我的 AWS Client VPN 使用者想要建立從其終端裝置到 AWS 資源的安全連線。我該如何操作?
解決方法
在設定 VPN 存取特定資源之前,請考慮以下事項:
- 當用戶端 VPN 端點關聯到子網路時,會在關聯的子網路中建立彈性網路介面。這些網路介面會從子網路的 CIDR 接收 IP 地址。
- 建立用戶端 VPN 連線後,會在終端裝置上建立虛擬通道介面卡 (VTAP)。虛擬介面卡會從用戶端 VPN 端點的用戶端 IPv4 CIDR 接收 IP 地址。
- 當您將子網路與用戶端 VPN 端點關聯時,會在該子網路中建立用戶端 VPN 網路介面。從用戶端 VPN 端點傳送至 VPC 的流量是透過用戶端 VPN 網路介面傳送的。然後會套用來源網路地址轉譯 (SNAT),將用戶端 CIDR 範圍中的來源 IP 地址會轉譯為用戶端 VPN 網路介面 IP 地址。
若要讓用戶端 VPN 終端使用者存取特定 AWS 資源,請執行以下動作:
- 設定用戶端 VPN 端點的關聯子網路與目標資源網路之間的路由。如果目標資源位於與端點關聯的相同虛擬私有雲端 (VPC) 中,則無需新增路由。在這種情況下,會使用 VPC 的本機路由來轉送流量。如果目標資源不在與端點關聯的相同 VPC 中,則在用戶端 VPN 端點的關聯子網路路由表中新增相應的路由。
- 設定目標資源的安全性群組,以允許入站和出站流量通過客戶端 VPN 端點的關聯子網路。或者,透過參考目標資源的安全性群組規則中附加到端點的安全性群組,來使用在端點上套用的安全群組。
- 設定目標資源的網路存取控制清單 (network ACL),以允許入站和出站流量通過客戶端 VPN 端點的關聯子網路。
- 允許終端使用者存取用戶端 VPN 端點授權規則中的目標資源。如需詳細資訊,請參閱「授權規則」。
- 確認用戶端 VPN 路由表是否具有目標資源網路範圍的路由。如需詳細資訊,請參閱「 路由」和「 目標網路」。
- 允許對用戶端 VPN 端點關聯安全性群組中的目標資源進行出站存取。
**注意:**如果您有多個子網路與用戶端 VPN 端點相關聯,則必須允許從每個用戶端 VPN 子網路 CIDR 進行存取:
根據使用者存取的資源類型,建立創建連線所需的路由、安全性群組規則和授權規則。根據您的使用案例,請依照以下步驟執行:
相關資訊
AWS Client VPN 的運作方式