AWS VPN

使用 Site-to-Site VPN IP 安全协议 (IPSec) 设置或 Client VPN 传输层安全性 (TLS) 隧道安全私密地访问云资源。

AWS Site-to-Site VPN 功能

AWS Site-to-Site VPN 通过 IP 安全协议 (IPSec) 隧道将数据中心或分支机构扩展到云,并支持连接到虚拟私有网关和 AWS Transit Gateway。您可以选择通过 IPSec 隧道运行边界网关协议 (BGP),获取高可用性解决方案。

安全连接

AWS Site-to-Site VPN 创建到虚拟网关或 AWS Transit Gateway 的 IPSec 隧道。可以使用 AES128 或 AES256 对这些终端节点之间的隧道中的流量进行加密,并使用 Diffie-Hellman 组进行密钥交换,提供完美前向保密。AWS Site-to-Site VPN 将使用 SHA1 或 SHA2 哈希函数进行身份验证。

高可用性

借助 AWS Site-to-Site VPN,您可以使用 AWS Direct Connect 创建故障转移和 CloudHub 解决方案。CloudHub 可实现远程站点间的相互通信,而非仅限于与 VPC 通信。它以简单的中心辐射状模型运行,有无 VPC 均可使用。这种设计适用于具有多个分支机构和现有 Internet 连接的客户,这些客户希望为这些远程办公室之间的主要或备用连接实施便捷的、潜在的低成本中心辐射状模型。

配置和性能

AWS Site-to-Site VPN 可提供自定义隧道选项,包括内部隧道 IP 地址、预共享密钥和边界网关协议自治系统编号 (BGP ASN)。通过这种方式,您可以设置多个安全 VPN 隧道,以增加应用程序的带宽或在出现故障的情况下提高弹性。此外,在 AWS Transit Gateway 上,AWS Site-to-Site VPN 还提供等价多路径路由 (ECMP),帮助增加多路径上的流量带宽。

网络地址转换 (NAT) 遍历

AWS Site-to-Site VPN 支持 NAT 遍历应用程序,因此如果路由器具有面向 Internet 的单个公有 IP 地址,您可以在路由器后面的私有网络上使用私有 IP 地址。

监控

AWS Site-to-Site VPN 可以将指标发送到 CloudWatch,从而提高可见性和监控力度。CloudWatch 还允许您发送自己的自定义指标并以您选择的任何顺序和速率添加数据点。您可以将这些数据点的统计信息作为一组有序的时序数据进行检索。

Accelerated Site-to-Site VPN

将本地位置连接到 AWS 云时,Accelerated Site-to-Site VPN 会将您的 VPN 流量路由到最近的 AWS 边缘站点。加速的 VPN 通过缩短 Internet 上共享数据的距离并利用 AWS 全球光纤网络的可靠性和性能来提高 Site-to-Site VPN 连接的性能。Accelerated Site-to-Site VPN 是将业务关键型站点与您的全球网络连接(无论是位于本地还是 AWS 之上)的理想之选。VPN 加速会因为使用了 AWS Site-to-Site VPN 和 AWS Global Accelerator 而产生额外费用。

AWS Site-to-Site VPN 限制

每个 AWS 区域的每个 AWS 账户最多可拥有五 (5) 个客户网关。*

每个 AWS 区域的每个 AWS 账户最多可拥有五 (5) 个虚拟网关。*

每个 AWS 区域的每个 AWS 账户最多可拥有十 (10) 个 Accelerated Site-to-Site VPN 连接。*

每个 AWS 区域的每个 AWS 账户最多可拥有五十 (50) 个 Site-to-Site VPN 连接。*

每个虚拟网关最多可拥有五十 (50) 个 Site-to-Site VPN 连接。

每个虚拟网关最多可公布一百 (100) 条路由。

* 要了解更多信息,请访问 Amazon VPC 用户指南中的 VPN 限制。如果您所需的数量超出这些限制,请创建支持案例

 

AWS Client VPN 功能

AWS Client VPN 提供了一个完全托管的 VPN 解决方案,可通过 Internet 连接和兼容 OpenVPN 的客户端从任何位置访问。它具有出色的弹性,能够自动扩展,满足您的需求。您的用户可以连接到 AWS 网络和本地网络。AWS Client VPN 与您现有的 AWS 基础设施(包括 Amazon VPC 和 AWS Directory Service)无缝集成,因此您无需更改网络拓扑。

身份验证

AWS Client VPN 将使用 Active Directory 或证书进行身份验证。Client VPN 与 AWS Directory Service 集成,AWS Directory Service 与您现有的本地 Active Directory 相连接,因此您无需将数据从现有的 Active Directory 复制到云中。采用 Client VPN 的基于证书的身份验证与 AWS Certificate Manager 集成在一起,可轻松预置、管理和部署证书。

授权

AWS Client VPN 提供基于网络的授权,因此您可以基于 Active Directory 组定义访问控制规则,以限制对特定网络的访问。借助 Client VPN,使用安全组的 Client VPN 用户可以对特定应用程序进行精细访问。

安全连接

AWS Client VPN 使用安全的 TLS VPN 隧道协议对流量进行加密。单个 VPN 隧道在每 个Client VPN 终端节点处终止,并为用户提供访问所有 AWS 和本地资源的权限。

连接管理

您可以使用 Amazon CloudWatch Logs 从 AWS Client VPN 连接日志监控、存储和访问您的日志文件。然后,您可以从 CloudWatch Logs 中检索关联的日志数据。您可以轻松地监控、取证分析和终止特定连接,同时控制可访问您网络的用户。

与员工设备的兼容性

AWS Client VPN 旨在将设备连接到您的应用程序。它允许您从基于 OpenVPN 的客户端中进行选择,从而使您的员工可以使用自己选择的设备,包括 Windows、Mac、iOS、Android 和 Linux 设备。

Product-Page_Standard-Icons_01_Product-Features_SqInk
详细了解产品定价

定价简单,因此可以轻松了解适合您的产品。

了解更多 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
注册免费账户

立即享受 AWS 免费套餐。 

注册 
Product-Page_Standard-Icons_03_Start-Building_SqInk
开始在控制台中构建

开始在 AWS 控制台中使用 AWS VPN 进行构建。

开始使用