AWS VPN 包括兩項服務: AWS Site-to-Site VPN 和 AWS Client VPN。AWS Site-to-Site VPN 可讓您安全地將內部部署網路或分公司站點,連接至您的 Amazon Virtual Private Cloud (Amazon VPC)。AWS Client VPN 讓您安全連接使用者至 AWS 或現場部署網路。
一般問題
問:什麼是 Client VPN 端點?
答:Client VPN 端點是您可設定使用服務的區域性建構。可在 Client VPN 端點終止最終使用者的 VPN 工作階段。作為設定 Client VPN 端點的一部份,您可指定驗證詳細資訊、伺服器憑證資訊、用戶端 IP 地址分配、記錄日誌和 VPN 選項。
問:什麼是目標網路
答:目標網路是您關聯至 Client VPN 端點的網路,讓您安全存取您的 AWS 資源和現場部署。目前目標網路是您 Amazon VPC 的子網路
計費
問:應計費的 VPN 連接時數是如何定義的?
答:VPN 連線時數的計費是按照 VPN 連接為可用狀態的任何時間。您可以透過 AWS 管理主控台、CLI 或 API,判斷 VPN 連接的狀態。如果您不想再使用 VPN 連接,只要終止 VPN 連接以避免再被額外 VPN 連線時數計費即可。
問:價格含稅嗎?
答:除非另有說明,否則我們的價格不包括適用的稅金和稅收 (包括加值稅和適用的營業稅)。帳單地址在日本的客戶若使用 AWS 服務,則需負擔日本消費稅。進一步了解。
AWS Site-to-Site VPN 設定和管理
問:是否可使用 AWS 管理主控台,控制和管理 AWS Site-to-Site VPN?
答:可以。可使用 AWS 管理主控台管理 IPSec VPN 連接,例如:AWS Site-to-Site VPN。
問:Site-to-Site VPN 的預設限制或配額是多少?
答:如需 AWS Site-to-Site VPN 限制和配額的詳細資訊,請瀏覽我們的文件。
AWS Site-to-Site VPN 連線
問:VPC 有哪些 VPN 連線選項?
答:可透過虛擬私有閘道,利用硬體 VPN 連接,將您的 VPC 連接至您的公司資料中心。
問:沒有公有 IP 地址的執行個體如何存取網際網路?
答: 沒有公有 IP 地址的執行個體可以透過以下兩種方法之一,存取網際網路:
沒有公有 IP 地址的執行個體可以透過網路地址轉譯 (NAT) 閘道或 NAT 執行個體路由流量,存取網際網路。這些執行個體使用 NAT 閘道或 NAT 執行個體的公有 IP 地址周遊網際網路。NAT 閘道或 NAT 執行個體允許傳出通訊,但不允許網際網路上的機器,啟動對擁有私有地址的執行個體之連接。
對於具有硬體 VPN 連接或 Direct Connect 連接的 VPC,執行個體可以透過虛擬私有閘道,將其網際網路流量路由到現有的資料中心。其可從該處透過現有的輸出點和網路安全/監控裝置存取網際網路。
問:AWS Site-to-Site VPN 連接如何與 Amazon VPC 搭配使用?
答: AWS Site-to-Site VPN 連接會將您的 VPC 與資料中心連接。Amazon 支援網際網路協定安全 (IPsec) VPN 連接。VPC 與資料中心之間的資料傳輸會透過加密的 VPN 連接進行路由,協助保護資料傳輸時的機密性和完整性。建立 Site-to-Site VPN 連線不需要網際網路閘道。
問:什麼是 IPSec?
答:IPsec 是一個通訊協定組合,其透過驗證和加密資料串流的每個 IP 封包來保護網際網路通訊協定 (IP) 通訊安全。
問:可以使用哪種客戶閘道裝置連接到 Amazon VPC?
答:您可以建立兩種 AWS Site-to-Site VPN 連接:靜態路由 VPN 連接與動態路由 VPN 連接。支援靜態路由 VPN 連接的客戶閘道裝置必須能夠:
使用預先共用金鑰建立 IKE 安全關聯
以通道模式建立 IPsec 安全關聯
利用 AES 128 位元、256 位元、128 位元-GCM-16 或 256 位元-GCM-16 加密功能
利用 SHA-1、SHA-2 (256)、SHA2 (384) 或 SHA2 (512) 雜湊函數
在 "Group 2" 模式中使用 Diffie-Hellman (DH) 完全向前保密,或是我們支援的其他 DH 群組
在加密前執行封包分段
除上述功能之外,支援動態路由 Site-to-Site VPN 連接的裝置還必須能夠:
建立邊界閘道協定 (BGP) 對等
將通道綁定到邏輯界面 (以路由為基礎的 VPN)
利用 IPsec 失效對等檢測
問:支援哪種 Diffie-Hellman 群組?
答:我們支援在階段 1 和階段 2 下的 Diffie-Hellman (DH) 群組。
階段 1 DH 群組 2、14-24。
階段 2 DH 群組 2、5、14-24。
問:當需要 IKE 金鑰更新時,AWS 建議使用哪種演算法?
答:依預設,AWS 側的 VPN 端點將提議 AES-128、SHA-1 和 DH 群組 2。若您想重設金鑰的特定建議,建議您使用「修改 VPN 隧道」選項,將隧道選項限制為所需的特定 VPN 參數。
問:已知有哪些客戶閘道裝置可用於 Amazon VPC?
答:可在「網路管理員指南」中找到以下裝置符合前述要求,已知可用於硬體 VPN 連接,而且命令列工具中也支援自動產生適用於裝置的設定檔。
問:如果沒有列出我的裝置,哪裡可以找到關於裝置與 Amazon VPC 搭配使用的更多資訊?
答:建議您查看 Amazon VPC 論壇,因為可能有其他客戶已在使用相同的裝置。
問:什麼是 Site-to-Site VPN 連接的大約最大輸送量?
答:每個 AWS 站點至站點 VPN 連線都有兩個通道,每個通道支援最高 1.25 Gbps 的最大輸送量。若您的 VPN 連線至虛擬私有閘道,則將套用彙總輸送量限制。
問:虛擬私有閘道是否有彙總輸送量限制?
答:虛擬私有閘道對每種連線類型都具有總輸送量限制。多個 VPN 連線至相同的虛擬私有閘道受 AWS 彙總輸送量限制和內部部署最高為 1.25 Gbps 的約束。對於虛擬私有閘道上的 AWS Direct Connect 連線,輸送量受 Direct Connect 實體連接埠本身的約束。若要連線至多個 VPC 並達到更高輸送量限制,請使用 AWS Transit Gateway。
問:哪些因素會影響 VPN 連接的輸送量?
答: VPN 連接輸送量可取決於多個因素,像是客戶閘道的功能、連線的容量、平均封包大小、使用的協定、TCP 對比UDP,以及客戶閘道與虛擬私有閘道之間的網路延遲。
問:什麼是 Site-to-Site VPN 連接的大約最大每秒封包數?
答:每個 AWS 站點至站點 VPN 連線都有兩個通道,每個通道支援最高 140,000 的最大每秒封包數。
問:有哪些工具可以協助對 Site-to-Site VPN 組態進行故障排除?
答: DescribeVPNConnection API 可以顯示 VPN 連接的狀態,包括各 VPN 通道的狀態 ("up"/"down"),並在有通道處於 "down" 狀態時顯示對應的錯誤訊息。AWS 管理主控台也會顯示此資訊。
問:如何將 VPC 與我的公司資料中心連接?
答: 在現有網路和 Amazon VPC 之間建立硬體 VPN 連接,可讓您與 VPC 中的 Amazon EC2 執行個體互動,就如同它們位於您現有的網路內。在透過硬體 VPN 連接存取的 VPC 中,AWS 不會在 Amazon EC2 執行個體上執行網路位址轉譯 (NAT)。
問:是否可以在路由器或防火牆後方對我的客戶閘道進行 NAT?
答:您將使用 NAT 裝置上的公有 IP 地址。
問:我的客戶閘道地址使用何種 IP 地址?
答:您將使用 NAT 裝置上的公有 IP 地址。
問:如何停用連接上的 NAT-T?
答: 您將需要在裝置上停用 NAT-T。如果您不打算使用 NAT-T 且裝置未停用此功能,我們將嘗試在 UDP 連接埠 4500 建立通道。如果連接埠未開啟,就不會建立通道。
問:每個通道可以同時建立幾個 IPsec 安全關聯?
答:AWS VPN 服務是以路由為基礎的解決方案,因此使用以路由為基礎的組態時,就不會受限於 SA 限制。不過,如果您使用以政策為基礎的解決方案,則必須限制為單一 SA,因為服務是以路由為基礎的解決方案。
問:是否可將我的 VPC 公有 IP 地址範圍告知網際網路,並經由我的資料中心透過 Site-to-Site VPN 將流量路由到我的 VPC?
答: 是,您可以透過 VPN 連接路由流量,並從家用網路公告該地址範圍。
問:我的 VPN 連接將公告給我的客戶閘道裝置的最大路由數是多少?
答:您的 VPN 連接將公告最多 1,000 個路由至您的客戶閘道裝置。針對虛擬私有閘道上的 VPN,公告的路由來源包括 VPC 路由、其他 VPN 路由以及 DX 虛擬界面的路由。針對 AWS Transit Gateway 上的 VPN,公告的路由來自與 VPN 附件關聯的路由表。如果嘗試傳送 1,000 個以上的路由,則僅會公告 1,000 個路由的部分項目。
問:可以從我的客戶閘道裝置公告到我 VPN 連接的最大路由數是多少?
答:您可從客戶閘道裝置公告最多 100 個路由至虛擬私有閘道上的 Site-to-Site VPN 連接,或公告最多 1000 個路由至 AWS Transit Gateway 上的 Site-to-Site VPN 連接。針對具有靜態路由的 VPN 連接,您將不能新增超過 100 個以上的靜態路由。針對與 BGP 的 VPN 連接,如果您嘗試公告超過閘道類型最大值的路由,則 BGP 工作階段將重設。
問:VPN 連線是否支援 IPv6 流量?
答:是。AWS Transit Gateway 的 VPN 連線可以支援 IPv4 或 IPv6 流量,可在建立新的 VPN 連線時選取這些流量。若要為 VPN 流量選取 IPv6,請將內部 IP 版本的 VPN 通道選項設定為 IPv6。請注意,通道端點和客戶閘道 IP 地址只能是 IPv4。
問:VPN 通道哪一側會發起網際網路金鑰交換 (IKE) 工作階段?
答:您的客戶閘道 (CGW) 預設必須啟動 IKE。或者,可以透過啟用適當的選項來啟動 AWS VPN 端點。
問:VPN 連線是否支援私有 IP 地址?
答:是。私有 IP Site-to-Site VPN 功能允許您使用私有 IP 地址將 VPN 連接部署到 AWS Transit Gateway。私有 IP VPN 透過 AWS Direct Connect 傳輸虛擬界面 (VIF) 執行。在建立新的 VPN 連接時,您可以選擇私有 IP 地址作為外部通道 IP 地址。請注意,通道端點和客戶閘道 IP 地址只能是 IPv4。
問:公用和私有 IP VPN 協定互動之間是否有任何差異?
答:否,IPSec 加密和金鑰交換的工作方式與公用 IP VPN 連接的私有 IP Site-to-site VPN 連接相同。
問:私有 IP VPN 是否需要 Transit Gateway?
答:是,您需要 Transit Gateway 來部署私有 IP VPN 連線。此外,Transit Gateway 上的私有 IP VPN 連接需要 Direct Connect 連接進行傳輸。在設定到 Transit Gateway 的私有 IP VPN 連接時,您需要指定 Direct Connect 連接 ID。多個私有 IP VPN 連接可以使用相同的 Direct Connect 連接進行傳輸。
問:私有 IP VPN 是否支援靜態路由和 BGP?
答:是的,私有 IP VPN 支持靜態路由以及使用 BGP 的動態路由。如果您的客戶閘道裝置支援邊界閘道協定 (BGP),請在設定 Site-to-Site VPN 連接時指定動態路由。如果您的客戶閘道裝置不支援 BGP,請指定靜態路由。我們建議您使用支援 BGP 的裝置 (如果可用),因為 BGP 協定提供強大的活動偵測檢查,如果第一個通道出現故障,可以協助容錯移轉到第二個 VPN 通道。
問:什麼是私有 IP VPN 連接的 Transit 閘道路由表關聯和傳播行為?
答:私有 IP VPN 連接的路由表關聯和傳播行為與任何其他傳輸閘道連接相同。您可以將 Transit 閘道路由表關聯到私有 IP VPN 連接,並將路由從私有 IP VPN 連接傳播到任何 Transit 閘道路由表。
問:使用私有 IP VPN 可以實現哪種輸送量?
答:就像一般 Site-to-site VPN 連接一樣,每個私有 IP VPN 連接都支援 1.25 Gbps 的頻寬。您可以跨多個私有 IP VPN 連接使用 ECMP (等價多路徑) 來增加有效頻寬。例如,要透過私有 IP VPN 傳送 10 Gbps 的 DX 流量,您可以在一對 Transit 閘道和客戶閘道之間使用 4 個私有 IP VPN 連接 (4 個連接 x 2 個通道 x 1.25 Gbps 頻寬) 和 ECMP。
問:是否可以跨私有 IP VPN 和公用 IP VPN 連接進行 ECMP 流量?
答:不,您不能跨私有和公用 IP VPN 連接進行 ECMP 流量。私有 IP VPN 的 ECMP 僅適用於具有私有 IP 地址的 VPN 連接。
問:什麼是私有 IP VPN 的 MTU (傳輸單元最大值)?
答:私有 IP VPN 連接是否支援 1500 位元組的 MTU。
問:私有 IP VPN 是否可以與非 Transit 閘道帳戶擁有者的擁有者帳戶相關聯?
答:不可以,Transit 閘道和 Site-to-Site VPN 連接都必須歸同一個 AWS 帳戶擁有。
問:AWS Site-to-Site VPN 服務和私有 IP VPN 功能在哪些 AWS 區域可用?
答:AWS Site-to-Site VPN 服務在除亞太地區 (北京) 和亞太地區 (寧夏) AWS 區域之外的所有商業區域可用。所有提供 AWS Site-to-Site VPN 服務的 AWS 區域都支援私有 IP VPN 功能。
AWS Accelerated Site-to-Site VPN
問: 為什麼我應使用 AWS Accelerated Site-to-Site VPN?
答:由於流量會周遊於網際網路的多個公有網路,才會抵達 AWS 中的 VPN 端點,因此 VPN 連接面對不一致的可用性和效能。這些公有網路可能會壅塞。每次跳轉都會帶來可用性和效能風險。Accelerated Site-to-Site VPN 使用高可用性和不會壅塞的 AWS 全球網路,帶來更一致的使用者體驗。
問:如何建立 Accelerated Site-to-Site VPN?
答:建立 VPN 連接時,將「啟用加速」設定為「true」。
問:如何找出我現有的 VPN 連接是不是 Accelerated Site-to-Site VPN?
答:在您的 VPN 連接的說明中,應將「啟用加速」的值設定為「true」。
問:如何轉換現有的 Site-to-Site VPN 至 Accelerated Site-to-Site VPN?
答:建立新的 Accelerated Site-to-Site VPN,更新您的客戶閘道在裝置連接至此新 VPN 連接,然後刪除您現有的 VPN 連接。由於加速 VPN 使用有別於非加速 VPN 連接的獨立 IP 地址範圍,因此您將取得新管道端點的網際網路協定 (IP) 地址。
問:虛擬閘道在 AWS Transit Gateway Accelerated Site-to-Site VPN 支援虛擬閘道嗎?
答:只有 Transit Gateway 支援 Accelerated Site-to-Site VPN。建立 VPN 連接時應指定 Transit Gateway。AWS 端的 VPN 端點是建立在 Transit Gateway 上。
問:Accelerated Site-to-Site VPN 連接提供兩個通道,以促進高可用性嗎
答:是,每個 VPN 連接都提供兩個通道,以促進高可用性。
問:Accelerated 和 non-Accelerated Site-to-Site VPN 有沒有任何協定的不同?
答:Accelerated Site-to-Site VPN 連接要求並預設啟用 NAT-T。此外,Accelerated 和 non-Accelerated VPN 通道支援相同的 IP 安全性 (IPSec) 和網際網路金鑰交換 (IKE) 產品,也提供相同的頻寬、通道選項、路由選項和身份驗證類型。
問:Accelerated Site-to-Site VPN 提供兩個網路區域,以促進高可用性嗎?
答:是,我們為兩個通道端點,從獨立網路區域選擇 AWS Global Accelerator 全球網際網路協定地址 (IP)。
問:Accelerated Site-to-Site VPN 是 AWS Global Accelerator 的選項嗎?
答:否,僅可透過 Accelerated Site-to-Site VPN 建立 AWS Site-to-Site VPN。無法透過 AWS Global Accelerator 主控台或 API,建立 Accelerated Site-to-Site VPN。
問:我可以透過公有 AWS Direct Connect 虛擬界面,使用 Accelerated VPN 嗎?
答:否,不提供透過公有 AWS Direct Connect 虛擬界面,使用 Accelerated Site-to-Site VPN。在大部份情況下,透過公有 Direct Connect 使用 Accelerated Site-to-Site VPN,不會帶來加速的好處。
問:哪個 AWS 區域提供 Accelerated Site-to-Site VPN?
答:加速 Site-to-Site VPN 目前在以下 AWS 區域可用:美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、美國東部 (俄亥俄),美國東部 (維吉尼亞北部)、南美洲 (聖保羅)、中東 (巴林)、歐洲 (斯德哥爾摩)、歐洲 (巴黎)、歐洲 (米蘭)、歐洲 (倫敦)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、加拿大 (中部)、亞太區域 (東京)、亞太區域 (雪梨)、亞太區域 (新加坡)、亞太區域 (首爾)、亞太區域 (孟買)、亞太區域 (香港)、非洲 (開普敦)。
AWS Site-to-Site VPN 可視性與監控
問:AWS Site-to-Site VPN 支援哪些日誌?
答:AWS Site-to-Site VPN 連線日誌包含有關 IP 安全 (IPsec) 通道建立活動的詳細資訊,包括網際網路金鑰 (IKE) 協商和失效對等偵測 (DPD) 協定訊息。這些日誌每隔 5 分鐘定期匯出一次,並盡量傳送至 CloudWatch 日誌。
問:是否針對傳輸閘道和虛擬閘道的 VPN 連線提供 AWS Site-to-Site VPN 日誌?
答:是,您可以針對以傳輸閘道和虛擬閘道為基礎的 VPN 連線,啟用 AWS Site-to-Site VPN 日誌。
問:是否可以在現有 VPN 連線上啟用 AWS Site-to-Site VPN 日誌?
答:是,您可以在建立或修改連線時,透過通道選項啟用 AWS Site-to-Site VPN 日誌。
問:當我對現有 VPN 連線啟用 AWS Site-to-Site VPN 日誌時會發生什麼?
答:當您使用修改通道選項,對現有 VPN 連線啟用 AWS Site-to-Site VPN 日誌時,通道的連線最多中斷幾分鐘。每個 VPN 連線都提供兩個通道,以促進高可用性。您一次可在一個通道上啟用日誌記錄,只有修改後的通道會受到影響。如需詳細資訊,請參閱《AWS Site-to-Site VPN 使用者指南》中的 AWS Site-to-Site VPN 通道端點取代。
AWS Client VPN 設定和管理
問:如何設定 AWS Client VPN?
答:IT 管理員建立將目標網路關聯至特定 Client VPN 端點的端點,接著設定存取政策,允許最終使用者的連線。IT 管理員分發用戶端點 VPN 設定檔至最終使用者。每位使用者需要下載 OpenVPN 用戶端,並使用用戶端 VPN 設定檔,建立他們的 VPN 工作階段。
問:最終使用者應如何設定連接?
答:最終使用者應將 OpenVPN 用戶端下載至他們的裝置。接著使用者將把 AWS Client VPN 設定檔匯入至 OpenVPN 用戶端並啟動 VPN 連接。
AWS Client VPN 連線作業
問:如何啟用連線至其他網路?
答:您可啟用與其他網路的連接能力,例如:對等 Amazon VPC、透過虛擬閘道或 AWS 服務的現場部署網路,例如:S3、透過專電、透過 AWS PrivateLink 的網路,或透過網際網路閘道的其他資源。欲啟用連線,新增路由至 Client VPN 路由表的指定網路,然後新增授權規則,啟用指定網路的存取。
問:Client VPN 端點可以是屬於關聯子網路的不同帳戶嗎?
答:否,關聯的子網路必需和 Client VPN 端點中所用的帳戶相同。
問:我可以在有別於我在 TLS 工作階段中設定的區域,使用私有 IP 地址存取 VPC 內的資源?
答:可用以下兩個步驟達成目的:首先,在您的目的地 VPC (在不同的區域) 和 Client VPN 相關的 VPC 之間,設定跨區域的對等連接。第二,應為 Client VPN 端點中的目的地 VPC 新增路由和存取規則。現在,您的使用者就能從有別於 Client VPN 端點的區域,存取目的地 VPC 中的資源。
問:Client VPN 支援哪些傳輸協定?
答:可為 VPN 工作階段選擇 TCP 或 UDP。
問:AWS Client VPN 是否支援分割通道?
答:是。您可以選擇在啟用或停用分割通道的情況下建立端點。如果之前已在停用分割通道的情況下建立端點,您可以選擇將它修改為啟用分割通道。如果啟用分割通道,將透過 VPN 通道路由傳送到端點上設定的路由的流量。將透過區域網路界面路由所有其他流量。如果停用分割通道,所有來自裝置的流量都會透過 VPN 通道周遊。
AWS Client VPN 身份驗證和授權
問:AWS Client VPN 支援怎樣的驗證機制?
答:AWS Client VPN 使用 AWS Directory Services、憑證型身份驗證和使用 SAML-2.0 的聯合身份驗證,利用 Active Directory 支援身份驗證。
問:我可以使用內部部署的 Active Directory 服務,驗證使用者的身份嗎?
答:可以。AWS Client VPN 和 AWS Directory Service 整合,讓您連接至現場部署的 Active Directory。
問:AWS Client VPN 支援共同身份驗證嗎?
答:是,AWS Client VPN 支援共同身份驗證。啟用共同身份驗證後,客戶必須上傳在伺服器上發出用戶端憑證的根憑證。
問:我可以將用戶端憑證列入黑名單嗎?
答:可以。AWS Client VPN 支援靜態設定的憑證撤銷清單 (CRL)。
問:AWS Client VPN 是否具備支援客戶引進其個人憑證的功能?
答:可以。您應上傳憑證、根憑證授權 (CA) 憑證,以及伺服器的私有金鑰。這些都已上傳至 AWS Certificate Manager。
問:AWS Client VPN 能和 AWS Certificate Manager (ACM) 整合,以建立伺服器憑證嗎?
答:可以。您可使用 ACM 作為鏈接至外部根 CA 的從屬 CA。ACM 接著建立伺服器憑證。在本案例中,ACM 同時進行伺服器憑證輪換。
問:AWS Client VPN 支援狀態評估嗎?
答:否。AWS Client VPN 不支援狀態評估。其他類似 Amazon Inspectors 的 AWS 服務支援狀態評估。
問:AWS Client VPN 是否支援 Multi-Factor Authentication (MFA)?
答:是,AWS Client VPN 透過使用 AWS Directory Services 的 Active Directory,以及透過外部身份供應商 (例如 Okta) 支援 MFA。
問:AWS Client VPN 如何支援授權?
答:可設定授權規則,限制可存取網路的使用者。針對特定目的地網路,可設定允許存取的 Active Directory 群組/身份供應商群組。唯有屬於此 Active Directory 群組/身份供應商群組的使用者可存取特定的網路。
問:AWS Client VPN 支援安全群組嗎?
答:Client VPN 支援安全群組。您可指定關聯群組的安全群組。關聯子網路時,我們將自動套用子網路的 VPC 之預設安全群組。
問:我如何使用安全小組,限制唯有 Client VPN 連接可以存取我的應用程式?
答:應用時,可指定僅允許已套用至關聯子網路的安全群組存取。現在您就已透過 Client VPN 限制只可有已連接的使用者存取。
問:在聯合身份驗證中,我是否可以修改 IDP 中繼資料文件?
答:是,您可以在與用戶端 VPN 端點關聯的 IAM 身份供應商中上傳新的中繼資料文件。更新的中繼資料將在 2 至 4 小時內反映出來。
問:是否可以使用第三方 OpenVPN 用戶端連線至設定了聯合身份驗證的用戶端 VPN 端點?
答:否,您必須使用 AWS Client VPN 軟體用戶端連線至端點。
AWS Client VPN 能見度和監控
問:AWS Client VPN 支援哪些日誌?
答:Client VPN 匯出連接日誌,作為 CloudWatch Logs 的最佳工作記錄。這些日誌每隔 15 分鐘,定時匯出一次。連接日誌內含建立和終止連接要求的詳細資訊。
問:Client VPN 是否在端點支援 Amazon VPC Flow Logs?
答:否。可在相關的 VPC 中使用 Amazon VPC Flow Logs。
問:我可監控使用中的連接嗎?
答:是。可使用 CLI 或主控台檢視特定端點目前使用中的連接,以及終止使用中連接。
問:我可以使用 CloudWatch 按端點進行監控嗎?
答:可以。您可使用 CloudWatch 監控器,檢視每個 Client VPN 端點的輸入和輸出位元組和作用中連線。
VPN 用戶端
問:如何部署適用於 AWS Client VPN 的免費軟體用戶端?
答:適用於 AWS Client VPN 的軟體用戶端與現有的 AWS Client VPN 組態相容。用戶端支援使用 AWS Client VPN 服務產生的 OpenVPN 組態檔新增設定檔。建立設定檔後,用戶端將根據您的設定連接至您的端點。
問:使用 AWS Client VPN 軟體用戶端的額外價格為何?
答:軟體用戶端為免費提供。將僅對您收取 AWS Client VPN 服務使用費。
問:支援哪些類型的裝置和作業系統版本?
答:桌面用戶端目前支援 64 位元 Windows 10、macOS (Mojave、Catalina 和 Big Sur) 以及 Ubuntu Linux (18.04 和 20.04) 裝置。
問:我們的連線設定檔是否會在我的所有裝置之間同步?
答:不會,但是 IT 管理員可向預先設定的設定提供其軟體用戶端部署的組態檔。
問:執行 AWS Client VPN 的軟體用戶端是否需要我裝置上的管理員權限?
答:是。您需要管理員權限才能在 Windows 和 Mac 上安裝應用程式。在那之後,不再需要管理員存取。
問:AWS Client VPN 用戶端使用的是哪個 VPN 通訊協定?
答:AWS Client VPN,包括軟體用戶端,支援 OpenVPN 通訊協定。
問:使用軟體用戶端是否支援 AWS Client VPN 服務支援的所有功能?
答:是。用戶端支援 AWS Client VPN 服務提供的所有功能。
問:連接後,AWS Client VPN 的軟體用戶端是否允許 LAN 存取?
答:是,連接至 AWS VPN Client 後,您可以存取區域網路。
問:軟體用戶端支援哪些驗證功能?
答:AWS Client VPN 軟體用戶端支援 AWS Client VPN 服務提供的所有身份驗證機制 - 使用 AWS Directory Services、憑證型身份驗證和使用 SAML-2.0 的聯合身份驗證,利用 Active Directory 進行身份驗證。
問:AWS Client VPN 將支援哪些類型的用戶端記錄?
答:當使用者嘗試連接時,會記錄連接設定的詳細資料。連接嘗試會儲存最多 30 天,檔案大小上限為 90 MB。
問:我是否可以混合 AWS Client VPN 的軟體用戶端和連接至 AWS Client VPN 端點的標準 OpenVPN 用戶端?
答:是,假設 AWS Client VPN 端點上定義的驗證類型受標準 OpenVPN 用戶端的支援。
問:我可以在何處下載 AWS Client VPN 的軟體用戶端?
答:您可以下載一般用戶端,而無需從 AWS Client VPN 產品頁面進行任何自訂工作。IT 管理員可以選擇在其專屬系統中託管下載。
問:我可以在一個裝置上執行多種類型的 VPN 用戶端嗎?
答:我們不建議在裝置上執行多個 VPN 用戶端。這會導致衝突,或者 VPN 用戶端會相互干擾並導致連線失敗。也就是說,AWS Client VPN 可以與另一個 VPN 用戶端一起安裝。
虛擬私有閘道
問:這個功能是什麼?
答: 對於任何新的虛擬閘道,客戶可透過可設定的私有自發系統編號 (ASN) 在 BGP 工作階段的 Amazon 端為 VPN 和 AWS Direct Connect 私有 VIF 設定 ASN。
問:使用此功能的費用是多少?
答:使用此功能無須額外付費。
問:如何設定/指派我的 ASN 將其公告為 Amazon 端 ASN?
答:您可以在建立新的虛擬私有閘道 (virtual gateway) 時設定/指派 ASN 將其公告為 Amazon 端 ASN。您可以使用 VPC 主控台或 EC2/CreateVpnGateway API 呼叫建立虛擬閘道。
問:Amazon 在這個功能之前指派哪一個 ASN?
答:Amazon 指派以下 ASN:西歐 (都柏林) 9059;亞太區域 (新加坡) 17493 以及亞太區域 (東京) 10124。所有其他區域指派的 ASN 都是 7224;這些 ASN 稱為區域的「傳統公有 ASN」。
問:是否可使用任何 ASN – 公有和私有?
答:您可以將任何私有 ASN 指派到 Amazon 端。到 2018 年 6 月 30 日為止可以指派區域的「傳統公有 ASN」,但您不能指派任何其他公有 ASN。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。
問:為什麼不能在 BGP 工作階段的 Amazon 端指派公有 ASN?
答:Amazon 不會驗證 ASN 的擁有權,所以我們將 Amazon 端的 ASN 限制為私有 ASN。我們希望保護客戶不受 BGP 詐騙的危害。
問:我可以選擇哪一種 ASN?
答:您可以選擇任何私有 ASN。16 位元私有 ASN 的範圍包含 64512 到 65534。您也可以提供 32 位元的 ASN,範圍介於 4200000000 和 4294967294 之間。
如果您沒有選擇,Amazon 會為虛擬閘道提供預設 ASN。到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。
問:如果我嘗試指派公有 ASN 到 BGP 工作階段的 Amazon 端,會發生什麼情況?
答: 一旦您嘗試建立虛擬閘道,我們就會要求您重新輸入私有 ASN,除非它是區域的「傳統公有 ASN」。
問:如果我沒有為 BGP 工作階段的 Amazon 端提供 ASN,Amazon 會為我指派哪一個 ASN?
答:如果您沒有選擇,Amazon 會為虛擬閘道提供 ASN。到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。
問:我可以在哪裡檢視 Amazon 端 ASN?
答:您可以在 VPC 主控台的虛擬閘道頁面和 EC2/DescribeVpnGateways API 的回應中檢視 Amazon 端 ASN。
問:如果我有公有 ASN,是否可以在 AWS 端搭配私有 ASN 使用?
答:是,您可以在 BGP 工作階段的 Amazon 端設定私有 ASN,並在您這一端設定公有 ASN。
問:我已經設定了私有 VIF,希望在現有 VIF 上為 BGP 工作階段設定不同的 Amazon 端 ASN。要如何執行這項變更?
答:您必須以所需的 ASN 建立新的 Direct Connect 閘道,再以新建立的 Direct Connect 閘道建立新的 VIF。您的裝置組態也需要進行適當的變更。
問:我已經設定了 VPN 連接,希望修改這些 VPN 的 BGP 工作階段 Amazon 端 ASN。要如何執行這項變更?
答:您必須以所需的 ASN 建立新的虛擬閘道,再重新建立客戶閘道與新建立的虛擬閘道之間的 VPN 連接。
問:我已經使用 Amazon 指派的公有 ASN 7224 設定 虛擬閘道和私有 VIF/VPN 連接。如果 Amazon 自動為新的私有虛擬閘道產生 ASN,會為我指派哪一個 Amazon 端 ASN?
答:Amazon 會為新的虛擬私有閘道指派 64512 給 Amazon 端 ASN。
問:我使用 Amazon 指派的公有 ASN,設定虛擬閘道和私有 VIF/VPN 連接。現在希望為我建立的新私有 VIF/VPN 連接使用 Amazon 指派的相同公有 ASN。要怎麼做?
答:您可以在建立新的虛擬私有閘道 (virtual gateway) 時設定/指派 ASN 將其公告為 Amazon 端 ASN。您可以使用主控台或 EC2/CreateVpnGateway API 呼叫建立虛擬閘道。如之前所述,到 2018 年 6 月 30 日為止,Amazon 會持續提供區域的「傳統公有 ASN」。2018 年 6 月 30 日之後,Amazon 將提供 ASN 64512。
問:我已使用 Amazon 指派的公有 ASN 7224,設定虛擬閘道和私有 VIF/VPN 連接。如果 Amazon 使用相同的虛擬閘道自動為新的私有 VIF/VPN 連接產生 ASN,會為我指派哪一個 Amazon 端 ASN?
答:Amazon 會為新的 VIF/VPN 連接指派 7224 給 Amazon 端 ASN。新私有 VIF/VPN 連接的 Amazon 端 ASN 是繼承現有的虛擬閘道而來,且預設為該 ASN。
問:我將多個私有 VIF 連接到單一虛擬閘道。每個 VIF 是否可有個別的 Amazon 端 ASN?
答:否,您可以為每個虛擬閘道指派/設定個別的 Amazon 端 ASN,而非每個 VIF。VIF 的 Amazon 端 ASN 是繼承自連接的虛擬閘道的 Amazon 端 ASN。
問:我建立多個連接到單一虛擬閘道的 VPN 連接。每個 VPN 連接是否可有個別的 Amazon 端 ASN?
答:否,您可以為每個虛擬閘道而不是每個 VPN 連接,指派/設定個別的 Amazon 端 ASN。VPN 連接的 Amazon 端 ASN 是繼承自虛擬閘道的 Amazon 端 ASN。
問:我可以在哪裡選取自己的 ASN?
答:在 VPC 主控台建立虛擬閘道時,取消核取詢問您是否要自動產生的 Amazon BGP ASN 的方塊,並為 BGP 工作階段的 Amazon 端提供您自己的私有 ASN。透過 Amazon 端 ASN 設定虛擬閘道後,使用該虛擬閘道建立的私有 VIF 或 VPN 連接都將使用您的 Amazon 端 ASN。
問:我目前使用 CloudHub。未來是否需要調整組態?
答:您不需要做任何變更。
問:我想選取 32 位元 ASN。32 位元私有 ASN 的範圍為何?
答:我們支援從 4200000000 到 4294967294 的 32 位元 ASN。
問:虛擬閘道建立之後,是否可變更或修改 Amazon 端 ASN?
答:否,建立之後就不能修改 Amazon 端 ASN。可刪除虛擬閘道,再按意願使用 ASN,重新建立新的虛擬閘道。
問:是否有新的 API 可設定/指派 Amazon 端 ASN?
答:否。您可以使用和之前相同的 API (EC2/CreateVpnGateway) 執行此動作。我們剛在這個 API 加入了新的參數 (amazonSideAsn)。
問:是否有新的 API 可檢視 Amazon 端 ASN?
答:否。您可以使用相同的 EC2/DescribeVpnGateways API 檢視 Amazon 端 ASN。我們剛在這個 API 加入了新的參數 (amazonSideAsn)。
問:我可以使用哪種 ASN 來設定客戶閘道 (CGW)?
答:可以使用 1 – 2147483647 範圍內的 ASN,但有註明的例外情況。請參閱 AWS VPN 使用者指南中的適用於 AWS Site-to-Site VPN 連線的客戶閘道選項部分。
問:我想要為我的客戶閘道使用 32 位元 ASN。是否支援 32 位元私有範圍 ASN?
答:是。請注意,客戶閘道組態目前不支援 (4200000000 到 4294967294) 範圍內的私有 ASN。 請參閱 AWS VPN 使用者指南中的適用於 AWS Site-to-Site VPN 連線的客戶閘道選項部分。
