什么是 AWS Client VPN?
AWS Client VPN 是一种基于客户端的托管 VPN 服务,让您能够安全地访问 AWS 资源和本地网络中的资源。借助 Client VPN,您可以使用基于 OpenVPN 的 VPN 客户端从任何位置访问您的资源。
Client VPN 的特性
Client VPN 提供以下特性和功能:
-
安全连接 - 通过 OpenVPN 客户端从任意位置建立加密 TLS 连接,确保数据隐私和完整性。
-
托管服务 - 通过完整的 AWS 管理,消除部署和维护第三方远程访问 VPN 解决方案的运营负担。
-
高可用性和弹性 - 动态扩展以容纳不同数量的用户连接到您的 AWS 和本地资源,而无需手动干预。
-
身份验证 - 支持多种身份验证方法,包括 Active Directory 集成、联合身份验证和基于证书的身份验证,可实现灵活的身份管理。
-
精细控制 - 通过可在 Active Directory 组级别配置的基于网络的访问规则和基于安全组的访问控制,实现精确的安全控制。
-
易用性 - 通过单个 VPN 隧道提供对 AWS 和本地资源的统一访问,从而简化终端用户体验。
-
可管理性 - 通过详细的连接日志和实时管理功能提供全面的可见性,包括能够在必要时监控和终止活动客户端连接。
-
深度集成 - 与现有 AWS 服务(包括 AWS Directory Service 和 Amazon VPC)无缝集成,从而增强您的云基础设施的连接能力。
-
IPv6 支持 - 为 Client VPN 端点启用完整 IPv6 连接,支持连接到 VPC 中的 IPv6 资源以及从 IPv6 网络上的客户端进行连接,以满足现代联网需求。
Client VPN 的组件
以下是 Client VPN 的主要概念:
- Client VPN 端点
-
Client VPN 终端节点是您创建并配置以用于启用和管理 Client VPN 会话的资源。这是所有 Client VPN 会话的终止点。
- 目标网络
-
目标网络是与 Client VPN 端点关联的网络。VPC 中的子网是目标网络。通过将子网与 Client VPN 端点关联,您可以建立 VPN 会话。您可以将多个子网与一个 Client VPN 终端节点关联以实现高可用性。所有子网都必须来自同一 VPC。每个子网都必须属于不同的可用区。
- 路由
-
每个 Client VPN 端点都具有一个路由表,用于描述可用的目标网络路由。路由表中的每个路由都指定了到特定资源或网络的途径。
- 授权规则
-
授权规则限制可访问网络的用户。对于指定的网络,您可以配置允许访问的 Active Directory 或身份提供商 (IdP) 组。只有属于此组的用户才能访问指定的网络。默认情况下,没有授权规则,您必须配置授权规则来允许用户访问资源和网络。
- 客户端
-
连接到 Client VPN 端点以建立 VPN 会话的终端用户。终端用户需要下载 OpenVPN 客户端,并使用您创建的 Client VPN 配置文件来建立 VPN 会话。
- 客户端 CIDR 范围
-
从中分配客户端 IP 地址的 IP 地址范围。将从客户端 CIDR 范围中为每个到 Client VPN 端点的连接分配一个唯一的 IP 地址。对于 IPv4 流量,您可以选择客户端 CIDR 范围,例如
10.2.0.0/16。对于 IPv6 流量,AWS Client VPN 自动分配客户端 CIDR 范围。 - Client VPN 端口
-
AWS Client VPN 支持 TCP 和 UDP 的端口 443 和 1194。默认值为端口 443。
- Client VPN 网络接口
-
当您将子网与 Client VPN 端点关联时,我们在该子网中创建 Client VPN 网络接口。从 Client VPN 端点发送到 VPC 的流量将通过 Client VPN 网络接口发送。对于 IPv4 流量,应用源网络地址转换(SNAT),将客户端 CIDR 范围内的源 IP 地址转换为 Client VPN 网络接口 IP 地址。对于 IPv6 流量,不应用 SNAT,从而增强对连接用户的 IP 地址的可见性。
- 连接日志记录
-
您可以为 Client VPN 端点启用连接日志记录以记录连接事件。您可以使用此信息运行取证、分析 Client VPN 终端节点的使用方式或调试连接问题。
- 自助服务门户
-
Client VPN 为终端用户提供自助服务门户网页,他们可以通过该网页下载最新版 Amazon VPN Desktop Client 和最新版 Client VPN 端点配置文件,该配置文件中包括连接到其端点所需的设置。Client VPN 端点管理员可以为 Client VPN 端点启用或禁用自助服务门户。自助服务门户是一项全球服务,由以下区域中的服务堆栈提供支持:美国东部(弗吉尼亚州北部)、亚太地区(东京)、欧洲地区(爱尔兰)以及 AWS GovCloud(美国西部)。
- 端点 IP 地址类型
-
Client VPN 端点的 IP 地址类型,可以是 IPv4、IPv6 或双堆栈(IPv4 和 IPv6)。
- 流量 IP 地址类型
-
流经 Client VPN 端点的流量的 IP 地址类型,可以是 IPv4、IPv6 或双堆栈(IPv4 和 IPv6)。这决定了内部流量的类型(使用 VPN 连接通过隧道传输的实际有效载荷或原始流量)、客户端 CIDR 范围、子网关联、路由和每个端点的规则。
使用 Client VPN
您可以通过以下任何方式使用 Client VPN:
- AWS 管理控制台
-
控制台为 Client VPN 提供基于 Web 的用户界面。如果您已注册了 AWS 账户,则可以登录 Amazon VPC
控制台,然后在导航窗格中选择 Client VPN。 - AWS Command Line Interface (AWS CLI)
-
AWS CLI 提供对 Client VPN 公有 API 的直接访问。它在 Windows、macOS 和 Linux 上受支持。有关 AWS CLI 入门的更多信息,请参阅 AWS Command Line Interface用户指南。有关 Client VPN 命令的更多信息,请参阅 Amazon EC2 命令行参考中的 EC2 部分。
- AWS Tools for Windows PowerShell
-
AWS 为在 PowerShell 环境中编写脚本的用户提供大量 AWS 产品的相关命令。有关 AWS Tools for Windows PowerShell 入门的更多信息,请参阅 AWS Tools for Windows PowerShell用户指南。如需详细了解 Client VPN 的 cmdlet,请参阅 AWS Tools for Windows PowerShell Cmdlet 参考。
- 查询 API
-
Client VPN HTTPS 查询 API 使您能够以编程方式访问 Client VPN 和 AWS。HTTPS 查询 API 可让您直接向服务发布 HTTPS 请求。使用 HTTPS API 时,必须添加代码,才能使用您的凭证对请求进行数字化签名。有关更多信息,请参阅 AWS Client VPN 操作。
Client VPN 的定价
您需要按小时为每个端点关联和每个 VPN 连接付费。使用 IPv6 或双堆栈端点无需支付额外费用;它们的费率与 IPv4 端点相同。有关更多信息,请参阅AWS Client VPN定价
您需要为从 Amazon EC2 传出到互联网的数据付费。有关更多信息,请参阅 Amazon EC2 按需定价页面上的数据传输
如果为 Client VPN 端点启用连接日志记录,则必须在账户中创建 CloudWatch Logs 日志组。使用日志组需支付费用。有关更多信息,请参阅 Amazon CloudWatch 定价
如果为 Client VPN 端点启用客户端连接处理程序,则必须创建并调用 Lambda 函数。调用 Lambda 函数需支付费用。有关更多信息,请参阅 AWS Lambda 定价
Client VPN 端点与属于 VPC 中子网的目标网络相关联。如果此 VPC 有互联网网关,我们会将弹性 IP 地址与 Client VPN 弹性网络接口(ENI)相关联。这些弹性 IP 地址按使用中的公有 IPv4 地址收费。有关更多信息,请参阅 VPC 定价页面
注意
Client VPN 端点在与具有互联网网关的 VPC 子网关联时需要弹性 IP 地址,因为这些 EIP 可为 VPN 客户端启用直接互联网连接。通过 Client VPN 端点连接时,它们需要一个公有 IP 地址才能与互联网资源通信。弹性 IP 通过提供面向公众的一致端点来实现这一目的。这些 EIP 连接到 Client VPN 弹性网络接口(ENI),它们对于维持 VPN 客户端稳定、安全的互联网接入,同时确保流量正确路由至关重要。由于这些弹性 IP 地址已分配并积极用于 Client VPN 服务,因此 AWS 遵循分配和关联的 EIP 的标准定价模式,按使用中的公有 IPv4 地址对其收费。
