本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 修改 AWS Client VPN 端点
<a name="cvpn-working-endpoint-modify"></a>

可以使用 Amazon VPC 控制台或 AWS CLI 修改 Client VPN 端点。有关可以修改的 Client VPN 字段的更多信息，请参阅[端点修改](cvpn-working-endpoints.md#cvpn-endpoints-modify-req)。

## 限制
<a name="endpoints-limits"></a>

以下是修改端点时具有的限制 
+  对客户端 VPN 端点的修改（包括证书吊销列表 (CRL, Certificate Revocation List) 更改）将在客户端 VPN 服务接受请求后最多 4 小时生效。
+ 在创建客户端 VPN 端点后，您无法修改客户端 IPv4 CIDR 范围、身份验证选项、客户端证书或传输协议。
+ 对于端点 IP 和流量 IP 类型，您可以将现有 IPv4 端点修改为双堆栈。如果端点 IP 和流量 IP 只需要使用 IPv6，则您必须创建一个新的端点。
+ 创建后，Client VPN 不支持修改端点类型（IPv4、IPv6、双堆栈）或流量类型（IPv4、IPv6、双堆栈）。
+ 不支持使用端点类型和流量类型的特定组合修改 Client VPN。您无法更改为任何其他组合。必须删除端点，然后使用所需的配置重新创建。
+ 不支持 IPv6 流量的客户端到客户端通信。

## 修改 Client VPN 终端节点
<a name="endpoint-modify"></a>

您可以使用控制台或 AWS CLI 修改 Client VPN 端点。

**使用控制台修改 Client VPN 端点**

1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Client VPN Endpoints**（Client VPN 终端节点）。

1. 选择要修改的 Client VPN 端点，选择 **Actions**（操作），然后选择 **Modify Client VPN endpoint**（修改 Client VPN 端点）。

1. 对于 **Description**（描述），输入 Client VPN 端点的简短描述。

1. 对于**端点 IP 地址类型**，您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。

1. 对于**流量 IP 地址类型**，您可以将现有 IPv4 端点修改为双堆栈。此选项仅适用于 IPv4 端点。

1. 对于 **Server certificate ARN**（服务器证书 ARN），请指定服务器要使用的 TLS 证书的 ARN。客户端使用服务器证书对它们正在连接的 Client VPN 终端节点进行身份验证。
**注意**  
服务器证书必须存在于您在其中创建 Client VPN 端点的区域中的 AWS Certificate Manager（ACM）中。可以使用 ACM 预置证书，也可以导入到 ACM 中。

1. 指定是否要使用 Amazon CloudWatch Logs 记录有关客户端连接的数据。对于 **Enable log details on client connections**（在客户端连接上启用日志详细信息），执行以下操作之一：
   + 要激活客户端连接日志记录，请开启 **Enable log details on client connections**（在客户端连接上启用日志详细信息）。对于 **CloudWatch Logs log group name**（CloudWatch Logs 日志组名称），选择要使用的日志组的名称。对于 **CloudWatch Logs log stream name**（CloudWatch Logs 日志流名称），选择要使用的日志流的名称，或者将此选项留空以便我们为您创建日志流。
   + 要停用客户端连接日志记录，请关闭 **Enable log details on client connections**（在客户端连接上启用日志详细信息）。

1. 对于 **Client connect handler**（客户端连接处理程序），要激活 [client connect handler](connection-authorization.md)（客户端连接处理程序），请开启 **Enable client connect handler**（启用客户端连接处理程序）。对于 **Client Connect Handler ARN**（客户端连接处理程序 ARN），指定包含允许或拒绝连接的逻辑的 Lambda 函数的 Amazon 资源名称 (ARN)。

1. 打开或关闭 **Enable DNS servers**（启用 DNS 服务器）。要使用自定义 DNS 服务器，对于 **DNS 服务器 1 IP 地址**和 **DNS 服务器 2 IP 地址**，指定要使用的 DNS 服务器的 IPv4 地址。对于 IPv6 或双堆栈端点，您还可以指定 **DNS 服务器 IPv6 1** 和 **DNS 服务器 IPv6 2** 地址。要使用 VPC DNS 服务器，对于 **DNS Server 1 IP address**（DNS 服务器 1 IP 地址）或 **DNS Server 2 IP address**（DNS 服务器 2 IP 地址），指定 IP 地址，并添加 VPC DNS 服务器 IP 地址。
**注意**  
验证客户端是否能访问 DNS 服务器。

1. 打开或关闭 **Enable split-tunnel**（启用拆分隧道）。原定设置情况下，拆分隧道在 VPN 端点上处于关闭状态。

1. 对于 **VPC ID**，请选择要与 Client VPN 端点关联的 VPC。对于 **Security Group IDs**（安全组 ID），请选择要应用于 Client VPN 终端节点的 VPC 的一个或多个安全组。

1. 对于 **VPN port**（VPN 端口），选择 VPN 端口号。默认值为 443。

1. 要为客户端生成 [self-service portal URL](cvpn-self-service-portal.md)（自助服务门户 URL），请开启 **Enable self-service portal**（启用自助服务门户）。

1. 对于 **Session timeout hours**（会话超时时间），请从可用的选项中选择所需的最长 VPN 会话持续时间（以小时为单位），也可保留 24 小时的原定设置。

1. 对于**会话超时时断开连接**，请选择是否要在达到最长会话时间时终止会话。选择此选项要求用户在会话超时时手动重新连接到端点；否则，Client VPN 将自动尝试重新连接。

1. 开启或关闭 **Enable client login banner**（启用客户端登录横幅）。如果要使用客户端登录横幅，请输入 VPN 会话建立时将在 AWS 提供的客户端上显示的横幅文本。仅支持 UTF-8 编码字符。最多可使用 1400 个字符。

1. 选择 **Modify Client VPN endpoint**（修改 Client VPN 终端节点）。

**使用 AWS CLI 修改 Client VPN 端点**  
使用 [modify-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-client-vpn-endpoint.html) 命令。

将 IPv4 端点修改为双堆栈的示例：

```
aws ec2 modify-client-vpn-endpoint \
  --client-vpn-endpoint-id cvpn-endpoint-123456789123abcde \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16"
```