本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Client VPN 端点
所有 AWS Client VPN 会话都与 Client VPN 端点建立通信。可以通过管理 Client VPN 端点创建、修改、查看和删除与该端点进行的 Client VPN 会话。可以使用 Amazon VPC 控制台或 AWS CLI 创建和修改端点。
创建 Client VPN 端点的要求
重要
必须在配置预期目标网络的同一 AWS 账户中创建 Client VPN 端点。您还需要生成服务器证书,并根据需要生成客户端证书。有关更多信息,请参阅 中的客户端身份验证 AWS Client VPN。
在您开始之前,请确保您已执行以下操作:
-
查看 使用 AWS Client VPN的规则和最佳实践中的规则和限制。
-
生成服务器证书,并(如果需要)获取客户端证书。有关更多信息,请参阅 中的客户端身份验证 AWS Client VPN。
IP 地址类型
AWS Client VPN 支持 IPv4端点连接和 IPv6流量路由的仅限、仅限和双栈配置。以下指南可帮助您根据客户端设备功能、网络基础设施和应用程序要求选择适当的 IP 地址类型。
端点地址类型
端点地址类型决定了您的 Client VPN 端点支持哪些 IP 协议进行客户端连接。终端节点创建后无法更改此设置。
IPv4仅在以下情况下选择-
您的客户端设备仅支持 IPv4 VPN 连接
您的安全工具已针对 IPv4 交通检查进行了优化
IPv6仅在以下情况下选择-
所有客户端设备都完全支持 IPv6 连接
您所在的网络 IPv4 地址已耗尽
在以下情况下选择双堆栈:
您有多种具有不同 IP 功能的客户端设备
你正在逐渐从过渡到 IPv4 IPv6
流量 IP 地址类型
流量 IP 地址类型控制 Client VPN 如何在客户端和您的 VPC 资源之间路由流量,这与终端节点支持的协议无关。
按以下时间对流量 IPv4 进行路由:
仅支持您的 VPC 中的目标应用程序 IPv4
你有复杂 IPv4 的安全组和网络 ACLs
您正在连接到旧系统
按以下时间对流量 IPv6 进行路由:
您的 VPC 基础设施主要是 IPv6
您想让自己的网络架构经得起未来考验
你有专为之构建的现代应用程序 IPv6
端点修改
创建完 Client VPN 后,您可以修改以下任意设置:
-
描述
-
服务器证书
-
客户端连接日志记录选项
-
客户端连接处理程序选项
-
DNS 服务器
-
拆分隧道选项
-
路由(在使用拆分隧道选项时)
-
证书撤销列表(CRL)
-
授权规则
-
VPC 和安全组关联
-
VPN 端口号
-
自助服务门户选项
-
最长 VPN 会话持续时间
-
启用或禁用会话超时自动重新连接
-
启用或禁用客户端登录横幅文本
-
客户端登录横幅文本
注意
对客户端 VPN 端点的修改(包括证书吊销列表 (CRL, Certificate Revocation List) 更改)将在客户端 VPN 服务接受请求后最多 4 小时生效。
创建 IPv4 Client VPN 端点后,您无法修改客户端 CIDR 范围、身份验证选项、客户端证书或传输协议。
当您修改 Client VPN 端点上的以下任何参数时,连接将重置:
-
服务器证书
-
DNS 服务器
-
拆分隧道选项(打开或关闭支持)
-
路由(当您使用拆分隧道选项时)
-
证书撤销列表(CRL)
-
授权规则
-
VPN 端口号
