentang IPv6 CIDR klien.
1. Untuk **ARN sertifikat Server, tentukan ARN** untuk sertifikat TLS yang disediakan di ACM.
1. Pilih metode otentikasi Anda. Untuk informasi selengkapnya, lihat [Otentikasi klien di AWS Client VPN](client-authentication.md).
1. (Opsional) Untuk **pencatatan Koneksi**, aktifkan **Aktifkan detail log pada koneksi klien** dan tentukan grup CloudWatch log log dan aliran log.
1. Untuk **Infrastruktur Jaringan**, pilih **Transit Gateway**.
1. Untuk **ID Transit Gateway**, pilih Transit Gateway dari daftar dropdown.
1. (Opsional) Untuk **Availability Zone**, pilih hingga 5 Availability Zone. Jika Anda tidak memilih Availability Zones, AWS secara otomatis memilih 2.
1. (Opsional) Konfigurasikan pengaturan tambahan seperti server DNS, protokol transport, split-tunnel, port VPN, batas waktu sesi, dan spanduk login.
1. Pilih **Create Client VPN endpoint**.
**catatan**
Setelah pembuatan, status titik akhir adalah`pending-associate`. Lampiran Transit Gateway dibuat secara otomatis. Klien dapat terhubung setelah lampiran tersedia.
**Untuk membuat titik akhir Transit Gateway Client VPN ()AWS CLI**
Gunakan [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html)perintah dengan `--transit-gateway-id` parameter.
Contoh berikut membuat titik akhir Client VPN dengan Availability Zone tertentu:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
--availability-zone-list us-east-1a us-east-1b us-east-1c
```
Contoh output:
```
{
"ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE",
"Status": {
"Code": "pending-associate"
},
"DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com"
}
```
Untuk membiarkan AWS secara otomatis memilih 2 Availability Zones, hilangkan `--availability-zone-list` parameter:
```
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE
```
### Verifikasi lampiran Transit Gateway
Setelah Anda membuat titik akhir, verifikasi bahwa lampiran Transit Gateway telah dibuat.
**Untuk memverifikasi lampiran Transit Gateway (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Di panel navigasi, pilih **Lampiran Transit Gateway**.
1. Temukan lampiran dengan **Resource type = `client-vpn` dan Resource** **ID yang cocok dengan ID** endpoint Client VPN Anda.
1. Verifikasi bahwa **Negara** adalah`available`.
**Untuk memverifikasi lampiran Transit Gateway (AWS CLI)**
Gunakan perintah [describe-transit-gateway-attachments](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-transit-gateway-attachments.html).
```
aws ec2 describe-transit-gateway-attachments \
--filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn
```
Untuk melihat konfigurasi Transit Gateway untuk titik akhir, gunakan [describe-client-vpn-endpoints](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-endpoints.html)perintah:
```
aws ec2 describe-client-vpn-endpoints \
--client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```
Outputnya mencakup `TransitGatewayConfiguration` objek dengan ID Transit Gateway dan Availability Zone terkait.
## Kelola rute
**penting**
Untuk titik akhir terkait Transit Gateway, Anda tidak menentukan ID subnet target saat membuat rute. Lalu lintas secara otomatis diarahkan melalui lampiran Transit Gateway.
**Untuk menambahkan rute (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN, pilih **tabel Route**, lalu pilih **Buat rute**.
1. Untuk **tujuan Rute**, masukkan rentang CIDR tujuan (misalnya, `10.1.0.0/16` untuk VPC `0.0.0.0/0` atau untuk semua lalu lintas).
1. (Opsional) Untuk **Deskripsi**, masukkan deskripsi untuk rute.
1. Pilih **Buat rute**.
**Untuk menambahkan rute (AWS CLI)**
Gunakan [create-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-route.html)perintah tanpa `--target-vpc-subnet-id` parameter.
```
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
```
Untuk menambahkan beberapa rute, jalankan perintah untuk setiap rentang CIDR tujuan:
```
# Route to VPC 1
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
# Route to VPC 2
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.2.0.0/16
# Route to on-premises network
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 192.168.0.0/16
```
**Untuk menghapus rute (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN, pilih **tabel Route**, pilih rute, lalu pilih **Hapus rute**.
1. Pilih **Hapus rute** untuk mengonfirmasi.
**Untuk menghapus rute (AWS CLI)**
Gunakan perintah [delete-client-vpn-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-client-vpn-route.html).
```
aws ec2 delete-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
```
## Konfigurasikan otorisasi
**penting**
Otorisasi berbasis grup keamanan tidak didukung untuk titik akhir Client VPN terkait Transit Gateway. Anda harus menggunakan aturan otorisasi berbasis jaringan untuk mengontrol akses klien.
**Untuk menambahkan aturan otorisasi (konsol)**
1. Buka konsol VPC Amazon di. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)
1. Pada panel navigasi, pilih **Titik Akhir Client VPN**.
1. Pilih titik akhir Client VPN, pilih **Aturan otorisasi**, lalu pilih **Tambahkan aturan otorisasi**.
1. Untuk **jaringan Tujuan untuk mengaktifkan akses**, masukkan rentang CIDR tujuan (misalnya,`10.1.0.0/16`).
1. Untuk **akses Grant ke**, pilih salah satu dari berikut ini:
+ **Izinkan akses ke semua pengguna** — Semua klien yang diautentikasi dapat mengakses jaringan tujuan.
+ **Izinkan akses ke pengguna dalam grup akses tertentu - Masukkan grup** Active Directory SID atau nama grup IDP di ID **grup Access**.
1. Pilih **Tambahkan aturan otorisasi**.
**Untuk menambahkan aturan otorisasi ()AWS CLI**
Gunakan perintah [authorize-client-vpn-ingress](https://docs.aws.amazon.com/cli/latest/reference/ec2/authorize-client-vpn-ingress.html).
Contoh berikut memberi wewenang kepada semua pengguna untuk mengakses `10.1.0.0/16` jaringan:
```
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--authorize-all-groups
```
Contoh berikut mengotorisasi grup Active Directory tertentu:
```
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
```
## Kelola Availability Zone
Anda dapat memodifikasi Availability Zone untuk titik akhir VPN Klien terkait Transit Gateway setelah pembuatan.
**Untuk menambahkan satu Availability Zone (AWS CLI)**
Gunakan perintah [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) dengan `--availability-zone` parameter.
```
aws ec2 associate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--availability-zone us-east-1c
```
**Untuk menghapus satu Availability Zone (AWS CLI)**
Pertama, gunakan perintah [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) untuk menemukan ID asosiasi untuk Availability Zone.
```
aws ec2 describe-client-vpn-target-networks \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
```
Kemudian gunakan perintah [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) dengan ID asosiasi.
```
aws ec2 disassociate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE
```
## Akses Transit Gateway lintas akun
Anda dapat membuat titik akhir Client VPN yang terkait dengan Transit Gateway yang dimiliki oleh AWS akun lain. Untuk melakukan ini, pemilik Transit Gateway harus membagikan Gateway Transit dengan akun Anda melalui AWS Resource Access Manager.
Prasyarat
+ **Akun pemilik Transit Gateway** — Gateway Transit yang ada dan izin untuk membuat pembagian sumber daya. AWS Resource Access Manager
+ **Akun endpoint Client VPN** — Izin untuk membuat titik akhir Client VPN dan menerima AWS Resource Access Manager pembagian sumber daya.
Di akun titik akhir Client VPN, terima pembagian sumber daya di AWS Resource Access Manager konsol atau dengan menggunakan [accept-resource-share-invitation](https://docs.aws.amazon.com/cli/latest/reference/ram/accept-resource-share-invitation.html)perintah. Setelah Anda menerima pembagian, Gateway Transit muncul di dropdown ID Gateway Transit saat Anda membuat titik akhir Client VPN.
## Pertimbangan dan batasan
Pertimbangkan hal berikut ketika Anda menggunakan integrasi Transit Gateway dengan Client VPN:
+ **Pembatasan asosiasi**
+ Anda tidak dapat menggabungkan asosiasi subnet VPC dan asosiasi Transit Gateway dalam satu titik akhir.
+ Setiap titik akhir harus menggunakan satu jenis asosiasi secara eksklusif.
+ **Grup keamanan**
+ Otorisasi berbasis grup keamanan tidak didukung untuk titik akhir Transit Gateway.
+ Gunakan aturan otorisasi berbasis jaringan saja.
+ **Manajemen rute**
+ Propagasi rute otomatis dari Transit Gateway tidak didukung.
+ Anda harus secara manual menentukan rute untuk jaringan tujuan.
+ **CIDR tumpang tindih**
+ Blok CIDR Client VPN tidak boleh tumpang tindih dengan lampiran Transit Gateway lainnya atau blok CIDR Transit Gateway.
+ Transit Gateway tidak mendukung rentang CIDR yang tumpang tindih di seluruh lampiran. VPCs
+ **Batasan regional**
+ Titik akhir Client VPN dan Transit Gateway harus berada di AWS Wilayah yang sama.
+ Peering Transit Gateway lintas wilayah tidak didukung untuk Client VPN.
+ **Zona Ketersediaan**
+ Anda dapat menentukan hingga 5 Availability Zone per endpoint.
+ Jika tidak ditentukan, AWS secara otomatis menetapkan 2 Availability Zones.
+ Semua Availability Zone yang ditentukan harus didukung oleh Client VPN dan Transit Gateway.
+ **Kembalikan perutean**
+ VPCs terhubung ke Transit Gateway harus memiliki rute kembali yang dikonfigurasi untuk mengarahkan lalu lintas yang ditujukan untuk Client VPN CIDR kembali ke Gateway Transit.
+ Tanpa routing pengembalian yang tepat, klien VPN tidak dapat mengakses sumber daya di. VPCs
+ **Untuk IPv4**: Client VPN CIDR dikenal pada waktu pembuatan endpoint.
+ **Untuk IPv6**: Anda harus menjelaskan tabel rute Transit Gateway untuk menentukan rentang IPv6 CIDR yang ditetapkan ke titik akhir Client VPN (rentang CIDR terbesar dalam Tabel Rute Gateway Transit yang terkait dengan titik akhir Client VPN), karena rentang CIDR IPv6 klien ditetapkan secara otomatis oleh. AWS Client VPN
+ **Koneksi dan log aliran**
+ [Log aliran Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-flow-logs.html) dapat diaktifkan untuk menangkap informasi tentang lalu lintas IP yang menuju dan dari Gateway Transit Anda. [Log koneksi Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-with-connection-logs.html) dapat diaktifkan untuk menangkap informasi tentang peristiwa koneksi Client VPN.
+ Anda dapat menghubungkan peristiwa log aliran Transit Gateway ke koneksi Client VPN dengan membandingkan IP klien dan stempel waktu dalam peristiwa log aliran Transit Gateway dengan IP klien dan periode waktu yang sama dalam log koneksi Client VPN.
+ **Konektivitas internet**
+ Untuk mengakses internet melalui Client VPN dengan Transit Gateway, tanpa terowongan terpisah, VPC yang terpasang harus memiliki konfigurasi NAT.
+ **Untuk IPv4**: Konfigurasikan Gateway NAT untuk mengganti klien Client VPN IPs dengan alamat IP publik.
+ **Untuk IPv6**: Lihat [Lalu lintas keluar internet terpusat](https://docs.aws.amazon.com/whitepapers/latest/ipv6-on-aws/advanced-dual-stack-and-ipv6-only-network-designs.html#centralized-internet-outbound-traffic-with-ipv6) dengan. IPv6