在当今快速发展的移动办公环境中,传统的本地VPN服务在容量上是固定的,难以快速按需扩展或缩减。硬件限制、许可和带宽等因素都可能导致传统的客户端VPN服务无法满足日益增长的移动工作队伍的需求。幸运的是,AWS Client VPN的弹性和按需付费定价可以帮助解决这些问题。AWS Client VPN是一种可扩展且高度可用的基于OpenVPN的服务,可用于连接AWS和本地资源。
客户端连接
AWS Client VPN服务为用户提供了一个可扩展的连接端点。它具有弹性,可以随着连接数量的增加而扩展。默认情况下,一个端点最多支持2000个并发连接。通过在支持控制台提交请求,可以将此限制进一步提高。终端用户可以通过基于证书的双向认证或Active Directory认证来验证身份。可以在Active Directory认证上启用多因素认证(MFA),为安全性提供额外保障。
Client VPN端点可以连接到每个可用区(AZ)内的一个或多个子网。为了实现高可用性,建议至少使用两个子网。该连接会在子网中创建一个弹性网络接口(ENI)。来自客户端子网的所有网络流量都被网络地址转换(NAT)到ENI的IP地址。这使得连接的客户端能够使用子网路由表连接到VPC内部和外部的资源。
网络访问可以通过授权进行精细控制,默认情况下是锁定的。客户端还可以配置为全隧道访问,即所有网络流量通过Client VPN,或分隧道访问。需要注意的是,选择用于VPN客户端的子网时,确保其足够大,并且与VPC的CIDR不重叠。在确定Client VPN的CIDR时,确保它能够支持两倍于并发连接数量的规模。以下图示展示了使用10.254.0.0/16作为客户端子网的远程工作者连接。
架构
一旦远程工作者连接到AWS Client VPN端点,他们便可以访问客户端VPN子网有路由的任何目标(前提是有授权允许访问)。这使得对VPC内资源以及其他VPC和本地资源的访问成为可能。
Client VPN与多个VPC的连接
连接的客户端将已经有路由到VPC内资源。由于Client VPN执行源NAT,客户端流量的源IP为端点ENI。资源如接口VPC端点和EC2实例可以无缝连接。VPC对等连接和AWS Transit Gateway可用于连接VPC外的资源。这可以通过向Client VPN子网路由表添加路由来实现。以下图示展示了这一架构。
Client VPN与本地资源的连接
Client VPN允许远程工作者使用AWS Direct Connect(DX)和AWS Site-to-Site VPN连接到本地资源。通过这种方式,远程工作者的VPN容量可以独立于本地基础设施和带宽进行扩展。单个VPC可以利用DX连接或VPN连接到另一个VPC。对于更可扩展的替代方案,可以使用AWS Transit Gateway将多个VPC连接在一起,以及通过Direct Connect网关(带有传输虚拟接口)或VPN进行本地连接。以下图示展示了这一架构。
Client VPN与互联网的连接
如果使用全VPN隧道进行客户端VPN连接,则互联网流量可以使用子网路由表路由默认路由0.0.0.0/0。面向互联网的流量可以使用NAT网关或第三方设备。可以使用多个NAT网关或设备以实现高可用性和扩展性。以下图示展示了这一架构。
作为替代方案,也可以使用Client VPN的ENI进行互联网出口流量。为此,只需将Client VPN连接到公共子网。每个ENI将获得一个公共IP地址,可以在没有任何NAT网关及相关费用的情况下提供互联网访问。以下图示展示了这一架构。
结论
在本文中,我展示了几种将远程工作者连接到VPC资源、互联网和本地资源的架构。这些架构可以组合和修改,以满足您的居家办公需求。AWS Client VPN使得创建可扩展的远程访问解决方案变得简单,以满足您的居家办公用户需求。
作者介绍
James Devine是AWS的高级解决方案架构师,专注于网络、VMware和Outposts。他拥有阿勒格尼学院的计算机科学学士学位和史蒂文斯理工学院的计算机科学硕士学位。在加入AWS之前,James曾是MITRE的高级基础设施工程师,帮助各种政府组织解决一些最棘手的问题,并实现云计算的价值。
更多信息
- 使用AWS Client VPN安全访问AWS和本地资源
- 了解AWS VPN服务
- 观看re:Invent 2019:连接到AWS和混合AWS网络架构
