修改 AWS Client VPN 终端节点 - AWS Client VPN
限制修改 Client VPN 终端节点

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修改 AWS Client VPN 终端节点

可以使用 Amazon VPC 控制台或 AWS CLI修改 Client VPN 端点。有关可以修改的 Client VPN 字段的更多信息,请参阅端点修改

限制

修改端点时,以下限制适用

  • 对客户端 VPN 端点的修改(包括证书吊销列表 (CRL, Certificate Revocation List) 更改)将在客户端 VPN 服务接受请求后最多 4 小时生效。

  • 创建 IPv4 Client VPN 端点后,您无法修改客户端 CIDR 范围、身份验证选项、客户端证书或传输协议。

  • 对于 IPv4 端点 IP 和流量 IP 类型,您可以将现有终端节点修改为双堆栈。如果您 IPv6只需要终端节点 IP 和流量 IP,则必须创建一个新的终端节点。

  • 创建后,Client VPN 不支持修改端点类型(IPv4 IPv6、、双栈)或流量类型(IPv4 IPv6、、双栈)。

  • 不支持使用端点类型和流量类型的特定组合修改 Client VPN。您不能更改为任何其他组合。必须删除端点,然后使用所需的配置重新创建。

  • Client-to-client 不支持 IPv6 流量通信。

修改 Client VPN 终端节点

您可以使用控制台或修改客户端 VPN 端点 AWS CLI。

使用控制台修改 Client VPN 端点

  1. 打开位于 https://console.aws.amazon.com/vpc/ 的 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Client VPN Endpoints(Client VPN 终端节点)。

  3. 选择要修改的 Client VPN 端点,选择 Actions(操作),然后选择 Modify Client VPN endpoint(修改 Client VPN 端点)。

  4. 对于 Description(描述),输入 Client VPN 端点的简短描述。

  5. 对于端点 IP 地址类型,您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。

  6. 对于流量 IP 地址类型,您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。

  7. 对于 Server certificate ARN(服务器证书 ARN),请指定服务器要使用的 TLS 证书的 ARN。客户端使用服务器证书对它们正在连接的 Client VPN 终端节点进行身份验证。

    注意

    服务器证书必须存在于您正在创建 Client VPN 端点的区域的 AWS Certificate Manager (ACM) 中。可以使用 ACM 预置证书,也可以导入到 ACM 中。

  8. 指定是否使用 Amazon CloudWatch 日志记录有关客户端连接的数据。对于 Enable log details on client connections(在客户端连接上启用日志详细信息),执行以下操作之一:

    • 要激活客户端连接日志记录,请开启 Enable log details on client connections(在客户端连接上启用日志详细信息)。在CloudWatch日志日志组名称中,选择要使用的日志组的名称。在CloudWatch 日志日志流名称中,选择要使用的日志流名称,或者将此选项留空以让我们为您创建日志流。

    • 要停用客户端连接日志记录,请关闭 Enable log details on client connections(在客户端连接上启用日志详细信息)。

  9. 对于 Client connect handler(客户端连接处理程序),要激活 client connect handler(客户端连接处理程序),请开启 Enable client connect handler(启用客户端连接处理程序)。对于 Client Connect Handler ARN(客户端连接处理程序 ARN),指定包含允许或拒绝连接的逻辑的 Lambda 函数的 Amazon 资源名称 (ARN)。

  10. 打开或关闭 Enable DNS servers(启用 DNS 服务器)。要使用自定义 DNS 服务器,请为 DNS 服务器 1 的 IP 地址DNS 服务器 2 的 IP IPv4 地址指定要使用的 DNS 服务器的地址。对于 IPv6 双栈终端节点,您还可以指定 DNS 服务器 IPv6 1DNS 服务器 IPv6 2 地址。要使用 VPC DNS 服务器,对于 DNS Server 1 IP address(DNS 服务器 1 IP 地址)或 DNS Server 2 IP address(DNS 服务器 2 IP 地址),指定 IP 地址,并添加 VPC DNS 服务器 IP 地址。

    注意

    验证客户端是否能访问 DNS 服务器。

  11. 打开或关闭 Enable split-tunnel(启用拆分隧道)。原定设置情况下,拆分隧道在 VPN 端点上处于关闭状态。

  12. 对于 VPC ID,请选择要与 Client VPN 端点关联的 VPC。对于安全组 IDs,选择一个或多个 VPC 安全组以应用于 Client VPN 终端节点。

  13. 对于 VPN port(VPN 端口),选择 VPN 端口号。默认值为 443。

  14. 要为客户端生成 self-service portal URL(自助服务门户 URL),请开启 Enable self-service portal(启用自助服务门户)。

  15. 对于 Session timeout hours(会话超时时间),请从可用的选项中选择所需的最长 VPN 会话持续时间(以小时为单位),也可保留 24 小时的原定设置。

  16. 对于会话超时时断开连接,请选择是否要在达到最大会话时间时终止会话。选择此选项要求用户在会话超时时时手动重新连接到终端;否则,Client VPN 将自动尝试重新连接。

  17. 开启或关闭 Enable client login banner(启用客户端登录横幅)。如果要使用客户端登录横幅,请输入 VPN 会话建立时将在 AWS 提供的客户端上显示的横幅文本。仅支持 UTF-8 编码字符。最多可使用 1400 个字符。

  18. 选择 Modify Client VPN endpoint(修改 Client VPN 终端节点)。

要修改 Client VPN 端点,请使用 AWS CLI

使用 modify-client-vpn-endpoint 命令。

将 IPv4 终端节点修改为双栈的示例:

aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"