本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 AWS Client VPN?
AWS Client VPN 是一種受管的用戶端型 VPN 服務,可讓您安全地存取內部部署網路中的 AWS 資源和資源。透過 Client VPN,您可以從任何地方使用以 OpenVPN 為基礎的 VPN 用戶端存取您的資源。
Client VPN 的功能
Client VPN 提供以下特色和功能:
-
安全連線 — 透過 OpenVPN 用戶端從任何位置建立加密的 TLS 連線,以確保資料隱私權和完整性。
-
受管服務 — 透過完整的 AWS 管理,免除部署和維護第三方遠端存取 VPN 解決方案的操作負擔。
-
高可用性和彈性 — 動態擴展以適應連接到 AWS 和內部部署資源的各種使用者數量,而無需手動介入。
-
身分驗證 — 支援多種身分驗證方法,包括 Active Directory 整合、聯合身分驗證和憑證型身分驗證,以實現靈活的身分管理。
-
精細控制 — 透過可在 Active Directory 群組層級設定的網路型存取規則和安全群組型存取控制,實作精確的安全控制。
-
易於使用 — 透過單一 VPN 通道提供對 AWS 和內部部署資源的統一存取,簡化最終使用者體驗。
-
可管理性 — 透過詳細的連線日誌和即時管理功能提供全面的可見性,包括在必要時監控和終止作用中用戶端連線的能力。
-
深度整合 — 與現有的 AWS 服務無縫整合,包括 AWS Directory Service 和 Amazon VPC,增強雲端基礎設施的連線能力。
-
IPv6 支援 — 啟用 Client VPN 端點的完整 IPv6 連線,支援 VPCs中 IPv6 資源的連線,以及來自 IPv6 網路用戶端的連線,以滿足現代聯網需求。
Client VPN 的元件
以下是 Client VPN 的重要概念:
- 用戶端 VPN 端點
-
Client VPN 端點是您為了啟用和管理 Client VPN 工作階段而建立及設定的資源。它是所有用户端 VPN 工作階段的終止點。
- 目標網路
-
目標網路是與 Client VPN 端點相關聯的網路。始於 VPC 的子網路是目標網路。將子網路與 Client VPN 端點建立關聯可讓您建立 VPN 工作階段。您可以將多個子網路與 Client VPN 端點建立關聯,以獲得高可用性。所有子網路必須來自相同的 VPC。每個子網路必須屬於不同的可用區域。
- 路由
-
每個用戶端 VPN 端點都有路由表來描述可用的目標網路路由。路由表中的每個路由指定流量流向特定資源或網路的路徑。
- 授權規則
-
授權規則限制可存取網路的使用者。針對指定的網路,您可以設定允許存取的 Active Directory 或身分提供者 (IdP) 群組。只有屬於此群組的使用者才能存取指定的網路。在預設情況下沒有授權規則,您必須設定授權規則讓使用者存取資源和網路。
- 用戶端
-
連線到 Client VPN 端點以建立 VPN 工作階段的最終使用者。最終使用者需要下載 OpenVPN 用戶端,並使用您建立的用戶端 VPN 組態檔案來建立 VPN 工作階段。
- 用戶端 CIDR 範圍
-
要指派用戶端 IP 地址的來源 IP 地址範圍。每個與 Client VPN 端點的連線都會從用戶端 CIDR 範圍指派唯一的 IP 地址。對於 IPv4 流量,您可以選擇用戶端 CIDR 範圍,例如
10.2.0.0/16。對於 IPv6 流量, AWS Client VPN 會自動指派用戶端 CIDR 範圍。 - 用戶端 VPN 連接埠
-
AWS Client VPN 支援 TCP 和 UDP 的連接埠 443 和 1194。預設值為連接埠 443。
- Client VPN 網路界面
-
當您將子網路與 Client VPN 端點建立關聯時,我們會在該子網路中建立 Client VPN 網路界面。從 Client VPN 端點傳送至 VPC 的流量是透過 Client VPN 網路界面傳送。對於 IPv4 流量,會套用來源網路位址轉譯 (SNAT),其中來自用戶端 CIDR 範圍的來源 IP 地址會轉譯為 Client VPN 網路介面 IP 地址。對於 IPv6 流量,SNAT 不會套用,可增強對連線使用者的 IP 地址的可見性。
- 連線日誌記錄
-
您可以啟用 Client VPN 端點的連線日誌,以記錄連線事件。您可以使用此資訊來執行鑑識、分析 Client VPN 端點的使用方式,或偵錯連線問題。
- 自助式入口網站
-
Client VPN 提供自助式入口網站做為網頁,讓最終使用者能夠下載 AWS VPN 桌面用戶端的最新版本,以及 Client VPN 端點組態檔案的最新版本,其中包含連線至端點所需的設定。Client VPN 端點管理員可以啟用或停用 Client VPN 端點的自助式入口網站。自助式入口網站是一項全球服務,由下列區域中的服務堆疊提供支援:美國東部 (維吉尼亞北部)、亞太區域 (東京)、歐洲 (愛爾蘭) 和 AWS GovCloud (美國西部)。
- 端點 IP 地址類型
-
Client VPN 端點的 IP 地址類型,可以是 IPv4, IPv6 或雙堆疊 (IPv4 和 IPv6)。
- 流量 IP 地址類型
-
流經 Client VPN 端點的流量 IP 地址類型,可以是 IPv4, IPv6 或雙堆疊 (IPv4 和 IPv6)。這會決定每個端點的內部流量類型 (透過 VPN 連線通道的實際承載或原始流量)、用戶端 CIDR 範圍、子網路關聯、路由和規則。
使用 Client VPN
您可以透過以下任何方式來使用 Client VPN:
- AWS Management Console
-
主控台為 Client VPN 提供 Web 型使用者界面。如果您已註冊 AWS 帳戶,您可以登入 Amazon VPC
主控台,然後在導覽窗格中選取 Client VPN。 - AWS Command Line Interface (AWS CLI)
-
AWS CLI 可讓您直接存取 Client VPN 公有 APIs。Windows、macOS 和 Linux 都提供支援。如需 入門的詳細資訊 AWS CLI,請參閱AWS Command Line Interface 《 使用者指南》。如需 Client VPN 命令的詳細資訊,請參閱 Amazon EC2 命令列參考的 EC2 一節。 Amazon EC2
- AWS Tools for Windows PowerShell
-
AWS 為在 PowerShell 環境中編寫指令碼的人員提供廣泛的 AWS 產品命令。如需 AWS Tools for Windows PowerShell入門的詳細資訊,請參閱 AWS Tools for Windows PowerShell 使用者指南。如需 Client VPN 專用 Cmdlet 的詳細資訊,請參閱 AWS Tools for Windows PowerShell Cmdlet 參考。
- 查詢 API
-
Client VPN HTTPS 查詢 API 可讓您以程式設計方式存取 Client VPN 和 AWS。HTTPS 查詢 API 可讓您直接向該服務發出 HTTPS 請求。當您使用 HTTPS API 時,必須包含使用您的登入資料來數位簽署請求的程式碼。如需詳細資訊,請參閱 AWS Client VPN 動作。
Client VPN 的定價
系統會針對每個端點關聯和每個 VPN 連接來向您收取費用 (以小時為計費單位)。使用 IPv6 或雙堆疊端點無需額外費用;它們的收費費率與 IPv4 端點相同。如需詳細資訊,請參閱 AWS Client VPN 定價
系統會針對從 Amazon EC2 傳輸資料至網際網路來向您收取費用。如需詳細資訊,請參閱「Amazon EC2 隨需定價」頁面上的資料傳輸
如果您啟用 Client VPN 端點的連線日誌記錄,則必須在帳戶中建立 CloudWatch Logs 日誌群組。使用日誌群組需支付費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價
如果您為 Client VPN 端點啟用用戶端連線處理器,就必須建立並呼叫 Lambda 函數。呼叫 Lambda 函數需支付費用。如需詳細資訊,請參閱 AWS Lambda
定價
Client VPN 端點與目標網路相關聯,該網路是 VPC 中的子網路。如果此 VPC 具有網際網路閘道,我們會將彈性 IP 地址與 Client VPN 彈性網路介面 (ENIs建立關聯。這些彈性 IP 地址會以使用中的公有 IPv4 地址收費。如需詳細資訊,請參閱 VPC 定價頁面上
注意
Client VPN 端點在與具有網際網路閘道的 VPC 子網路相關聯時需要彈性 IP 地址,因為這些 EIPs可為 VPN 用戶端啟用直接網際網路連線。透過 Client VPN 端點連線時,他們需要公有 IP 地址才能與網際網路資源通訊。彈性 IPs提供一致的公開端點來實現此目的。這些 EIPs會連接到 Client VPN 彈性網路介面 (ENIs),對於為 VPN 用戶端維持穩定、安全的網際網路存取,同時確保適當的流量路由至關重要。由於這些彈性 IP 地址已配置並主動用於 Client VPN 服務, 會依照其配置和相關聯 EIPs 的標準定價模型,將它們 AWS 作為使用中的公有 IPv4 地址收費。
