本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Client VPN 端點
所有 AWS Client VPN 工作階段都會與 Client VPN 端點建立通訊。您可以管理 Client VPN 端點,以建立、修改、檢視和刪除具有該端點的用戶端 VPN 工作階段。您可以使用 Amazon VPC 主控台或使用 AWS CLI 來建立和修改端點。
建立 Client VPN 端點的需求
重要
Client VPN 端點必須在佈建預期目標網路的相同 AWS 帳戶中建立。您還需要產生伺服器憑證,並視需要產生用戶端憑證。如需詳細資訊,請參閱中的用戶端身分驗證 AWS Client VPN。
開始之前,請務必備妥下列項目:
-
檢閱使用 的規則和最佳實務 AWS Client VPN中的規則和限制。
-
產生伺服器憑證,並視需要取得用戶端憑證。如需詳細資訊,請參閱中的用戶端身分驗證 AWS Client VPN。
IP 地址類型
AWS Client VPN 支援端點連線和流量路由的IPv4-only, IPv6-only 和雙堆疊組態。下列指引可協助您根據您的用戶端裝置功能、網路基礎設施和應用程式需求,選取適當的 IP 地址類型。
端點地址類型
端點地址類型會決定 Client VPN 端點支援哪些 IP 通訊協定進行用戶端連線。此設定無法在建立端點後變更。
在以下情況下選擇IPv4-only:
您的用戶端裝置僅支援 IPv4 VPN 連線
您的安全工具已針對 IPv4 流量檢查進行最佳化
在以下情況下選擇IPv6-only:
所有用戶端裝置完全支援 IPv6 連線
您位於 IPv4 地址耗盡的網路中
在下列情況下選擇雙堆疊:
您混合了具有不同 IP 功能的用戶端裝置
您正在逐步從 IPv4 轉換到 IPv6
流量 IP 地址類型
流量 IP 地址類型控制 Client VPN 如何在用戶端和 VPC 資源之間路由流量,而不受端點支援的通訊協定影響。
在下列情況下,將流量路由為 IPv4:
VPC 中的目標應用程式僅支援 IPv4
您有複雜的 IPv4 安全群組和網路 ACLs
您正在連線至舊版系統
在下列情況下,將流量路由為 IPv6:
您的 VPC 基礎設施主要是 IPv6
您想要為網路架構做好準備
您已為 IPv6 建置現代應用程式
端點修改
建立 Client VPN 之後,您就可以修改下列任一設定:
-
描述
-
伺服器憑證
-
用戶端連線日誌記錄選項
-
用戶端連線處理常式選項
-
DNS 伺服器
-
分割通道選項
-
路由 (使用分割通道選項時)
-
憑證撤銷清單 (CRL)
-
授權規則
-
VPC 和安全群組關聯
-
VPN 連接埠號碼
-
自助式入口網站選項
-
最長 VPN 工作階段持續時間
-
啟用或停用工作階段逾時時自動重新連線
-
啟用或停用用戶端登入橫幅文字
-
用戶端登入橫幅文字
注意
對 Client VPN 端點進行的修改,包括憑證撤銷清單 (CRL) 變更在內,將於 Client VPN 服務接受要求後的 4 小時內生效。
在建立 Client VPN 端點之後,您即無法修改用戶端 IPv4 CIDR 範圍、驗證選項、用戶端憑證或傳輸協定。
當您修改 Client VPN 端點上的下列參數時,連線會重設:
-
伺服器憑證
-
DNS 伺服器
-
分割通道選項 (開啟或關閉支援)
-
路由 (當您使用分割通道選項時)
-
憑證撤銷清單 (CRL)
-
授權規則
-
VPN 連接埠號碼
