修改 AWS Client VPN 端点 - AWS Client VPN
限制修改 Client VPN 终端节点

修改 AWS Client VPN 端点

可以使用 Amazon VPC 控制台或 AWS CLI 修改 Client VPN 端点。有关可以修改的 Client VPN 字段的更多信息,请参阅端点修改

限制

以下是修改端点时具有的限制

  • 对客户端 VPN 端点的修改(包括证书吊销列表 (CRL, Certificate Revocation List) 更改)将在客户端 VPN 服务接受请求后最多 4 小时生效。

  • 在创建客户端 VPN 端点后,您无法修改客户端 IPv4 CIDR 范围、身份验证选项、客户端证书或传输协议。

  • 对于端点 IP 和流量 IP 类型,您可以将现有 IPv4 端点修改为双堆栈。如果端点 IP 和流量 IP 只需要使用 IPv6,则您必须创建一个新的端点。

  • 创建后,Client VPN 不支持修改端点类型(IPv4、IPv6、双堆栈)或流量类型(IPv4、IPv6、双堆栈)。

  • 不支持使用端点类型和流量类型的特定组合修改 Client VPN。您无法更改为任何其他组合。必须删除端点,然后使用所需的配置重新创建。

  • 不支持 IPv6 流量的客户端到客户端通信。

修改 Client VPN 终端节点

您可以使用控制台或 AWS CLI 修改 Client VPN 端点。

使用控制台修改 Client VPN 端点

  1. 通过 https://console.aws.amazon.com/vpc/ 打开 Amazon VPC 控制台。

  2. 在导航窗格中,选择 Client VPN Endpoints(Client VPN 终端节点)。

  3. 选择要修改的 Client VPN 端点,选择 Actions(操作),然后选择 Modify Client VPN endpoint(修改 Client VPN 端点)。

  4. 对于 Description(描述),输入 Client VPN 端点的简短描述。

  5. 对于端点 IP 地址类型,您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。

  6. 对于流量 IP 地址类型,您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。

  7. 对于 Server certificate ARN(服务器证书 ARN),请指定服务器要使用的 TLS 证书的 ARN。客户端使用服务器证书对它们正在连接的 Client VPN 终端节点进行身份验证。

    注意

    服务器证书必须存在于您在其中创建 Client VPN 端点的区域中的 AWS Certificate Manager(ACM)中。可以使用 ACM 预置证书,也可以导入到 ACM 中。

  8. 指定是否要使用 Amazon CloudWatch Logs 记录有关客户端连接的数据。对于 Enable log details on client connections(在客户端连接上启用日志详细信息),执行以下操作之一:

    • 要激活客户端连接日志记录,请开启 Enable log details on client connections(在客户端连接上启用日志详细信息)。对于 CloudWatch Logs log group name(CloudWatch Logs 日志组名称),选择要使用的日志组的名称。对于 CloudWatch Logs log stream name(CloudWatch Logs 日志流名称),选择要使用的日志流的名称,或者将此选项留空以便我们为您创建日志流。

    • 要停用客户端连接日志记录,请关闭 Enable log details on client connections(在客户端连接上启用日志详细信息)。

  9. 对于 Client connect handler(客户端连接处理程序),要激活 client connect handler(客户端连接处理程序),请开启 Enable client connect handler(启用客户端连接处理程序)。对于 Client Connect Handler ARN(客户端连接处理程序 ARN),指定包含允许或拒绝连接的逻辑的 Lambda 函数的 Amazon 资源名称 (ARN)。

  10. 打开或关闭 Enable DNS servers(启用 DNS 服务器)。要使用自定义 DNS 服务器,对于 DNS 服务器 1 IP 地址DNS 服务器 2 IP 地址,指定要使用的 DNS 服务器的 IPv4 地址。对于 IPv6 或双堆栈端点,您还可以指定 DNS 服务器 IPv6 1DNS 服务器 IPv6 2 地址。要使用 VPC DNS 服务器,对于 DNS Server 1 IP address(DNS 服务器 1 IP 地址)或 DNS Server 2 IP address(DNS 服务器 2 IP 地址),指定 IP 地址,并添加 VPC DNS 服务器 IP 地址。

    注意

    验证客户端是否能访问 DNS 服务器。

  11. 打开或关闭 Enable split-tunnel(启用拆分隧道)。原定设置情况下,拆分隧道在 VPN 端点上处于关闭状态。

  12. 对于 VPC ID,请选择要与 Client VPN 端点关联的 VPC。对于 Security Group IDs(安全组 ID),请选择要应用于 Client VPN 终端节点的 VPC 的一个或多个安全组。

  13. 对于 VPN port(VPN 端口),选择 VPN 端口号。默认值为 443。

  14. 要为客户端生成 self-service portal URL(自助服务门户 URL),请开启 Enable self-service portal(启用自助服务门户)。

  15. 对于 Session timeout hours(会话超时时间),请从可用的选项中选择所需的最长 VPN 会话持续时间(以小时为单位),也可保留 24 小时的原定设置。

  16. 对于会话超时时断开连接,请选择是否要在达到最长会话时间时终止会话。选择此选项要求用户在会话超时时手动重新连接到端点;否则,Client VPN 将自动尝试重新连接。

  17. 开启或关闭 Enable client login banner(启用客户端登录横幅)。如果要使用客户端登录横幅,请输入 VPN 会话建立时将在 AWS 提供的客户端上显示的横幅文本。仅支持 UTF-8 编码字符。最多可使用 1400 个字符。

  18. 选择 Modify Client VPN endpoint(修改 Client VPN 终端节点)。

使用 AWS CLI 修改 Client VPN 端点

使用 modify-client-vpn-endpoint 命令。

将 IPv4 端点修改为双堆栈的示例:

aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"