本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 建立AWS Client VPN端點
<a name="cvpn-working-endpoint-create"></a>

建立AWS Client VPN端點，讓您的用戶端能夠使用 Amazon VPC 主控台或 建立 VPN 工作階段AWS CLI。Client VPN 在初始建立期間支援端點類型 （分割通道和完整通道） 與流量類型 (IPv4、IPv6 和雙堆疊） 的所有組合。

建立端點之前，請先熟悉需求。如需詳細資訊，請參閱[建立 Client VPN 端點的需求](cvpn-working-endpoints.md#cvpn-working-create-req)。

**使用主控台建立 Client VPN 端點**

1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。

1. 在導覽窗格中，選擇 **Client VPN Endpoints (Client VPN 端點)**，然後選擇 **Create Client VPN Endpoint (建立 Client VPN 端點)**。

1. 在「選擇設定方法」下，選取下列其中一項：
   + Quickstart - 使用 AWS 建議的預設值建立端點
   + 標準 - 手動設定端點的所有設定

**快速入門設定：**

1. 對於「選擇設定方法」，選取快速入門。

1.  對於「用戶端 IPv4 CIDR」，輸入要從中指派用戶端 IP 地址的 IP 地址範圍。AWS 建議使用 /22 CIDR 區塊 （例如 10.0.0.0/22)。

1.  對於「VPC」，選取要與 Client VPN 端點建立關聯的 VPC。

1.  針對「子網路」，選取 VPC 中的一或多個子網路。這些子網路將用於目標網路關聯。

1.  對於 Server certificate ARN (伺服器憑證 ARN)，指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。

1.  選擇「建立 Client VPN 端點」。

AWS 會自動建立下列資源：
+ 允許所有使用者存取 VPC CIDR 的授權規則
+ 與所選 VPC 子網路的目標網路關聯
+ VPC CIDR 的路由表項目

 建立端點之後，您可以從端點詳細資訊頁面下載用戶端組態檔案，並將其與用戶端憑證和金鑰一起分發給您的使用者。

**標準設定：**

1. 對於「選擇設定方法」，選取標準。

1. (選用) 提供 Client VPN 端點的名稱標籤和說明。

1. 針對**端點 IP 地址類型**，選擇端點的 IP 地址類型：
   + **IPv4**：端點使用外部 VPN 通道流量的 IPv4 地址。
   + **IPv6**：端點使用外部 VPN 通道流量的 IPv6 地址。
   + **雙堆疊**：端點會將 IPv4 和 IPv6 地址用於外部 VPN 通道流量。

1. 針對**流量 IP 地址類型**，選擇流經端點的流量 IP 地址類型：
   + **IPv4**：端點僅支援 IPv4 流量。
   + **IPv6**：端點僅支援 IPv6 流量。
   + **雙堆疊**：端點支援 IPv4 和 IPv6 流量。

1. 對於 **Client IPv4 CIDR (用戶端 IPv4 CIDR)**，以 CIDR 標記法指定 IP 地址範圍，以從中指派用戶端 IP 地址。例如，`10.0.0.0/22`。如果您為流量 IP 地址類型選取 IPv4 或雙堆疊，則此為必要項目。
**注意**  
IP 地址範圍不可以與目標網路或任何將與 Client VPN 端點建立關聯的路由重疊。用户端地址範圍必須至少為 /22 且不大於 /12 CIDR 區塊大小。建立 Client VPN 端點後，您無法變更用戶端地址範圍。
當您選取 IPv6 做為端點 IP 地址類型時，用戶端 IPv4 CIDR 欄位會停用。Client VPN 端點會從關聯的子網路配置用戶端 IPv6 地址，而且您可以在建立端點之後關聯子網路。
**注意**  
對於 IPv6 流量，您不需要指定用戶端 CIDR 範圍。Amazon 會自動為用戶端指派 IPv6 CIDR 範圍。

1. 對於 **Server certificate ARN** (伺服器憑證 ARN)，指定要由伺服器使用的 TLS 憑證的 ARN。用戶端使用伺服器憑證來對其連線的 Client VPN 端點進行身分驗證。
**注意**  
在您建立 Client VPN 端點的區域中，伺服器憑證必須位於AWS Certificate Manager(ACM) 中。憑證可以使用 ACM 佈建，也可以匯入至 ACM。  
如需佈建憑證或將憑證匯入 ACM 的步驟，請參閱*AWS Certificate Manager《 使用者指南*》中的[AWS Certificate Manager憑證](https://docs.aws.amazon.com/acm/latest/userguide/gs.html)。

1. 指定當用戶端建立 VPN 連接時，用來驗證用戶端的身分驗證方法。您必須選取身分驗證方法。
   + 若要使用使用者型身分驗證，請選取 **Use user-based authentication** (使用使用者型身分驗證)，然後選擇下列其中一項：
     + **Active Directory authentication** (Active Directory 身分驗證)：為 Active Directory 身分驗證選擇此選項。針對 **Directory ID** (目錄 ID)，指定要使用的 Active Directory ID。
     + **Federated authentication** (聯合身分驗證)：為 SAML 型聯合身分驗證選擇此選項。

       若為 **SAML provider ARN** (SAML 提供者 ARN)，請指定 IAM SAML 身分提供者的 ARN。

       (選用) 在 **Self-service SAML provider ARN** (自助式 SAML 提供者 ARN)中指定您為[支援自助式入口網站](federated-authentication.md#saml-self-service-support)所建立之 IAM SAML 身分提供者的 ARN (如果適用)。
   + 若要使用交互憑證驗證，請選取**使用交互驗證**，然後在**用戶端憑證 ARN** 中指定佈建於AWS Certificate Manager(ACM) 的用戶端憑證 ARN。
**注意**  
如果伺服器和用戶端憑證是由同一家憑證授權機構 (CA) 所發行，則您可同時為伺服器和用戶端使用伺服器憑證 ARN。如果用戶端憑證是由不同的 CA 發出，則應該指定用戶端憑證 ARN。

1. (選用) 對於 **Connection logging** (連線日誌記錄)，指定是否使用 Amazon CloudWatch Logs 記錄有關用戶端連線的資料。開啟 **Enable log details on client connections** (啟用用户端連線的日誌詳細資訊)。針對 **CloudWatch Logs log group name** (CloudWatch Logs 日誌群組名稱)，請輸入要使用的日誌群組名稱。針對 **CloudWatch Logs log stream name** (CloudWatch Logs 日誌串流名稱)，請輸入要使用的日誌串流名稱，或將此選項留白，讓我們為您建立日誌串流。

1. (選用) 對於 **Client Connect Handler** (用戶端連線處理常式)，開啟 **Enable client connect handler** (啟用用戶端連線處理常式) 以執行自訂程式碼，允許或拒絕新的 Client VPN 端點連線。在 **Client Connect Handler ARN** (用戶端連線處理常式 ARN) 中指定 Lambda 函數的 Amazon 資源名稱 (ARN)，此函數包含允許或拒絕連線的邏輯。

1. (選用) 指定哪些 DNS 伺服器要用於 DNS 解析。若要使用自訂 DNS 伺服器，請針對 **DNS 伺服器 1 IP 地址**和 **DNS 伺服器 2 IP 地址**，指定要使用的 DNS 伺服器的 IPv4 地址。對於 IPv6 或雙堆疊端點，您也可以指定 **DNS Server IPv6 1** 和 **DNS Server IPv6 2** 地址。若要使用 VPC DNS 伺服器，對於 **DNS Server 1 IP address** (DNS 伺服器 1 IP 地址)或 **DNS Server 2 IP address** (DNS 伺服器 2 IP 地址)，請指定 IP 地址，並新增 VPC DNS 伺服器 IP 地址。
**注意**  
請確定用戶端可以觸達 DNS 伺服器。

1. (選用) 根據預設，Client VPN 端點會使用 `UDP` 傳輸協定。若要改用 `TCP` 傳輸通訊協定，對於 **Transport Protocol** (傳輸通訊協定)，請選擇 **TCP**。
**注意**  
UDP 的效能通常比 TCP 更好。建立 Client VPN 端點之後，即無法變更傳輸協定。

1. (選用) 若要讓端點成為分割通道 Client VPN 端點，請開啟 **Enable split-tunnel** (啟用分割通道)。根據預設，Client VPN 端點上的分割通道會停用。

1. (選用) 請為 **VPC ID** 選擇要與 Client VPN 端點建立關聯的 VPC。**Security Group IDs** (安全群組識別碼) 請選擇一或多個要套用至 Client VPN 端點的 VPC 安全群組。

1. (選用) 對於 **VPN port** (VPN 連接埠)，請選擇 VPN 連接埠號碼。預設為 443。

1. (選用) 若要產生用戶端的[自助式入口網站 URL](cvpn-self-service-portal.md)，請選擇 **Enable self-service portal** (啟用自助式入口網站)。

1. (選用) 對於 **Session timeout hours** (工作階段逾時時數)，從可用選項中選擇所需的 VPN 工作階段持續時間上限 (以小時為單位)，或保留設定為預設的 24 小時。

1. （選用） 對於**工作階段逾時時中斷**連線，選擇是否要在達到工作階段時間上限時終止工作階段。選擇此選項需要使用者在工作階段逾時時手動重新連線至端點，否則 Client VPN 會自動嘗試重新連線。

1. (選用) 指定是否啟用用戶端登入橫幅文字。開啟 **Enable client login banner** (啟用用户端登入橫幅)。對於 **Client Login Banner Text** (用戶端登入橫幅文字)，輸入當系統建立了 VPN 工作階段時，會在 AWS 提供的用戶端的橫幅中顯示的文字。僅限 UTF-8 編碼字元。最多 1400 個字元。

1. 選擇 **Create Client VPN Endpoint** (建立 Client VPN 端點)。

建立 Client VPN 端點之後，請執行下列動作以完成組態並讓用戶端連線：
+ Client VPN 端點的初始狀態為 `pending-associate`。只有在您建立第一個[目標網路](cvpn-working-target-associate.md)的關聯後，用戶端才能連線到 Client VPN 端點。
+ 建立[授權規則](cvpn-working-rules.md)，以指定哪些用戶端具有網路的存取權。
+ 下載並準備 Client VPN 端點[組態檔案](cvpn-working-endpoint-export.md)，以發佈給用戶端。
+ 指示您的用戶端使用AWS提供的用戶端或其他 OpenVPN 型用戶端應用程式來連線至 Client VPN 端點。如需詳細資訊，請參閱[「AWS Client VPN使用者指南」](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/)。

**使用 建立 Client VPN 端點AWS CLI**  
使用 [create-client-vpn-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-client-vpn-endpoint.html) 命令。

建立 IPv4 端點的範例：

```
aws ec2 create-client-vpn-endpoint \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

建立 IPv6 端點的範例：

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "ipv6" \
  --traffic-ip-address-type "ipv6" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```

建立雙堆疊端點的範例：

```
aws ec2 create-client-vpn-endpoint \
  --endpoint-ip-address-type "dual-stack" \
  --traffic-ip-address-type "dual-stack" \
  --client-cidr-block "172.31.0.0/16" \
  --server-certificate-arn arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-11111EXAMPLE \
  --authentication-options Type=certificate-authentication,MutualAuthentication={ClientRootCertificateChainArn=arn:aws:acm:ap-south-1:123456789012:certificate/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE} \
  --connection-log-options Enabled=false
```