Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Che cos'è AWS Client VPN?
AWS Client VPN è un servizio VPN gestito basato su client che consente di accedere in modo sicuro alle AWS risorse e alle risorse della rete locale. Con Client VPN, puoi accedere alle risorse da qualsiasi luogo tramite un client VPN basato su OpenVPN.
Argomenti
Caratteristiche di Client VPN
Client VPN offre le seguenti caratteristiche e funzionalità:
-
Connessioni sicure: stabilisce connessioni TLS crittografate da qualsiasi posizione tramite il client OpenVPN, garantendo la privacy e l'integrità dei dati.
-
Servizio gestito: elimina l'onere operativo della distribuzione e della manutenzione di soluzioni VPN di accesso remoto di terze parti attraverso la gestione completa di AWS.
-
Disponibilità ed elasticità elevate: scalabilità dinamica per soddisfare un numero variabile di utenti che si connettono alle tue risorse AWS e locali senza intervento manuale.
-
Autenticazione: supporta diversi metodi di autenticazione tra cui l'integrazione con Active Directory, l'autenticazione federata e l'autenticazione basata su certificati per una gestione flessibile delle identità.
-
Controllo granulare: implementa controlli di sicurezza precisi tramite regole di accesso basate sulla rete configurabili a livello di gruppo Active Directory e controllo degli accessi basato sui gruppi di sicurezza.
-
Facilità d'uso: fornisce un accesso unificato alle risorse AWS e locali tramite un unico tunnel VPN, semplificando l'esperienza dell'utente finale.
-
Gestibilità: offre una visibilità completa attraverso registri di connessione dettagliati e funzionalità di gestione in tempo reale, inclusa la possibilità di monitorare e interrompere le connessioni client attive quando necessario.
-
Integrazione profonda: si integra perfettamente con i servizi AWS esistenti, tra cui AWS Directory Service Amazon VPC, migliorando le capacità di connettività dell'infrastruttura cloud.
-
IPv6 supporto: consente la IPv6 connettività completa per gli endpoint Client VPN, supportando le connessioni alle IPv6 risorse dell'utente VPCs e dei client sulle IPv6 reti per i requisiti di rete moderni.
Componenti di Client VPN
Di seguito sono elencati i concetti fondamentali relativi a Client VPN:
- Endpoint Client VPN
-
L'endpoint Client VPN è la risorsa che crei e configuri per abilitare e gestire le sessioni Client VPN. È il punto di chiusura per tutte le sessioni VPN client.
- Rete target
-
Una rete target è la rete che associ a un endpoint Client VPN. Una sottorete di un VPC è una rete target. L'associazione di una sottorete a un endpoint Client VPN ti consente di stabilire le sessioni VPN. Puoi associare più sottoreti a un endpoint Client VPN per elevata disponibilità. Tutte le sottoreti devono provenire dallo stesso VPC. Ogni sottorete deve appartenere a una zona di disponibilità diversa.
- Route
-
Ogni endpoint Client VPN ha una tabella di routing che descrive le route disponibili della rete di destinazione. Ogni route nella tabella di routing specifica il percorso del traffico a determinate risorse o reti.
- Regole di autorizzazione
-
Una regola di autorizzazione limita gli utenti che possono accedere a una rete. Per una rete specificata, configuri il gruppo di Active Directory o provider di identità (IdP) a cui è consentito accedere. Solo gli utenti appartenenti a questo gruppo possono accedere alla rete specificata. Per impostazione predefinita, non sono definite regole di autorizzazione ed è necessario configurarle per consentire agli utenti di accedere alle risorse e alle reti.
- Client
-
La connessione dell'utente finale all'endpoint Client VPN per stabilire una sessione VPN. Gli utenti finali devono scaricare un client OpenVPN e utilizzare il file di configurazione VPN Client creato per stabilire una sessione VPN.
- Intervallo CIDR client
-
Intervallo di indirizzi IP da cui assegnare gli indirizzi IP del client. A ogni connessione all'endpoint Client VPN viene assegnato un indirizzo IP univoco dall'intervallo CIDR del client. Per IPv4 il traffico, scegli l'intervallo CIDR del client, ad esempio.
10.2.0.0/16Per il IPv6 traffico, assegna AWS Client VPN automaticamente l'intervallo CIDR del client. - Porte Client VPN
-
AWS Client VPN supporta le porte 443 e 1194 sia per TCP che UDP. La porta 443 è predefinita.
- Interfacce di rete Client VPN
-
Quando associ una sottorete all'endpoint Client VPN, vengono create le interfacce di rete Client VPN nella sottorete. Il traffico inviato al VPC dall'endpoint Client VPN viene inviato tramite un'interfaccia di rete Client VPN. Per il IPv4 traffico, viene applicata la traduzione degli indirizzi di rete di origine (SNAT), in cui l'indirizzo IP di origine dell'intervallo CIDR del client viene tradotto nell'indirizzo IP dell'interfaccia di rete Client VPN. Per IPv6 il traffico, SNAT non viene applicato, garantendo una maggiore visibilità sull'indirizzo IP dell'utente connesso.
- Registrazione delle connessioni
-
Puoi abilitare la registrazione delle connessioni per l'endpoint Client VPN per registrare gli eventi di connessione. Puoi utilizzare queste informazioni per eseguire analisi forensi, analizzare come l'endpoint Client VPN viene utilizzato o eseguire il debug dei problemi di connessione.
- Portale self-service
-
VPN Cliente fornisce un portale self-service come pagina Web per consentire agli utenti finali di scaricare la versione più recente del Client Desktop AWS VPN e la versione più recente del file di configurazione dell'endpoint di VPN Cliente che contiene le impostazioni necessarie per connettersi al proprio endpoint. L'amministratore dell'endpoint VPN Cliente può abilitare o disabilitare un portale self-service per l'endpoint di VPN Cliente. Il portale self-service è un servizio globale supportato da stack di servizi nelle seguenti regioni: Stati Uniti orientali (Virginia settentrionale), Asia Pacifico (Tokyo), Europa (Irlanda) e AWS GovCloud (Stati Uniti occidentali).
- Tipo di indirizzo IP dell'endpoint
-
Il tipo di indirizzo IP per l'endpoint Client VPN, che può essere IPv4 IPv6, o dual-stack (entrambi e). IPv4 IPv6
- Tipo di indirizzo IP del traffico
-
Il tipo di indirizzo IP per il traffico che fluisce attraverso l'endpoint Client VPN, che può essere IPv4 IPv6, o dual-stack (entrambi e). IPv4 IPv6 Ciò determina il tipo di traffico interno (il payload effettivo o il traffico originale trasmesso tramite la connessione VPN), gli intervalli CIDR del client, l'associazione di sottoreti, i percorsi e le regole per endpoint.
Utilizzo di Client VPN
Puoi utilizzare Client VPN in uno dei modi seguenti:
- AWS Management Console
-
La console Amazon VPC fornisce un'interfaccia utente basata sul Web per Client VPN. Se ti sei registrato a Account AWS, puoi accedere alla console Amazon VPC
e selezionare Client VPN nel pannello di navigazione. - AWS Command Line Interface (AWS CLI)
-
AWS CLI Fornisce l'accesso diretto al pubblico Client VPN APIs. ed è supportata su Windows, macOS e Linux. Per ulteriori informazioni su come iniziare a usare AWS CLI, consulta la Guida AWS Command Line Interface per l'utente. Per ulteriori informazioni sui comandi per Client VPN, consulta la EC2 sezione di Amazon EC2 Command Line Reference.
- AWS Tools for Windows PowerShell
-
AWS fornisce comandi per un'ampia gamma di AWS offerte per coloro che utilizzano script nell'PowerShell ambiente. Per ulteriori informazioni su come iniziare a utilizzare AWS Tools for Windows PowerShell, consulta la Guida per l'utente di AWS Tools for Windows PowerShell. Per ulteriori informazioni sui cmdlet per Client VPN, consulta la Documentazione di riferimento dei cmdlet di AWS Tools for Windows PowerShell.
- API della query
-
L'API Client VPN HTTPS Query ti offre l'accesso programmatico a Client VPN e AWS. L'API della query HTTPS ti consente di eseguire richieste HTTPS direttamente al servizio. Quando utilizzi le API HTTPS, devi includere il codice per firmare in modo digitale le richieste utilizzando le tue credenziali. Per ulteriori informazioni, consulta Operazioni di AWS Client VPN.
Prezzi per Client VPN
Ti viene addebitato un addebito per ogni associazione di endpoint e ogni connessione VPN su base oraria. Non sono previsti costi aggiuntivi per l'utilizzo IPv6 degli endpoint dual-stack; vengono addebitati alla stessa tariffa degli endpoint. IPv4 Per ulteriori informazioni, consultare Prezzi di AWS Client VPN
Ti viene addebitato il costo del trasferimento dei dati da Amazon EC2 a Internet. Per ulteriori informazioni, consulta Data Transfer
Se abiliti la registrazione delle connessioni per il tuo endpoint Client VPN, devi creare un gruppo di log CloudWatch Logs nel tuo account. Si applicano addebiti per l'utilizzo dei gruppi di log. Per ulteriori informazioni, consulta CloudWatch i prezzi di Amazon
Se attivi l'handler di connessioni client per l'endpoint Client VPN devi creare e richiamare una funzione Lambda. Per richiamare le funzioni Lambda sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare Prezzi di AWS Lambda
Gli endpoint Client VPN sono associati a una rete di destinazione, che è una sottorete in un VPC. Se questo VPC dispone di un Internet Gateway, associamo gli indirizzi IP elastici alle interfacce di rete elastiche Client VPN (). ENIs Questi indirizzi IP elastici vengono addebitati come indirizzi pubblici in uso. IPv4 Per ulteriori informazioni, consulta la scheda IPv4 Indirizzo pubblico nella pagina dei prezzi VPC
Nota
Gli endpoint Client VPN richiedono indirizzi IP elastici se associati a una sottorete VPC dotata di un Internet Gateway perché consentono la connettività Internet diretta per EIPs i client VPN. Quando si connettono tramite un endpoint Client VPN, hanno bisogno di un indirizzo IP pubblico per comunicare con le risorse Internet. Elastic IPs serve a questo scopo fornendo un endpoint coerente e rivolto al pubblico. Questi EIPs sono collegati alle interfacce di rete elastiche Client VPN (ENIs) e sono essenziali per mantenere un accesso a Internet stabile e sicuro per i client VPN, garantendo al contempo il corretto routing del traffico. Poiché questi indirizzi IP elastici vengono assegnati e utilizzati attivamente per il servizio Client VPN, li AWS addebita come IPv4 indirizzi pubblici in uso, seguendo il loro modello di prezzo standard per gli indirizzi allocati e associati. EIPs
