本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Client VPN 目標網路
目標網路是 VPC 中的子網路。 AWS Client VPN 端點必須至少有一個目標網路,才能讓用戶端與其連線並建立 VPN 連線。
如需您可以設定之存取類型的詳細資訊 (例如,讓您的用戶端存取網際網路),請參閱 [Client VPN 的案例和範例](how-it-works.md#scenario)。
## Client VPN 目標網路需求
建立目標網路時,適用下列規則:
+ 子網路必須具有至少 /27 位元遮罩的 CIDR 區塊,例如 10.0.0.0/27。子網路也必須隨時至少有 20 個可用的 IP 地址。
+ 子網路的 CIDR 區塊不得與 Client VPN 端點的用戶端 CIDR 範圍重疊。
+ 如果將多個子網路與 Client VPN 端點建立關聯,則每個子網路必須位於不同的可用區域。我們建議您與至少兩個子網路建立關聯,來提供可用區域備援。
+ 如果您在建立 Client VPN 端點時指定了 VPC,則子網路必須位於相同的 VPC 中。如果您尚未建立 VPC 與 Client VPN 端點的關聯,您可選擇任一 VPC 中的任一子網路。
所有其他子網路關聯都必須來自相同的 VPC。若要從不同 VPC 建立子網路關聯,您必須先修改 Client VPN 端點並變更與其相關聯的 VPC。如需詳細資訊,請參閱[修改 AWS Client VPN 端點](cvpn-working-endpoint-modify.md)。
當您將子網路與 Client VPN 端點建立關聯時,我們會自動將其中佈建相關聯子網路的 VPC 本機路由新增到 Client VPN 端點的路由表。
**注意**
關聯目標網路之後,當您向連接的 VPC 新增或移除其他 CIDR 時,您必須執行以下其中一個操作,以更新用戶端 VPN 端點路由表的本機路由:
從目標網路取消關聯 Client VPN 端點,然後將 Client VPN 端點關聯至目標網路。
手動將路由新增至用戶端 VPN 端點路由表或從用戶端 VPN 端點路由表移除路由。
當您將第一個子網路與 Client VPN 端點建立關聯後,Client VPN 端點的狀態會從 `pending-associate` 變成 `available`,而且用戶端能夠建立 VPN 連接。
**Topics**
+ [建立目標網路的需求](#cvpn-create-target-reqs)
+ [將目標網路與端點建立關聯](cvpn-working-target-associate.md)
+ [將安全群組套用到目標網路](cvpn-working-target-apply.md)
+ [檢視目標網路](cvpn-working-target-view.md)
+ [取消目標網路與端點的關聯](cvpn-working-target-disassociate.md)
# 將目標網路與 AWS Client VPN 端點建立關聯
您可以使用 Amazon VPC 主控台或 CLI,將一或多個目標網路 (子網路) 與 Client VPN AWS 端點建立關聯。將目標網路與 Client VPN 端點建立關聯之前,請先熟悉需求。請參閱 [建立目標網路的需求](cvpn-working-target.md#cvpn-create-target-reqs)。
**建立目標網路與 Client VPN 端點的關聯 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要與目標網路關聯的 Client VPN 端點,選擇 **Target network associations** (目標網路關聯),然後選擇 **Associate target network** (關聯目標網路)。
1. 對於 **VPC**,選擇子網路所在的 VPC。如果您在建立 Client VPN 端點時指定了 VPC,或者您有先前的子網路關聯,則其必須是相同的 VPC。
1. 對於 **Choose a subnet to associate** (選擇要關聯的子網路),選擇要和 Client VPN 端點關聯的子網路。
1. 選擇 **Associate target network** (關聯目標網路)。
**建立目標網路與 Client VPN 端點 (AWS CLI) 的關聯**
使用 [associate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-client-vpn-target-network.html) 命令。
# 在 中將安全群組套用至目標網路 AWS Client VPN
建立 Client VPN 端點時,您可以指定要套用至目標網路的安全群組。當您將第一個目標網路與 Client VPN 端點建立關聯時,我們會自動套用相關聯子網路所在 VPC 的預設安全群組。如需詳細資訊,請參閱[安全群組](client-authorization.md#security-groups)。
您可以變更 Client VPN 端點的安全群組。您需要的安全群組規則,取決於您要設定的 VPN 存取種類。如需詳細資訊,請參閱[Client VPN 的案例和範例](how-it-works.md#scenario)。
**將安全群組套用到目標網路 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取要套用安全群組的 Client VPN 端點。
1. 選擇 **Security Groups** (安全群組),然後選擇 **Apply Security Group** (套用安全群組)。
1. 從 **Security group IDs** (安全群組 ID) 選擇適當的安全群組。
1. 選擇 **Apply Security Groups** (套用安全群組)。
**將安全群組套用到目標網路 (AWS CLI)**
使用 [apply-security-groups-to-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/apply-security-groups-to-client-vpn-target-network.html) 命令。
# 檢視 AWS Client VPN 目標網路
您可以使用主控台或 AWS CLI來檢視與 Client VPN 端點相關聯的目標。
**檢視目標網路 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取 Client VPN 端點,然後選擇 **Target network associations** (目標網路關聯)。
**使用 檢視目標網路 AWS CLI**
使用 [describe-client-vpn-target-networks](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-client-vpn-target-networks.html) 命令。
# 取消目標網路與 AWS Client VPN 端點的關聯
在您取消目標網路的關聯時,系統會刪除手動新增至 Client VPN 端點路由表的任何路由,以及建立目標網路關聯時自動建立的路由 (VPC 的本機路由)。如果您取消所有目標網路與 Client VPN 端點的關聯,用戶端就無法再建立 VPN 連接。
**取消目標網路與 Client VPN 端點的關聯 (主控台)**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Client VPN Endpoints** (Client VPN 端點)。
1. 選取目標網路要關聯的 Client VPN 端點,然後選擇 **Target network associations** (目標網路關聯)。
1. 選取要取消關聯的目標網路,選擇 **Disassociate** (取消關聯),然後選擇 **Disassociate target network** (取消關聯目標網路)。
**取消目標網路與 Client VPN 端點 (AWS CLI) 的關聯**
使用 [disassociate-client-vpn-target-network](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-client-vpn-target-network.html) 命令。