本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Client VPN 目标网络
目标网络是 VPC 中的一个子网。AWS Client VPN 端点必须至少有一个目标网络,客户端才能连接到此网络并建立 VPN 连接。
有关可以配置的访问类型(例如,允许客户端访问 Internet)的更多信息,请参阅 [Client VPN 场景和示例](how-it-works.md#scenario)。
## Client VPN 目标网络要求
在创建目标网络时,应遵循以下规则:
+ 子网必须具有至少一个 /27 位掩码的 CIDR 块,例如 10.0.0.0/27。子网还必须始终具有至少 20 个可用 IP 地址。
+ 子网的 CIDR 块不能与 Client VPN 端点的客户端 CIDR 范围重叠。
+ 如果您将多个子网与 Client VPN 端点关联,则每个子网必须位于不同的可用区中。我们建议您至少关联两个子网,以提供可用区冗余。
+ 如果您在创建 Client VPN 端点时指定了 VPC,则子网必须位于相同 VPC 中。如果您尚未将 VPC 与 Client VPN 端点关联,则可以在任何 VPC 中选择任何子网。
所有其他子网关联都必须来自相同 VPC。要关联不同 VPC 的子网,您必须先修改 Client VPN 端点并更改与其关联的 VPC。有关更多信息,请参阅 [修改 AWS Client VPN 端点](cvpn-working-endpoint-modify.md)。
当您将子网与 Client VPN 端点关联时,我们会自动将在其中预置关联子网的 VPC 的本地路由添加到 Client VPN 端点的路由表中。
**注意**
关联目标网络后,当您向附加的 VPC 添加或删除其他 CIDR 时,您必须执行以下操作之一,以便更新 Client VPN 端点路由表的本地路由:
从目标网络中取消关联您的 Client VPN 端点,然后将 Client VPN 端点关联到目标网络。
手动将路由添加到 Client VPN 端点路由表或从表中删除路由。
将第一个子网与 Client VPN 端点关联后,Client VPN 端点的状态将从 `pending-associate` 更改为 `available`,并且客户端能够建立 VPN 连接。
**Topics**
+ [创建目标网络的要求](#cvpn-create-target-reqs)
+ [将目标网络与端点相关联](cvpn-working-target-associate.md)
+ [将安全组应用于目标网络](cvpn-working-target-apply.md)
+ [查看目标网络](cvpn-working-target-view.md)
+ [取消目标网络与端点的关联](cvpn-working-target-disassociate.md)
# 将目标网络与 AWS Client VPN 终端节点关联
您可以使用 Amazon VPC 控制台或 AWS CLI 将一个或多个目标网络(子网)与客户端 VPN 终端节点关联起来。将目标网络与 Client VPN 端点相关联之前,请先熟悉相关要求。请参阅[创建目标网络的要求](cvpn-working-target.md#cvpn-create-target-reqs)。
**将目标网络与 Client VPN 端点相关联(控制台)**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 终端节点)。
1. 选择要与目标网络关联的 Client VPN 端点,然后依次选择 **Target network associations**(目标网络关联)和 **Associate target network**(关联目标网络)。
1. 对于 **VPC**,选择您要在其中放置子网的 VPC。如果您在创建 Client VPN 端点时指定了 VPC,或者如果您有以前的子网关联,则这必须是相同的 VPC。
1. 对于 **Choose a subnet to associate**(选择要关联的子网),选择要与 Client VPN 终端节点关联的子网。
1. 选择 **Associate target network**(关联目标网络)。
**将目标网络与 Client VPN 端点相关联(AWS CLI)**
使用 [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) 命令。
# 将安全组应用于中的目标网络 AWS Client VPN
创建 Client VPN 端点时,您可以指定要应用于目标网络的安全组。当您将第一个目标网络与 Client VPN 端点关联时,我们会自动应用关联子网所在 VPC 的默认安全组。有关更多信息,请参阅 [安全组](client-authorization.md#security-groups)。
您可以更改 Client VPN 端点的安全组。您需要的安全组规则取决于要配置的 VPN 访问类型。有关更多信息,请参阅 [Client VPN 场景和示例](how-it-works.md#scenario)。
**将安全组应用于目标网络(控制台)**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 终端节点)。
1. 选择要应用安全组的 Client VPN 端点。
1. 选择 **Security Groups**(安全组),然后选择 **Apply Security Groups**(应用安全组)。
1. 从安全组中选择适当的**安全组 IDs**。
1. 选择 **Apply Security Groups**(应用安全组)。
**将安全组应用于目标网络 (AWS CLI)**
使用 [apply-security-groups-to-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html) 命令。
# 查看 AWS Client VPN 目标网络
可以使用控制台或 AWS CLI 查看与 Client VPN 端点关联的目标。
**查看目标网络(控制台)**
1. 通过 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 打开 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 终端节点)。
1. 选择相应的 Client VPN 端点,然后选择 **Target network associations**(目标网络关联)。
**使用 查看目标网络AWS CLI**
使用 [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) 命令。
# 取消目标网络与终端节点的 AWS Client VPN 关联
当您取消关联目标网络时,手动添加到 Client VPN 端点的路由表的所有路由,以及在建立目标网络关联时自动创建的路由(VPC 的本地路由)都将被删除。如果您取消所有目标网络与 Client VPN 端点的关联,则客户端不再能够建立 VPN 连接。
**取消目标网络与 Client VPN 端点的关联(控制台)**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Client VPN Endpoints**(Client VPN 终端节点)。
1. 选择与目标网络关联的 Client VPN 端点,然后选择 **Target network associations**(目标网络关联)。
1. 选择要取消关联的目标网络,选择 **Disassociate**(取消关联),然后选择 **Disassociate target network**(取消目标网络关联)。
**取消目标网络与 Client VPN 端点之间的关联(AWS CLI)**
使用 [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) 命令。