Como posso fornecer aos meus usuários do Client VPN acesso aos recursos da AWS?
4 minuto de leitura
0
Os usuários do meu AWS Client VPN querem estabelecer uma conexão segura entre seus dispositivos finais e os recursos da AWS. Como posso fazer isso?
Resolução
Antes de configurar o acesso via VPN a recursos específicos, considere o seguinte:
- Quando um endpoint do Client VPN é associado a uma sub-rede, interfaces de rede elásticas são criadas na sub-rede associada. Essas interfaces de rede recebem endereços IP do CIDR da sub-rede.
- Quando uma conexão do Client VPN é estabelecida, um adaptador de túnel virtual (VTAP) é criado no dispositivo final. O adaptador virtual recebe um endereço IP do CIDR IPv4 do cliente do endpoint do Client VPN.
- Quando você associa uma sub-rede ao seu endpoint do Client VPN, interfaces de rede do Client VPN são criadas nessa sub-rede. O tráfego enviado para a VPC a partir do endpoint do Client VPN é enviado por meio de uma interface de rede do Client VPN. A conversão de endereço de rede de origem (SNAT) é então aplicada, onde o endereço IP de origem do intervalo CIDR do cliente é convertido para o endereço IP da interface de rede do Client VPN.
Para dar aos usuários finais do Client VPN acesso a recursos específicos da AWS:
- Configure o roteamento entre a sub-rede associada ao endpoint do Client VPN e a rede do recurso de destino. Se o recurso de destino estiver na mesma nuvem privada virtual (VPC) associada ao endpoint, você não precisará adicionar uma rota. Nesse caso, a rota local da VPC é usada para encaminhar o tráfego. Se o recurso de destino não estiver na mesma VPC associada ao endpoint, adicione a respectiva rota na tabela de rotas de sub-rede associadas ao endpoint do Client VPN.
- Configure o grupo de segurança do recurso de destino para permitir tráfego de entrada e saída por meio da sub-rede associada ao endpoint do Client VPN. Ou use grupos de segurança aplicados no endpoint referenciando o grupo de segurança anexado ao endpoint na regra do grupo de segurança do recurso de destino.
- Configure a lista de controle de acesso à rede (ACL da rede) do recurso de destino para permitir tráfego de entrada e saída por meio das sub-redes associadas ao endpoint do Client VPN.
- Permita que o usuário final acesse os recursos de destino na regra de autorização do endpoint do Client VPN. Para mais informações, consulte Regras de autorização.
- Verifique se a tabela de rotas do Client VPN tem uma rota para o intervalo de rede do recurso de destino. Para mais informações, consulte Rotas e Redes de destino.
- Permita acesso de saída aos recursos de destino no grupo de segurança associado ao endpoint do Client VPN.
Observação: se você tiver mais de uma sub-rede associada ao seu endpoint do Client VPN, será preciso permitir o acesso de cada um dos CIDRs da sub-rede do Client VPN para:
- Os grupos de segurança do recurso de destino
- As ACLs de rede do recurso de destino
Crie as rotas, as regras do grupo de segurança e as regras de autorização necessárias para estabelecer conectividade, com base no tipo de recurso que seus usuários estão acessando. Com base no seu caso de uso, siga estas etapas para:
- Configurar o acesso a uma VPC
- Configurar o acesso à Internet
Observação: dependendo do seu caso de uso, você pode optar por estabelecer uma conexão do Client VPN com VPCs enquanto continua roteando o tráfego da Internet pelo gateway local. Para fazer isso, configure um endpoint do Client VPN de túnel dividido. - Configurar o acesso a uma VPC emparelhada
- Configurar o acesso a uma rede on-premises
Informações relacionadas
AWS OFICIALAtualizada há um ano
Conteúdo relevante
- AWS OFICIALAtualizada há 8 meses
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 3 anos