本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Client VPN 端點
所有 AWS Client VPN 工作階段都會與 Client VPN 端點建立通訊。您可以管理 Client VPN 端點,以建立、修改、檢視和刪除具有該端點的用戶端 VPN 工作階段。您可以使用 Amazon VPC 主控台或使用 CLI 來 AWS 建立和修改端點。
建立 Client VPN 端點的需求
重要
Client VPN 端點必須在佈建預期目標網路的相同 AWS 帳戶中建立。您還需要產生伺服器憑證,並視需要產生用戶端憑證。如需詳細資訊,請參閱中的用戶端身分驗證 AWS Client VPN。
開始之前,請務必備妥下列項目:
-
檢閱使用 的規則和最佳實務 AWS Client VPN中的規則和限制。
-
產生伺服器憑證,並視需要取得用戶端憑證。如需詳細資訊,請參閱中的用戶端身分驗證 AWS Client VPN。
IP 地址類型
AWS Client VPN 支援端點連線和流量路由的IPv4-only, IPv6-only 和雙堆疊組態。下列指引可協助您根據您的用戶端裝置功能、網路基礎設施和應用程式需求,選取適當的 IP 地址類型。
端點地址類型
端點地址類型會決定您的 Client VPN 端點支援哪些 IP 通訊協定進行用戶端連線。此設定無法在建立端點後變更。
在以下情況下選擇IPv4-only:
您的用戶端裝置僅支援 IPv4 VPN 連線
您的安全工具已針對 IPv4 流量檢查進行最佳化
在以下情況下選擇IPv6-only:
所有用戶端裝置完全支援 IPv6 連線
您位於 IPv4 地址耗盡的網路中
在下列情況下選擇雙堆疊:
您混合了具有不同 IP 功能的用戶端裝置
您正在逐漸從 IPv4 轉換到 IPv6
流量 IP 地址類型
流量 IP 地址類型控制 Client VPN 如何在用戶端和 VPC 資源之間路由流量,而不受端點支援的通訊協定影響。
在下列情況下,將流量路由為 IPv4:
VPC 中的目標應用程式僅支援 IPv4
您有複雜的 IPv4 安全群組和網路 ACLs
您正在連線至舊版系統
在下列情況下,將流量路由為 IPv6:
您的 VPC 基礎設施主要是 IPv6
您想要面向未來的網路架構
您已為 IPv6 建置現代應用程式
端點修改
注意
使用快速入門設定建立的 Client VPN 端點可以使用與標準設定建立的端點相同的程序進行修改。無論建立期間使用的設定方法為何,所有組態選項都可使用。
建立 Client VPN 之後,您就可以修改下列任一設定:
-
描述
-
伺服器憑證
-
用戶端連線日誌記錄選項
-
用戶端連線處理常式選項
-
DNS 伺服器
-
分割通道選項
-
路由 (使用分割通道選項時)
-
憑證撤銷清單 (CRL)
-
授權規則
-
VPC 和安全群組關聯
-
VPN 連接埠號碼
-
自助式入口網站選項
-
最長 VPN 工作階段持續時間
-
啟用或停用工作階段逾時時自動重新連線
-
啟用或停用用戶端登入橫幅文字
-
用戶端登入橫幅文字
注意
對 Client VPN 端點進行的修改,包括憑證撤銷清單 (CRL) 變更在內,將於 Client VPN 服務接受要求後的 4 小時內生效。
在建立 Client VPN 端點之後,您即無法修改用戶端 IPv4 CIDR 範圍、驗證選項、用戶端憑證或傳輸協定。
當您修改 Client VPN 端點上的下列參數時,連線會重設:
-
伺服器憑證
-
DNS 伺服器
-
分割通道選項 (開啟或關閉支援)
-
路由 (當您使用分割通道選項時)
-
憑證撤銷清單 (CRL)
-
授權規則
-
VPN 連接埠號碼
