Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Integrazione Transit Gateway con Client VPN
È possibile collegare un endpoint Client VPN in modo nativo a un Transit Gateway per un accesso remoto sicuro a più VPCs reti locali e ad altre risorse connesse al Transit Gateway. Ciò elimina la necessità di creare endpoint VPN separati per ogni VPC o di gestire routing complessi tramite intermedi. VPCs
Argomenti
Panoramica di
Quando si associa un Transit Gateway a un endpoint Client VPN, i client VPN connessi possono accedere a tutte le risorse connesse al Transit Gateway se nell'endpoint Client VPN sono configurati percorsi e regole di autorizzazione appropriati.
Gli endpoint associati al Transit Gateway conservano l'indirizzo IP di origine del client. La traduzione degli indirizzi di rete di origine (SNAT) non viene applicata, il che offre una maggiore visibilità sul traffico client.
Importante
Non è possibile combinare associazioni di sottoreti VPC e associazioni Transit Gateway in un singolo endpoint Client VPN. Scegli un tipo di associazione quando crei l'endpoint.
Vantaggi
L'integrazione di Transit Gateway con Client VPN offre i seguenti vantaggi:
-
Gestione semplificata: elimina la necessità di endpoint VPN separati per VPC. Non è necessario creare un intermedio VPCs esclusivamente per la terminazione della VPN.
-
Routing centralizzato: sfrutta Transit Gateway come hub di routing centrale. Semplifica la gestione dei percorsi attraverso la rete.
-
Visibilità migliorata: conserva gli indirizzi IP di origine del client (senza SNAT). Fornisce supporto per i log di flusso per Client VPN.
-
Scalabilità: aggiungine facilmente nuovi VPCs al Transit Gateway a cui è possibile accedere tramite Client VPN. Scalabilità per supportare grandi unità di lavoro e unità aziendali remote.
-
Sicurezza centralizzata: implementa politiche di sicurezza coerenti su tutte le reti connesse. Mantieni percorsi di controllo completi.
Come funziona l'integrazione Transit Gateway
Di seguito viene descritto come Client VPN funziona con Transit Gateway:
-
Creazione di endpoint: si crea un endpoint Client VPN e si specifica l'ID Transit Gateway.
-
Creazione di allegati: crea AWS automaticamente un allegato Transit Gateway di tipo
client-vpnper l'endpoint. -
Selezione della zona di disponibilità: l'utente specifica quali zone di disponibilità utilizzare o AWS seleziona automaticamente 2 zone di disponibilità.
-
Configurazione del percorso: aggiungi percorsi alla tabella di routing degli endpoint Client VPN per indirizzare il traffico client verso le reti di destinazione attraverso il Transit Gateway.
-
Flusso di connessione client: quando un client si connette, il traffico fluisce dal client attraverso l'endpoint Client VPN al Transit Gateway e quindi alla rete di destinazione in base alle tabelle di routing del Transit Gateway.
Prerequisiti
Prima di creare un endpoint Client VPN associato a Transit Gateway, verifica i seguenti requisiti.
- Requisiti del Transit Gateway
-
-
Un Transit Gateway esistente nella stessa regione dell'endpoint Client VPN.
-
Per l'accesso su più account, il Transit Gateway deve essere condiviso con il tuo account tramite AWS Resource Access Manager.
-
Al Transit Gateway deve essere assegnato un blocco IPv4 CIDR. Se prevedi di utilizzare una configurazione dual-stack, assegna anche un blocco IPv6 CIDR. IPv6
-
- Requisiti di rete
-
-
L'intervallo CIDR del client non deve sovrapporsi agli intervalli CIDR VPCs collegati al Transit Gateway.
-
Le zone di disponibilità selezionate devono essere supportate dal Transit Gateway.
-
Le rotte di ritorno devono essere configurate nelle tabelle di routing VPC per indirizzare il traffico destinato all'intervallo CIDR del client verso il Transit Gateway.
-
- Requisiti del certificato
-
-
Un certificato server fornito in AWS Certificate Manager (ACM) nella stessa regione dell'endpoint Client VPN.
-
Se utilizzi l'autenticazione reciproca, un certificato client fornito in ACM.
-
Creare un endpoint VPN Transit Gateway Client
È possibile creare un endpoint Client VPN associato a un Transit Gateway utilizzando la console o il AWS CLI.
Per creare un endpoint VPN Transit Gateway Client (console)
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN) e quindi scegli Create Client VPN Endpoint (Crea un endpoint del client VPN).
-
(Facoltativo) Per Name tag e Descrizione, immettete un nome e una descrizione per l'endpoint.
-
Per il tipo di indirizzo IP del traffico, scegli una delle seguenti opzioni:
-
IPv4— Specificare un intervallo IPv4 CIDR del client (ad esempio,
10.0.0.0/22). -
IPv6— assegna AWS automaticamente l'intervallo IPv6 CIDR del client.
-
Dual stack: specifica un intervallo CIDR del client IPv4. AWS assegna automaticamente l'intervallo CIDR del client IPv6 .
-
-
Per Server certificate ARN, specificare l'ARN per il certificato TLS fornito in ACM.
-
Scegliete il metodo di autenticazione. Per ulteriori informazioni, consulta Autenticazione client in AWS Client VPN.
-
(Facoltativo) Per la registrazione delle connessioni, attiva Abilita i dettagli di registro sulle connessioni client e specifica il gruppo di log CloudWatch Logs e il log stream.
-
Per Infrastruttura di rete, scegli Transit Gateway.
-
Per Transit Gateway ID, seleziona Transit Gateway dall'elenco a discesa.
-
(Facoltativo) Per le zone di disponibilità, seleziona fino a 5 zone di disponibilità. Se non si selezionano zone di disponibilità, ne seleziona AWS automaticamente 2.
-
(Facoltativo) Configura impostazioni aggiuntive come server DNS, protocollo di trasporto, split-tunnel, porta VPN, timeout della sessione e banner di accesso.
-
Selezionare Create Client VPN Endpoint (Crea endpoint VPN client).
Nota
Dopo la creazione, lo stato dell'endpoint è. pending-associate L'allegato Transit Gateway viene creato automaticamente. I client possono connettersi dopo che l'allegato diventa disponibile.
Per creare un endpoint VPN Transit Gateway Client ()AWS CLI
Usa il comando create-client-vpn-endpoint con il parametro --transit-gateway-id.
L'esempio seguente crea un endpoint Client VPN con zone di disponibilità specifiche:
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE \
--availability-zone-list us-east-1a us-east-1b us-east-1c
Output di esempio:
{ "ClientVpnEndpointId": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE", "Status": { "Code": "pending-associate" }, "DnsName": "cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE.prod.clientvpn.us-east-1.amazonaws.com" }
Per consentire la selezione AWS automatica di 2 zone di disponibilità, ometti il --availability-zone-list parametro:
aws ec2 create-client-vpn-endpoint \
--client-cidr-block 10.0.0.0/22 \
--server-certificate-arn arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
--authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:us-east-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
--connection-log-options Enabled=false \
--transit-gateway-id tgw-0a1b2c3d4e5f6EXAMPLE
Verifica l'allegato Transit Gateway
Dopo aver creato l'endpoint, verifica che l'allegato Transit Gateway sia stato creato.
Per verificare l'allegato Transit Gateway (console)
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione, seleziona Collegamenti del gateway di transito.
-
Individua l'allegato con Resource type =
client-vpne Resource ID corrispondenti all'ID dell'endpoint Client VPN. -
Verifica che lo Stato sia
available.
Per verificare l'allegato Transit Gateway (AWS CLI)
Utilizza il comando describe-transit-gateway-attachments.
aws ec2 describe-transit-gateway-attachments \
--filters Name=transit-gateway-id,Values=tgw-0a1b2c3d4e5f6EXAMPLE Name=resource-type,Values=client-vpn
Per visualizzare la configurazione Transit Gateway per l'endpoint, usa il describe-client-vpn-endpointscomando:
aws ec2 describe-client-vpn-endpoints \
--client-vpn-endpoint-ids cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
L'output include un TransitGatewayConfiguration oggetto con l'ID Transit Gateway e le zone di disponibilità associate.
Gestisci i percorsi
Importante
Per gli endpoint associati a Transit Gateway, non si specifica un ID di sottorete di destinazione quando si creano i percorsi. Il traffico viene indirizzato automaticamente tramite l'allegato Transit Gateway.
Per aggiungere un percorso (console)
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).
-
Seleziona l'endpoint Client VPN, scegli Tabella di routing, quindi scegli Crea route.
-
Per Route destination, inserisci l'intervallo CIDR di destinazione (ad esempio,
10.1.0.0/16per un VPC0.0.0.0/0o per tutto il traffico). -
(Facoltativo) In Descrizione, inserisci una descrizione per il percorso.
-
Selezionare Create Route (Crea route).
Per aggiungere un percorso (AWS CLI)
Utilizzate il create-client-vpn-routecomando senza il --target-vpc-subnet-id parametro.
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
Per aggiungere più route, esegui il comando per ogni intervallo CIDR di destinazione:
# Route to VPC 1
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
# Route to VPC 2
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.2.0.0/16
# Route to on-premises network
aws ec2 create-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 192.168.0.0/16
Per eliminare una rotta (console)
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).
-
Seleziona l'endpoint Client VPN, scegli Tabella Route, seleziona il percorso, quindi scegli Elimina percorso.
-
Scegli Elimina percorso per confermare.
Per eliminare un percorso (AWS CLI)
Utilizza il comando delete-client-vpn-route.
aws ec2 delete-client-vpn-route \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--destination-cidr-block 10.1.0.0/16
Configurazione dell’autorizzazione
Importante
L'autorizzazione basata su gruppi di sicurezza non è supportata per gli endpoint Client VPN associati a Transit Gateway. È necessario utilizzare regole di autorizzazione basate sulla rete per controllare l'accesso dei client.
Per aggiungere una regola di autorizzazione (console)
Apri la console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/
. -
Nel riquadro di navigazione scegli Client VPN Endpoints (Endpoint del client VPN).
-
Seleziona l'endpoint Client VPN, scegli Regole di autorizzazione, quindi scegli Aggiungi regola di autorizzazione.
-
Per consentire l'accesso alla rete di destinazione, inserisci l'intervallo CIDR di destinazione (ad esempio,
10.1.0.0/16). -
Per Concedi l'accesso a, scegli una delle seguenti opzioni:
-
Consenti l'accesso a tutti gli utenti: tutti i client autenticati possono accedere alla rete di destinazione.
-
Consenti l'accesso agli utenti in un gruppo di accesso specifico: inserisci il SID del gruppo Active Directory o il nome del gruppo IdP nell'ID del gruppo di accesso.
-
-
Scegliere Add authorization rule (Aggiungi regola di autorizzazione).
Per aggiungere una regola di autorizzazione ()AWS CLI
Utilizza il comando authorize-client-vpn-ingress.
L'esempio seguente autorizza tutti gli utenti ad accedere alla 10.1.0.0/16 rete:
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--authorize-all-groups
L'esempio seguente autorizza uno specifico gruppo di Active Directory:
aws ec2 authorize-client-vpn-ingress \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--target-network-cidr 10.1.0.0/16 \
--access-group-id S-1-2-34-1234567890-1234567890-1234567890-1234
Gestisci le zone di disponibilità
È possibile modificare le zone di disponibilità per un endpoint Client VPN associato a Transit Gateway dopo la creazione.
Per aggiungere una singola zona di disponibilità ()AWS CLI
Utilizzate il comando associate-client-vpn-target-network con il --availability-zone parametro.
aws ec2 associate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--availability-zone us-east-1c
Per rimuovere una singola zona di disponibilità ()AWS CLI
Innanzitutto, utilizzate il comando describe-client-vpn-target-networks per trovare l'ID di associazione per la zona di disponibilità.
aws ec2 describe-client-vpn-target-networks \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE
Quindi utilizzate il comando disassociate-client-vpn-target-network con l'ID dell'associazione.
aws ec2 disassociate-client-vpn-target-network \
--client-vpn-endpoint-id cvpn-endpoint-0a1b2c3d4e5f6EXAMPLE \
--association-id cvpn-assoc-0a1b2c3d4e5f6EXAMPLE
Accesso al Transit Gateway su più account
È possibile creare un endpoint Client VPN associato a un Transit Gateway di proprietà di un altro AWS account. A tale scopo, il proprietario del Transit Gateway deve condividere il Transit Gateway con il tuo account tramite AWS Resource Access Manager.
- Prerequisiti
-
-
Account proprietario di Transit Gateway: un Transit Gateway esistente e autorizzazioni per creare condivisioni di risorse. AWS Resource Access Manager
-
Account endpoint Client VPN: autorizzazioni per creare endpoint Client VPN e accettare AWS Resource Access Manager condivisioni di risorse.
-
Nell'account endpoint Client VPN, accetta la condivisione delle risorse nella AWS Resource Access Manager console o utilizzando il accept-resource-share-invitationcomando. Dopo aver accettato la condivisione, il Transit Gateway viene visualizzato nel menu a discesa Transit Gateway ID quando si crea un endpoint Client VPN.
Considerazioni e limitazioni
Considera quanto segue quando utilizzi l'integrazione Transit Gateway con Client VPN:
-
Restrizioni di associazione
-
Non è possibile combinare associazioni di sottoreti VPC e associazioni Transit Gateway in un singolo endpoint.
-
Ogni endpoint deve utilizzare esclusivamente un tipo di associazione.
-
-
Gruppi di sicurezza
-
L'autorizzazione basata su gruppi di sicurezza non è supportata per gli endpoint Transit Gateway.
-
Utilizza solo regole di autorizzazione basate sulla rete.
-
-
Gestione degli itinerari
-
La propagazione automatica delle rotte da Transit Gateway non è supportata.
-
È necessario definire manualmente i percorsi per le reti di destinazione.
-
-
Sovrapposizione CIDR
-
Il blocco CIDR Client VPN non deve sovrapporsi ad altri allegati Transit Gateway o blocchi CIDR Transit Gateway.
-
Transit Gateway non supporta intervalli CIDR sovrapposti tra quelli collegati. VPCs
-
-
Limitazione regionale
-
L'endpoint Client VPN e il Transit Gateway devono trovarsi nella stessa AWS regione.
-
Il peering transregionale Transit Gateway non è supportato per Client VPN.
-
-
Zone di disponibilità
-
È possibile specificare fino a 5 zone di disponibilità per endpoint.
-
Se non specificato, assegna AWS automaticamente 2 zone di disponibilità.
-
Tutte le zone di disponibilità specificate devono essere supportate sia da Client VPN che da Transit Gateway.
-
-
Routing di ritorno
-
VPCs connesso al Transit Gateway deve avere percorsi di ritorno configurati per reindirizzare il traffico destinato al Client VPN CIDR verso il Transit Gateway.
-
Senza un corretto routing di ritorno, i client VPN non possono accedere alle risorse di. VPCs
-
Per IPv4: Il CIDR Client VPN è noto al momento della creazione dell'endpoint.
-
Per IPv6: È necessario descrivere la tabella di routing Transit Gateway per determinare l'intervallo IPv6 CIDR assegnato all'endpoint Client VPN (l'intervallo CIDR più ampio nella tabella di routing del Transit Gateway associato all'endpoint Client VPN), poiché gli intervalli CIDR IPv6 client vengono assegnati automaticamente da. AWS Client VPN
-
-
-
Registri di connessione e flusso
-
I log di flusso Transit Gateway possono essere abilitati per acquisire informazioni sul traffico IP in entrata e in uscita dai Transit Gateway. I log di connessione Client VPN possono essere abilitati per acquisire informazioni sugli eventi di connessione Client VPN.
-
È possibile correlare un evento del log di flusso Transit Gateway a una connessione Client VPN confrontando l'IP e il timestamp di un client in un evento del log di flusso Transit Gateway con lo stesso IP client e lo stesso periodo di tempo nei log di connessione Client VPN.
-
-
Connettività Internet
-
Per accedere a Internet tramite Client VPN with Transit Gateway, senza split tunnel, un VPC collegato deve avere un NAT configurato.
-
Per IPv4: configurare un gateway NAT per sostituire il client Client VPN IPs con un indirizzo IP pubblico.
-
Per IPv6: vedi Traffico Internet centralizzato in uscita con. IPv6
-
-
