本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 什麼是 AWS Client VPN？
<a name="what-is"></a>

AWS Client VPN 是一種受管的用戶端型 VPN 服務，可讓您安全地存取內部部署網路中的 AWS 資源和資源。透過 Client VPN，您可以從任何地方使用以 OpenVPN 為基礎的 VPN 用戶端存取您的資源。



**Topics**
+ [

## Client VPN 的功能
](#what-is-features)
+ [

## Client VPN 的元件
](#what-is-components)
+ [

## 使用 Client VPN
](#what-is-access)
+ [

## Client VPN 的定價
](#what-is-pricing)
+ [規則和最佳實務](what-is-best-practices.md)

## Client VPN 的功能
<a name="what-is-features"></a>

Client VPN 提供以下特色和功能：
+ **安全連線** — 透過 OpenVPN 用戶端從任何位置建立加密的 TLS 連線，以確保資料隱私權和完整性。
+ **受管服務** — 透過完整的 AWS 管理，免除部署和維護第三方遠端存取 VPN 解決方案的操作負擔。
+ **高可用性和彈性** — 動態擴展以適應連接到 AWS 和內部部署資源的各種使用者數量，而無需手動介入。
+ **身分**驗證 — 支援多種身分驗證方法，包括 Active Directory 整合、聯合身分驗證和憑證型身分驗證，以實現靈活的身分管理。
+ **精細控制** — 透過可在 Active Directory 群組層級設定的網路型存取規則和安全群組型存取控制，實作精確的安全控制。
+ **易於使用** — 透過單一 VPN 通道提供對 AWS 和內部部署資源的統一存取，簡化最終使用者體驗。
+ 可**管理性** — 透過詳細的連線日誌和即時管理功能提供全面的可見性，包括在必要時監控和終止作用中用戶端連線的能力。
+ **深度整合** — 與現有的 AWS 服務無縫整合，包括 AWS Directory Service 和 Amazon VPC，增強雲端基礎設施的連線能力。
+ **IPv6 支援** — 啟用 Client VPN 端點的完整 IPv6 連線，支援對 VPCs 中 IPv6 資源和 IPv6 網路上用戶端的連線，以滿足現代聯網需求。

## Client VPN 的元件
<a name="what-is-components"></a>

以下是 Client VPN 的重要概念：

**用戶端 VPN 端點**  
Client VPN 端點是您為了啟用和管理 Client VPN 工作階段而建立及設定的資源。它是所有用户端 VPN 工作階段的終止點。

**目標網路**  
目標網路是與 Client VPN 端點相關聯的網路。始於 VPC 的子網路是目標網路。將子網路與 Client VPN 端點建立關聯可讓您建立 VPN 工作階段。您可以將多個子網路與 Client VPN 端點建立關聯，以獲得高可用性。所有子網路必須來自相同的 VPC。每個子網路必須屬於不同的可用區域。

**路由**  
每個用戶端 VPN 端點都有路由表來描述可用的目標網路路由。路由表中的每個路由指定流量流向特定資源或網路的路徑。

**授權規則**  
授權規則限制可存取網路的使用者。針對指定的網路，您可以設定允許存取的 Active Directory 或身分提供者 (IdP) 群組。只有屬於此群組的使用者才能存取指定的網路。在預設情況下沒有授權規則，您必須設定授權規則讓使用者存取資源和網路。

**用戶端**  
連線到 Client VPN 端點以建立 VPN 工作階段的最終使用者。最終使用者需要下載 OpenVPN 用戶端，並使用您建立的用戶端 VPN 組態檔案來建立 VPN 工作階段。

**用戶端 CIDR 範圍**  
要指派用戶端 IP 地址的來源 IP 地址範圍。每個與 Client VPN 端點的連線都會從用戶端 CIDR 範圍指派唯一的 IP 地址。對於 IPv4 流量，您可以選擇用戶端 CIDR 範圍，例如 `10.2.0.0/16`。對於 IPv6 流量， AWS Client VPN 會自動指派用戶端 CIDR 範圍。

**用戶端 VPN 連接埠**  
AWS Client VPN 支援 TCP 和 UDP 的連接埠 443 和 1194。預設值為連接埠 443。

**Client VPN 網路界面**  
當您將子網路與 Client VPN 端點建立關聯時，我們會在該子網路中建立 Client VPN 網路界面。從 Client VPN 端點傳送至 VPC 的流量是透過 Client VPN 網路界面傳送。對於 IPv4 流量，會套用來源網路位址轉譯 (SNAT)，其中來自用戶端 CIDR 範圍的來源 IP 地址會轉譯為 Client VPN 網路介面 IP 地址。對於 IPv6 流量，SNAT 不會套用，可增強對連線使用者的 IP 地址的可見性。

**連線日誌記錄**  
您可以啟用 Client VPN 端點的連線日誌，以記錄連線事件。您可以使用此資訊來執行鑑識、分析 Client VPN 端點的使用方式，或偵錯連線問題。

**自助式入口網站**  
Client VPN 提供自助式入口網站做為網頁，讓最終使用者能夠下載 AWS VPN 桌面用戶端的最新版本，以及 Client VPN 端點組態檔案的最新版本，其中包含連線至端點所需的設定。Client VPN 端點管理員可以啟用或停用 Client VPN 端點的自助式入口網站。自助式入口網站是一項全球服務，由下列區域中的服務堆疊提供支援：美國東部 （維吉尼亞北部）、亞太區域 （東京）、歐洲 （愛爾蘭） 和 AWS GovCloud （美國西部）。

**端點 IP 地址類型**  
Client VPN 端點的 IP 地址類型，可以是 IPv4, IPv6 或雙堆疊 (IPv4 和 IPv6)。

**流量 IP 地址類型**  
流經 Client VPN 端點的流量 IP 地址類型，可以是 IPv4, IPv6 或雙堆疊 (IPv4 和 IPv6)。這會決定每個端點的內部流量類型 （透過 VPN 連線通道的實際承載或原始流量）、用戶端 CIDR 範圍、子網路關聯、路由和規則。

## 使用 Client VPN
<a name="what-is-access"></a>

您可以透過以下任何方式來使用 Client VPN：

**AWS 管理主控台**  
主控台為 Client VPN 提供 Web 型使用者界面。  
主控台為 Client VPN 提供兩種設定方法的 Web 型使用者介面：  
+ 快速入門設定：使用 AWS 建議的預設值簡化端點建立
+ 標準設定：完全控制所有組態選項
 如果您已註冊 AWS 帳戶，您可以登入 [Amazon VPC](https://console.aws.amazon.com/vpc/) 主控台，然後在導覽窗格中選取 Client VPN。

**AWS Command Line Interface (AWS CLI)**  
 AWS CLI 可讓您直接存取 Client VPN 公有 APIs。Windows、macOS 和 Linux 都提供支援。如需 入門的詳細資訊 AWS CLI，請參閱[AWS Command Line Interface 《 使用者指南》](https://docs.aws.amazon.com/cli/latest/userguide/)。如需 Client VPN 命令的詳細資訊，請參閱 Amazon [EC2 命令列參考的 EC2 一節](https://docs.aws.amazon.com/cli/latest/reference/ec2/)。 *Amazon EC2 *

**AWS Tools for Windows PowerShell**  
AWS 為在 PowerShell 環境中編寫指令碼的人員提供廣泛的 AWS 產品命令。如需 AWS Tools for Windows PowerShell入門的詳細資訊，請參閱 [AWS Tools for Windows PowerShell 使用者指南](https://docs.aws.amazon.com/powershell/latest/userguide/)。如需 Client VPN 專用 Cmdlet 的詳細資訊，請參閱 [AWS Tools for Windows PowerShell Cmdlet 參考](https://docs.aws.amazon.com/powershell/latest/reference/)。

**查詢 API**  
Client VPN HTTPS 查詢 API 可讓您以程式設計方式存取 Client VPN 和 AWS。HTTPS 查詢 API 可讓您直接向該服務發出 HTTPS 請求。當您使用 HTTPS API 時，必須包含使用您的登入資料來數位簽署請求的程式碼。如需詳細資訊，請參閱 [AWS Client VPN 動作](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/OperationList-query-cvpn.html)。

## Client VPN 的定價
<a name="what-is-pricing"></a>

系統會針對每個端點關聯和每個 VPN 連接來向您收取費用 (以小時為計費單位)。使用 IPv6 或雙堆疊端點無需額外費用；它們的收費費率與 IPv4 端點相同。如需詳細資訊，請參閱 [AWS Client VPN 定價](https://aws.amazon.com/vpn/pricing/#AWS_Client_VPN_pricing)。

系統會針對從 Amazon EC2 傳輸資料至網際網路來向您收取費用。如需詳細資訊，請參閱「Amazon EC2 隨需定價」頁面上的[資料傳輸](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer)

如果您啟用 Client VPN 端點的連線日誌記錄，則必須在帳戶中建立 CloudWatch Logs 日誌群組。使用日誌群組需支付費用。如需詳細資訊，請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/) (在 **Paid tier** (付費層級) 下，選擇 **Logs** (日誌))。

如果您為 Client VPN 端點啟用用戶端連線處理器，就必須建立並呼叫 Lambda 函數。呼叫 Lambda 函數需支付費用。如需詳細資訊，請參閱 [AWS Lambda 定價](https://aws.amazon.com/lambda/pricing/)。

Client VPN 端點與目標網路相關聯，該網路是 VPC 中的子網路。如果此 VPC 具有網際網路閘道，我們會將彈性 IP 地址與 Client VPN 彈性網路介面 (ENIs建立關聯。這些彈性 IP 地址會以使用中的公有 IPv4 地址收費。如需詳細資訊，請參閱 [VPC 定價頁面上](https://aws.amazon.com/vpc/pricing/)的公有 IPv4 地址索引標籤。

**注意**  
Client VPN 端點在與具有網際網路閘道的 VPC 子網路相關聯時需要彈性 IP 地址，因為這些 EIPs可為 VPN 用戶端啟用直接網際網路連線。透過 Client VPN 端點連線時，他們需要公有 IP 地址才能與網際網路資源通訊。彈性 IPs提供一致的公開端點來實現此目的。這些 EIPs會連接到 Client VPN 彈性網路介面 (ENIs)，對於為 VPN 用戶端維持穩定、安全的網際網路存取，同時確保適當的流量路由至關重要。由於這些彈性 IP 地址已配置並主動用於 Client VPN 服務， 會依照其配置和相關聯 EIPs 的標準定價模型，將它們 AWS 作為使用中的公有 IPv4 地址收費。

# 使用 的規則和最佳實務 AWS Client VPN
<a name="what-is-best-practices"></a>

下列各節說明使用 的規則和最佳實務 AWS Client VPN：

**Topics**
+ [

## 網路和頻寬需求
](#bp-nw)
+ [

## 子網路和 VPC 組態
](#bp-subnet)
+ [

## 身分驗證和安全性
](#bp-auth)
+ [

## 連線和 DNS 需求
](#bp-dns)
+ [

## 限制
](#bp-limits)

## 網路和頻寬需求
<a name="bp-nw"></a>
+ AWS Client VPN 是一種全受管服務，可自動擴展以適應額外的使用者連線和頻寬需求。每個使用者連線的基準頻寬上限為 50 Mbps。

  您透過 Client VPN 端點連線的實際頻寬可能會因多種因素而有所不同。這些因素包括封包大小、流量合成 (TCP/UDP 混合）、中繼網路上的網路政策 （成形或限流）、網際網路條件、應用程式特定需求，以及並行使用者連線的總數。如果您達到最大頻寬限制，您可以透過 AWS Support 請求增加頻寬。
+ 用戶端 CIDR 範圍與相關聯子網路所在的 VPC 的本機 CIDR 不可重疊，或與手動新增到 Client VPN 端點路由表的任何路由不可重疊。
+ 用戶端 CIDR 範圍必須有至少為 /22 且不可大於 /12 的區塊大小。
+ 用戶端 CIDR 範圍中的一部分位址用於支援 Client VPN 端點的可用性模型，而且無法指派給用戶端。因此，建議您指派 CIDR 區塊，其中包含您計劃在 Client VPN 端點上支援同時連線數目上限所需 IP 地址數目兩倍的 IP 地址數目。
+ 建立 Client VPN 端點之後，就無法變更用戶端 CIDR 範圍。
+ Client VPN 支援 IPv4, IPv6 和雙堆疊 (IPv4 和 IPv6) 流量。如需 IPv6 支援的詳細資訊，請參閱[的 IPv6 考量 AWS Client VPNIPv6 考量因素](ipv6-considerations.md)。
+ 
  + 來源 IP 地址會轉譯為 Client VPN 端點的 IP 地址。
  + 來自用戶端的原始來源連接埠號碼保持不變。
+ Client VPN 只有在並行使用者連線到相同的目標時，才會執行連接埠地址轉譯 (PAT)。連接埠轉譯是自動且必要的，可透過相同的 VPN 端點支援多個同時連線。
  + 對於來源 IP 轉譯，來源 IP 地址會轉譯為 Client VPN 的 IP 地址。
  + 對於單一用戶端連線的來源連接埠轉譯，原始來源連接埠號碼可能保持不變。
  + 對於連接到相同目的地 （相同目標 IP 地址和連接埠） 的多個用戶端的來源連接埠轉譯，Client VPN 會執行連接埠轉譯，以確保唯一連線。

  例如，當兩個用戶端用戶端 1 和用戶端 2 透過 Client VPN 端點連線至相同的目的地伺服器和連接埠時：
  + 用戶端 1 的原始連接埠，例如`9999`，可能翻譯為不同的連接埠，例如連接埠 `4306`。
  + 用戶端 2 的原始連接埠 - 例如 `9999` - 可能會轉譯為唯一的連接埠不同的格式用戶端 1 - 例如連接埠 `63922`。
+ 對於 IPv6 流量，Client VPN 不會執行網路位址轉譯 (NAT)。這可增強對連線使用者的 IPv6 地址的可見性。

## 子網路和 VPC 組態
<a name="bp-subnet"></a>
+ 與 Client VPN 端點相關聯的子網路必須位於同一個 VPC 中。
+ 您不能將來自相同可用區域的多個子網路與一個 Client VPN 端點建立關聯。
+ Client VPN 端點不支援專用租用 VPC 中的子網路關聯。
+ 對於 IPv6 或雙堆疊流量，關聯的子網路必須具有 IPv6 或雙堆疊 CIDR 範圍。
+ 對於雙堆疊端點，您無法為每個可用區域建立多個子網路的關聯。

## 身分驗證和安全性
<a name="bp-auth"></a>
+ 使用交互身分驗證進行身分驗證的用戶端無法使用自助式入口網站。
+ 如果您的 Active Directory 停用多重要素驗證 (MFA)，則使用者密碼不能使用下列格式。

  ```
  SCRV1:base64_encoded_string:base64_encoded_string
  ```
+ AWS Client VPN 中使用的憑證必須遵循 [RFC 5280：網際網路 X.509 公有金鑰基礎設施憑證和憑證撤銷清單 (CRL) 設定檔](https://datatracker.ietf.org/doc/html/rfc5280)，包括備註第 4.2 節中指定的憑證延伸。
+ 具有特殊字元的使用者名稱可能會導致連線錯誤。
+ 使用者名稱長度上限為 1024 個位元組。使用者名稱較長的連線將被拒絕。

## 連線和 DNS 需求
<a name="bp-dns"></a>
+ 我們不建議使用 IP 位址連線到 Client VPN 端點。由於 Client VPN 是受管服務，因此您偶爾會看到 DNS 名稱解析出的 IP 地址發生變更。此外，您也會在 CloudTrail 日誌中看到 Client VPN 網路界面已刪除並重新建立。建議使用提供的 DNS 名稱來連線到 Client VPN 端點。
+ Client VPN 服務需要用戶端連線的 IP 地址符合 Client VPN 端點 DNS 名稱解析的 IP。換句話說，如果您為 Client VPN 端點設定自訂 DNS 記錄，然後將流量轉送到端點 DNS 名稱解析的實際 IP 地址，則此設定無法使用最近 AWS 提供的用戶端。已新增此規則來緩解伺服器 IP 攻擊，如下所述：[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)。
+ 您可以使用 AWS 提供的用戶端連線到多個並行 DNS 工作階段。不過，若要讓名稱解析正常運作，所有連線的 DNS 伺服器都應有同步記錄。
+ Client VPN 服務要求用戶端裝置的本機區域網路 (LAN) IP 地址範圍在下列標準私有 IP 地址範圍內：`10.0.0.0/8`、`192.168.0.0/16`、 `172.16.0.0/12`或 `169.254.0.0/16`。如果偵測到用戶端 LAN 地址範圍超出上述範圍，則 Client VPN 端點會自動將 OpenVPN 指令 "redirect-gateway block-local" 推送至用戶端，強制將所有 LAN 流量傳入 VPN。因此，如果您在 VPN 連線期間需要 LAN 存取，建議您為 LAN 使用上面列出的傳統地址範圍。強制執行此規則是為了降低本機網路攻擊的機會，如下所述：[TunnelCrack](https://tunnelcrack.mathyvanhoef.com/)。
+ 在 Windows 中，使用完整通道端點時，無論端點的 IP 地址類型為何 (IPv4 IPv6 或雙堆疊），都會強制所有 DNS 流量通過通道。若要讓 DNS 正常運作，必須在通道內設定和連線 DNS 伺服器。

## 限制
<a name="bp-limits"></a>
+ 使用 AWS Client VPN 桌面應用程式時，目前不支援 IP 轉送。其他用戶端支援 IP 轉送。
+ Client VPN 不支援在 AWS Managed Microsoft AD中使用多區域複寫功能。Client VPN 端點必須與 AWS Managed Microsoft AD 資源位於相同的區域。
+ 如果有多個使用者已登入作業系統，則無法從電腦建立 VPN 連線。
+ IPv6 用戶端不支援Client-to-client用戶端通訊。如果 IPv6 用戶端嘗試與其他 IPv6 用戶端通訊，則會捨棄流量。
+ IPv6 和雙堆疊端點需要使用者裝置和網際網路服務提供者 (ISPs) 支援對應的 IP 組態。