AWS Client VPN 端点
所有 AWS Client VPN 会话都会与 Client VPN 端点建立通信。可以通过管理 Client VPN 端点创建、修改、查看和删除与该端点进行的 Client VPN 会话。可以使用 Amazon VPC 控制台或 AWS CLI 创建和修改端点。
创建 Client VPN 端点的要求
重要
必须在预置预期目标网络的相同 AWS 账户中创建 Client VPN 端点。您还需要生成服务器证书,并根据需要生成客户端证书。有关更多信息,请参阅 AWS Client VPN 中的客户端身份验证。
在您开始之前,请确保您已执行以下操作:
-
查看 使用 AWS Client VPN 的规则和最佳实践中的规则和限制。
-
生成服务器证书,并(如果需要)获取客户端证书。有关更多信息,请参阅 AWS Client VPN 中的客户端身份验证。
IP 地址类型
对于端点连接和流量路由,AWS Client VPN 支持仅 IPv4、仅 IPv6 和双堆栈配置。以下指南可帮助您根据客户端设备功能、网络基础设施和应用程序要求选择适当的 IP 地址类型。
端点地址类型
端点地址类型决定了 Client VPN 端点支持哪些 IP 协议进行客户端连接。此设置在端点创建后无法更改。
在以下情况下选择“仅 IPv4”:
您的客户端设备仅支持 IPv4 VPN 连接
您的安全工具针对 IPv4 流量检查进行了优化
在以下情况下选择“仅 IPv6”:
所有客户端设备都完全支持 IPv6 连接
您所在的网络中 IPv4 地址已耗尽
在以下情况下选择双堆栈:
您有多种具有不同 IP 功能的客户端设备
您正在逐步从 IPv4 过渡到 IPv6
流量 IP 地址类型
流量 IP 地址类型控制 Client VPN 如何在客户端和您的 VPC 资源之间路由流量,这与端点支持的协议无关。
在以下情况下以 IPv4 路由流量:
VPC 中的目标应用程序仅支持 IPv4
您具有复杂的 IPv4 安全组和网络 ACL
您正在连接到遗留系统
在以下情况下以 IPv6 路由流量:
您的 VPC 基础设施主要是 IPv6
您希望让自己的网络架构适应未来需求
您拥有专为 IPv6 构建的现代应用程序
端点修改
创建完 Client VPN 后,您可以修改以下任意设置:
-
描述
-
服务器证书
-
客户端连接日志记录选项
-
客户端连接处理程序选项
-
DNS 服务器
-
拆分隧道选项
-
路由(在使用拆分隧道选项时)
-
证书撤销列表(CRL)
-
授权规则
-
VPC 和安全组关联
-
VPN 端口号
-
自助服务门户选项
-
最长 VPN 会话持续时间
-
启用或禁用会话超时时自动重新连接
-
启用或禁用客户端登录横幅文本
-
客户端登录横幅文本
注意
对客户端 VPN 端点的修改(包括证书吊销列表 (CRL, Certificate Revocation List) 更改)将在客户端 VPN 服务接受请求后最多 4 小时生效。
在创建客户端 VPN 端点后,您无法修改客户端 IPv4 CIDR 范围、身份验证选项、客户端证书或传输协议。
当您修改 Client VPN 端点上的以下任何参数时,连接将重置:
-
服务器证书
-
DNS 服务器
-
拆分隧道选项(打开或关闭支持)
-
路由(当您使用拆分隧道选项时)
-
证书撤销列表(CRL)
-
授权规则
-
VPN 端口号
