本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Client VPN 運作方式
使用 時 AWS Client VPN,有兩種類型的使用者角色會與 Client VPN 端點互動:管理員和用戶端。
Client VPN 支援 IPv4, IPv6 和雙堆疊 (IPv4 和 IPv6) 連線。您可以建立使用 IPv4, IPv6 或兩者的端點,讓您連線到 VPCs中的 IPv6 IPv6 資源,或從 IPv6 網路的用戶端連線。此彈性可協助已實作或正在轉換至 IPv6 基礎設施的組織。
*管理員*負責安裝和設定服務。這包括建立 Client VPN 端點、關聯目標網路、設定授權規則,以及設定其他路由 (如果需要)。在安裝和設定 Client VPN 端點後,管理員會下載 Client VPN 端點組態檔案,並分配給需要存取的用戶端。Client VPN 端點組態檔案包含 Client VPN 端點的 DNS 名稱,以及建立 VPN 工作階段所需的身分驗證資訊。如需設定此服務的詳細資訊,請參閱[開始使用 AWS Client VPN](cvpn-getting-started.md)。
*用戶端*是終端使用者。這是連線到 Client VPN 端點以建立 VPN 工作階段的人。用戶端從本機電腦或行動裝置,使用以 OpenVPN 為基礎的 VPN 用戶端應用程式建立 VPN 工作階段。他們建立 VPN 工作階段後,就可以安全地存取相關聯子網路所在 VPC 中的資源。如果已設定必要的路由和授權規則 AWS,他們也可以存取 中的其他資源、內部部署網路或其他用戶端。如需連線至 Client VPN 端點以建立 VPN 工作階段的詳細資訊,請參閱*AWS Client VPN 《 使用者指南*》中的[入門](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)。
下圖說明基本的 Client VPN 架構。
## Client VPN 的案例和範例
AWS Client VPN 是一種全受管遠端存取 VPN 解決方案,可讓您用來允許用戶端安全存取 AWS 和內部部署網路內的資源。設定存取的方式有多種選項。本節提供範例來示範為您的用戶端建立和設定 Client VPN 存取。
**案例**
+ [使用 Client VPN 存取 VPC](#scenario-vpc)
+ [使用 Client VPN 存取對等 VPC](#scenario-peered)
+ [使用 Client VPN 存取內部部署網路](#scenario-onprem)
+ [使用 用戶端 VPC 存取網際網路](#scenario-internet)
+ [使用 用戶端 VPC 取得用戶端對用戶端的存取權限](#scenario-client-to-client)
+ [使用 Client VPN 限制存取您的網路](#scenario-restrict)
### 使用 Client VPN 存取 VPC
此案例的 AWS Client VPN 組態包含單一目標 VPC。如果您需要讓用戶端只存取單一 VPC 內的資源,我們建議使用此組態。
開始之前,請執行以下動作:
+ 建立或識別至少具有一個子網路的 VPC。識別與 Client VPN 端點關聯的 VPC 中的子網路,並記下其 IPv4 CIDR 範圍。
+ 識別與 VPC CIDR 不重疊的用戶端 IP 地址適當的 CIDR 範圍。
+ 於 [使用 的規則和最佳實務 AWS Client VPN](what-is-best-practices.md) 檢閱 Client VPN 端點的規則和限制。
**實作此組態**
1. 在與 VPC 相同的區域中建立 Client VPN 端點。若要執行此作業,請執行[建立AWS Client VPN端點](cvpn-working-endpoint-create.md)中所述的步驟。
1. 將子網路與 Client VPN 端點建立關聯。若要執行此作業,請執行[將目標網路與 AWS Client VPN 端點建立關聯](cvpn-working-target-associate.md)中所述的步驟,然後選擇您稍早所識別的子網路和 VPC。
1. 新增授權規則讓用戶端存取 VPC。若要執行此作業,請執行[新增授權規則](cvpn-working-rule-authorize-add.md)中所述的步驟;並對於**目的地網路**,輸入 VPC 的 IPv4 CIDR 範圍。
1. 將規則新增至資源的安全群組,以允許來自步驟 2 中套用至子網路關聯的安全性群組的流量。如需詳細資訊,請參閱[安全群組](client-authorization.md#security-groups)。
### 使用 Client VPN 存取對等 VPC
此案例的 AWS Client VPN 組態包含與其他 VPC (VPC B) 對等的目標 VPC (VPC A)。如果您需要讓用戶端存取目標 VPC 內的資源,以及與其對等的其他 VPCs (例如 VPC B),建議您使用此組態。
**注意**
只有在 Client VPN 端點設定為分割通道模式時,才需要允許存取對等 VPC (概述於網路圖表) 的程序。在完整通道模式下,依預設會允許對等 VPC 存取權。
開始之前,請執行以下動作:
+ 建立或識別至少具有一個子網路的 VPC。識別與 Client VPN 端點關聯的 VPC 中的子網路,並記下其 IPv4 CIDR 範圍。
+ 識別與 VPC CIDR 不重疊的用戶端 IP 地址適當的 CIDR 範圍。
+ 於 [使用 的規則和最佳實務 AWS Client VPN](what-is-best-practices.md) 檢閱 Client VPN 端點的規則和限制。
**實作此組態**
1. 在 VPC 之間建立 VPC 對等連線。遵循《Amazon VPC 對等連線指南》**中的[建立和接受 VPC 對等連線](https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html)的步驟。確認 VPC A 中的執行個體可以使用對等連線與 VPC B 中的執行個體通訊。
1. 在與目標 VPC 相同的區域中建立 Client VPN 端點。在圖表中,這是 VPC A。請執行 [建立AWS Client VPN端點](cvpn-working-endpoint-create.md) 中所述的步驟。
1. 將您稍早識別的子網路與您建立的 Client VPN 端點建立關聯。若要執行此作業,請執行 [將目標網路與 AWS Client VPN 端點建立關聯](cvpn-working-target-associate.md) 中所述的步驟,選取 VPC 和 子網路。依預設,我們會將 VPC 的預設安全群組與 Client VPN 端點建立關聯。您可以使用 [在 中將安全群組套用至目標網路 AWS Client VPN](cvpn-working-target-apply.md) 中所述步驟來關聯不同安全群組。
1. 新增授權規則讓用戶端存取目標 VPC。若要執行此作業,請執行[新增授權規則](cvpn-working-rule-authorize-add.md)中所述的步驟。在**要啟用的目的地網路**中,輸入 VPC 的 IPv4 CIDR 範圍。
1. 新增路由將流量引導至對等 VPC。在圖表中,這是 VPC B。如要執行此操作,請執行 [建立 AWS Client VPN 端點路由](cvpn-working-routes-create.md) 中所述的步驟。在 **路由目的地** 中,輸入對等 VPC 的 IPv4 CIDR 範圍。在 **目標 VPC 子網路 ID**,選取與 Client VPN 端點關聯的子網路。
1. 新增授權規則讓用戶端存取對等 VPC。若要執行此作業,請執行[新增授權規則](cvpn-working-rule-authorize-add.md)中所述的步驟。在 **目的地網路** 中,輸入對等 VPC 的 IPv4 CIDR 範圍。
1. 在 VPC A 和 VPC B 中為您的執行個體新增規則至安全群組,以允許來自步驟 3 中套用 Client VPN 端點的安全群組流量。如需詳細資訊,請參閱[安全群組](client-authorization.md#security-groups)。
### 使用 Client VPN 存取內部部署網路
此案例的 AWS Client VPN 組態僅包含對內部部署網路的存取。如果您需要讓用戶端只存取現場部署網路內的資源,我們建議使用此組態。
開始之前,請執行以下動作:
+ 建立或識別至少具有一個子網路的 VPC。識別與 Client VPN 端點關聯的 VPC 中的子網路,並記下其 IPv4 CIDR 範圍。
+ 識別與 VPC CIDR 不重疊的用戶端 IP 地址適當的 CIDR 範圍。
+ 於 [使用 的規則和最佳實務 AWS Client VPN](what-is-best-practices.md) 檢閱 Client VPN 端點的規則和限制。
**實作此組態**
1. 啟用 VPC 與您自己的內部部署網路之間透過 an AWS Site-to-Site VPN 連線的通訊。若要執行此動作,請執行 *AWS Site-to-Site VPN 使用者指南*中[入門](https://docs.aws.amazon.com/vpn/latest/s2svpn/SetUpVPNConnections.html)所述的步驟。
**注意**
或者,您可以使用 VPC 與內部部署網路之間的 Direct Connect 連線來實作此案例。如需詳細資訊,請參閱[「Direct Connect 使用者指南」](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)。
1. 測試您在上一個步驟中建立的 AWS Site-to-Site連接。若要執行此作業,請執行 *AWS Site-to-Site VPN 使用者指南*中[測試 Site-to-Site VPN 連接](https://docs.aws.amazon.com/vpn/latest/s2svpn/HowToTestEndToEnd_Linux.html)所述的步驟。如果 VPN 連接的運作符合預期,請繼續下一個步驟。
1. 在與 VPC 相同的區域中建立 Client VPN 端點。若要執行此作業,請執行[建立AWS Client VPN端點](cvpn-working-endpoint-create.md)中所述的步驟。
1. 將您稍早所識別的子網路與 Client VPN 端點建立關聯。若要執行此作業,請執行[將目標網路與 AWS Client VPN 端點建立關聯](cvpn-working-target-associate.md)中所述的步驟,然後選取 VPC 和子網路。
1. 新增允許存取 AWS Site-to-Site連接的路由。若要執行此操作,請執行中所述的步驟[建立 AWS Client VPN 端點路由](cvpn-working-routes-create.md);對於**路由目的地**,輸入 AWS Site-to-Site VPN 連線的 IPv4 CIDR 範圍,對於**目標 VPC 子網路 ID**,請選取您與 Client VPN 端點相關聯的子網路。
1. 新增授權規則,讓用戶端存取 AWS Site-to-Site連接。若要這樣做,請執行中所述的步驟[將授權規則新增至 AWS Client VPN 端點](cvpn-working-rule-authorize-add.md);對於**目的地網路**,輸入 AWS Site-to-Site連接 IPv4 CIDR 範圍。
### 使用 用戶端 VPC 存取網際網路
此案例的 AWS Client VPN 組態包含單一目標 VPC 和網際網路的存取。如果您需要讓用戶端存取單一目標 VPC 內的資源,並允許存取網際網路,建議您使用此組態。
如果您已完成 [開始使用 AWS Client VPN](cvpn-getting-started.md)教學課程,則您已實作此案例。
開始之前,請執行以下動作:
+ 建立或識別至少具有一個子網路的 VPC。識別與 Client VPN 端點關聯的 VPC 中的子網路,並記下其 IPv4 CIDR 範圍。
+ 識別與 VPC CIDR 不重疊的用戶端 IP 地址適當的 CIDR 範圍。
+ 於 [使用 的規則和最佳實務 AWS Client VPN](what-is-best-practices.md) 檢閱 Client VPN 端點的規則和限制。
**實作此組態**
1. 確定您將用於 Client VPN 端點的安全群組允許進出網際網路的傳出流量。若要這樣做,請新增允許 HTTP 和 HTTPS 流量進出 0.0.0.0/0 的傳出流量規則。
1. 建立網際網路閘道,並將它連接至您的 VPC。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[建立和連接網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html#Add_IGW_Attach_Gateway)。
1. 將網際網路閘道的路由新增到其路由表,以公開您的子網路。在 VPC 主控台,選擇 **Subnets** (子網路),選取要與 Client VPN 端點相關聯的子網路,選擇 **Route Table** (路由表),然後選擇路由表 ID。選擇 **Actions (動作)**,選擇 **Edit routes** (編輯路由),然後選擇 **Add route** (新增路由)。對於 **Destination** (目的地),輸入 `0.0.0.0/0`,對於 **Target** (目標),選擇上一個步驟中的網際網路閘道。
1. 在與 VPC 相同的區域中建立 Client VPN 端點。若要執行此作業,請執行[建立AWS Client VPN端點](cvpn-working-endpoint-create.md)中所述的步驟。
1. 將您稍早所識別的子網路與 Client VPN 端點建立關聯。若要執行此作業,請執行[將目標網路與 AWS Client VPN 端點建立關聯](cvpn-working-target-associate.md)中所述的步驟,然後選取 VPC 和子網路。
1. 新增授權規則讓用戶端存取 VPC。若要執行此作業,請執行[新增授權規則](cvpn-working-rule-authorize-add.md)中所述的步驟;並對於**要啟用的目的地網路**,輸入 VPC 的 IPv4 CIDR 範圍。
1. 新增路由以允許流向網際網路的流量。若要執行此作業,請執行[建立 AWS Client VPN 端點路由](cvpn-working-routes-create.md)中所述的步驟;並對於**路由目的地**,輸入 `0.0.0.0/0`,對於**目標 VPC 子網路 ID**,選擇與 Client VPN 相關聯的子網路。
1. 新增授權規則讓用戶端存取網際網路。若要執行此作業,請執行[新增授權規則](cvpn-working-rule-authorize-add.md)中所述的步驟;對於**目的地網路**,輸入 `0.0.0.0/0`。
1. 確定 VPC 中資源的安全群組具有允許從與 Client VPN 端點關聯的安全群組存取的規則。這可讓您的用戶端存取 VPC 中的資源。
### 使用 用戶端 VPC 取得用戶端對用戶端的存取權限
此案例的 AWS Client VPN 組態可讓用戶端存取單一 VPC,並讓用戶端將流量路由至彼此。如果連線到相同 Client VPN 端點的用戶端也需要彼此通訊,建議您使用此設定。當用戶端連線到 Client VPN 端點時,您可以使用從用戶端 CIDR 範圍指派給用戶端的唯一 IP 地址彼此通訊。
開始之前,請執行以下動作:
+ 建立或識別至少具有一個子網路的 VPC。識別與 Client VPN 端點關聯的 VPC 中的子網路,並記下其 IPv4 CIDR 範圍。
+ 識別與 VPC CIDR 不重疊的用戶端 IP 地址適當的 CIDR 範圍。
+ 於 [使用 的規則和最佳實務 AWS Client VPN](what-is-best-practices.md) 檢閱 Client VPN 端點的規則和限制。
**注意**
在此案例中不支援使用 Active Directory 群組或 SAML 型 IdP 群組的網路授權規則。
**實作此組態**
1. 在與 VPC 相同的區域中建立 Client VPN 端點。若要執行此作業,請執行[建立AWS Client VPN端點](cvpn-working-endpoint-create.md)中所述的步驟。
1. 將您稍早所識別的子網路與 Client VPN 端點建立關聯。若要執行此作業,請執行[將目標網路與 AWS Client VPN 端點建立關聯](cvpn-working-target-associate.md)中所述的步驟,然後選取 VPC 和子網路。
1. 在路由表中新增路由至區域網路。若要執行此作業,請執行[建立 AWS Client VPN 端點路由](cvpn-working-routes-create.md)中所述的步驟。在**路由傳送目的地**中,輸入用戶端 CIDR 範圍,並在**目標 VPC 子網路 ID** 中指定 `local`。
1. 新增授權規則讓用戶端存取 VPC。若要執行此作業,請執行[新增授權規則](cvpn-working-rule-authorize-add.md)中所述的步驟。在**要啟用的目的地網路**中,輸入 VPC 的 IPv4 CIDR 範圍。
1. 新增授權規則,以讓用戶端存取用戶端 CIDR 範圍。若要執行此作業,請執行[新增授權規則](cvpn-working-rule-authorize-add.md)中所述的步驟。在**要啟用的目的地網路**中,輸入用戶端的 CIDR 範圍。
### 使用 Client VPN 限制存取您的網路
您可以設定 AWS Client VPN 端點以限制對 VPC 中特定資源的存取。針對使用者類型身分驗證,您也可以根據存取 Client VPN 端點的使用者群組,將存取限制在一部分的網路。
#### 使用安全群組限制存取
您可以透過新增或移除參考套用至目標網路關聯之安全群組 (Client VPN 安全群組) 的安全群組規則,來授與或拒絕 VPC 中特定資源的存取權。此組態闡明[使用 Client VPN 存取 VPC](#scenario-vpc) 中所述的案例。除了該案例中設定的授權規則,還會套用此組態。
若要授與特定資源的存取權,請識別與執行資源的執行個體相關聯的安全群組。然後,建立允許來自 Client VPN 安全群組的流量的規則。
在下圖中,安全群組 A 是Client VPN 安全群組,安全群組 B 與 EC2 執行個體相關聯,而安全群組 C 則與 EC2 執行個體相關聯。若您將規則新增至安全群組 B,允許來自安全群組 A 的存取權限,則用戶端可以存取與安全群組 B 關聯的執行個體。若安全群組 C 沒有規則允許來自安全群組 A 的存取權限,則用戶端無法存取與安全群組 C 關聯的執行個體。
開始之前,請先檢查 Client VPN 安全群組是否與 VPC 中的其他資源相關聯。如果您新增或移除參考 Client VPN 安全群組的規則,您可能也會授與或拒絕其他關聯資源的存取權。若要避免這種情況,請使用特別建立以搭配 Client VPN 端點使用的安全群組。
**建立安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Security Groups** (安全群組)。
1. 選擇與執行資源之執行個體相關聯的安全群組。
1. 選擇 **Actions** (動作)、**Edit inbound rules** (編輯傳入規則)。
1. 選擇 **Add rule** (新增規則),然後執行下列動作:
+ 在 **Type** (類型) 中,選擇 **All traffic** (所有流量) 或您要允許的特定流量類型。
+ 在 **Source** (來源) 中,選擇 **Custom** (自訂),然後輸入或選擇 Client VPN 安全群組的 ID。
1. 選擇 **Save rules** (儲存規則)
若要移除特定資源的存取權,請檢查與執行資源之執行個體相關聯的安全群組。如果規則允許來自 Client VPN 安全群組的流量,請將其刪除。
**檢查安全群組規則**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇 **Security Groups** (安全群組)。
1. 選擇 **Inbound Rules** (傳入規則)。
1. 檢閱規則清單。如果有規則的 **Source** (來源)是 Client VPN 安全群組,請選擇 **Edit Rules** (編輯規則),然後選擇規則的 **Delete** (刪除) (x 圖示)。選擇 **Save rules** (儲存規則)。
#### 根據使用者群組限制存取
如果您的 Client VPN 端點設定為使用者型的身分驗證,您可以授與特定使用者群組對網路特定部分的存取權。若要執行此動作,請執行下列步驟。
1. 設定 Directory Service 或 IdP 中的使用者和群組。如需詳細資訊,請參閱下列主題:
+ [Client VPN 中的 Active Directory 身分驗證](ad.md)
+ [SAML 型聯合身分驗證的需求和考量](federated-authentication.md#saml-requirements)
1. 為您的 Client VPN 端點建立授權規則,以允許指定的群組存取全部或部分網路。如需更多詳細資訊,請參閱 [AWS Client VPN 授權規則](cvpn-working-rules.md)。
如果您的 Client VPN 端點設定為進行交互身分驗證,則無法設定使用者群組。當您建立授權規則時,您必須將存取權授與所有使用者。若要讓特定使用者群組存取您的網路的特定部分,您可以建立多個 Client VPN 端點。例如,對於存取您網路的每個使用者群組,請執行下列動作:
1. 為該使用者群組建立一組伺服器和用戶端憑證和金鑰。如需更多詳細資訊,請參閱 [中的相互身分驗證 AWS Client VPN](mutual.md)。
1. 建立 Client VPN 端點。如需更多詳細資訊,請參閱 [建立AWS Client VPN端點](cvpn-working-endpoint-create.md)。
1. 建立授權規則,授與全部或部分網路的存取權。例如,對於系統管理員所使用的 Client VPN 端點,您可以建立授權規則來授與整個網路的存取權。如需詳細資訊,請參閱[新增授權規則](cvpn-working-rule-authorize-add.md)。