【Amazon】AWS VPN 虚拟私有网络解决方案学习笔记

最新推荐文章于 2024-09-12 10:38:54 发布
最新推荐文章于 2024-09-12 10:38:54 发布
阅读量2.7k 收藏 34
点赞数 19
分类专栏: 云计算 亚马逊云 文章标签: 网络 aws 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45392321/article/details/134635470
版权

文章目录

AWS Client VPN实验架构图

image-20230530164004410

1.AWS VPN介绍

AWS 虚拟私有网络解决方案可在您的本地网络、远程办公室、客户端设备和 AWS 全球网络之间建立安全的连接。AWS VPN 由两种服务组成:AWS Site-to-Site VPN AWS Client VPN。这两种服务一起,可提供高度可用且具有弹性的托管云 VPN 解决方案,以保护您的网络流量安全。

AWS Site-to-Site VPN 可在您的网络与 Amazon Virtual Private Cloud 或 AWS Transit Gateway 之间建立加密隧道。要管理远程访问,AWS Client VPN 可使用 VPN 软件客户端将您的用户连接到 AWS 或本地资源。

基础知识:网络安全、加密技术、AWS VPC网络概念

2.AWS Client VPN系统结构

AWS Client VPN 是一项完全托管的弹性 VPN 服务,可根据用户需求自动扩展或缩减。由于它是一个云 VPN 解决方案,因此,您无需安装和管理基于硬件或基于软件的解决方案,也无需尝试估计一次支持多少个远程用户。

参考链接:https://aws.amazon.com/cn/vpn/features/

AWS Client VPN 功能

AWS Client VPN 提供了一个完全托管的 VPN 解决方案,可通过 Internet 连接和兼容 OpenVPN 的客户端从任何位置访问。它具有出色的弹性,能够自动扩展,满足您的需求。您的用户可以连接到 AWS 网络和本地网络。AWS Client VPN 与您现有的 AWS 基础设施(包括 Amazon VPC 和 AWS Directory Service)无缝集成,因此您无需更改网络拓扑。

身份验证

AWS Client VPN 将使用 Active Directory 或证书进行身份验证。Client VPN 与 AWS Directory Service 集成,AWS Directory Service 与您现有的本地 Active Directory 相连接,因此您无需将数据从现有的 Active Directory 复制到云中。采用 Client VPN 的基于证书的身份验证与 AWS Certificate Manager 集成在一起,可轻松预置、管理和部署证书。

授权

AWS Client VPN 提供基于网络的授权,因此您可以基于 Active Directory 组定义访问控制规则,以限制对特定网络的访问。

安全连接

AWS Client VPN 使用安全的 TLS VPN 隧道协议对流量进行加密。单个 VPN 隧道在每 个Client VPN 终端节点处终止,并为用户提供访问所有 AWS 和本地资源的权限。

连接管理

您可以使用 Amazon CloudWatch Logs 从 AWS Client VPN 连接日志监控、存储和访问您的日志文件。然后,您可以从 CloudWatch Logs 中检索关联的日志数据。您可以轻松地监控、取证分析和终止特定连接,同时控制可访问您网络的用户。

与员工设备的兼容性

AWS Client VPN 旨在将设备连接到您的网络。它允许您从基于 OpenVPN 的客户端中进行选择,从而使您的员工可以使用自己选择的设备,包括 Windows、Mac、iOS、Android 和 Linux 设备。

3.AWS Client VPN - 生成上传VPN证书

参考连接:https://docs.aws.amazon.com/zh_cn/vpn/latest/clientvpn-admin/client-authentication.html

  • 在 EC2 实例中生成 VPN 服务器和客户端的证书密钥
  • 将建立的证书上传到ACM

操作演示

在 EC2 实例中,生成VPN RSA证书。

# 系统更新
$ sudo yum update -y

# 安装Git
$ sudo yum install -y git

# 将OpenVPN easy-rsa 存储库克隆到本地
$ git clone https://github.com/OpenVPN/easy-rsa.git
$ cd easy-rsa/easyrsa3

# 初始化一个新的 PKI环境(PKI:公钥基础设施)
$ ./easyrsa init-pki

# 构建新的证书颁发机构(CA)
$ ./easyrsa build-ca nopass

# 生成服务器证书和密钥
$ ./easyrsa build-server-full server.vpn.xybaws.com nopass

# 生成客户端证书和密钥
$ ./easyrsa build-client-full client1.vpn.xybaws.com nopass

# 将服务器证书和密钥和客户端证书和密钥复制到项目文件夹
$ mkdir ~/xybaws-vpn/
$ cp pki/ca.crt ~/xybaws-vpn/
$ cp pki/issued/server.vpn.xybaws.com.crt ~/xybaws-vpn/
$ cp pki/private/server.vpn.xybaws.com.key ~/xybaws-vpn/
$ cp pki/issued/client1.vpn.xybaws.com.crt ~/xybaws-vpn/
$ cp pki/private/client1.vpn.xybaws.com.key ~/xybaws-vpn/
$ cd ~/xybaws-vpn

# 将服务器证书和密钥以及客户端证书和密钥上传到 ACM
$ aws acm import-certificate \
	--certificate fileb://server.vpn.xybaws.com.crt \
	--private-key fileb://server.vpn.xybaws.com.key \
	--certificate-chain fileb://ca.crt \
	--tags Key=Name,Value=xybaws-vpn-server \
	--region ap-northeast-1
$ aws acm import-certificate \
	--certificate fileb://client1.vpn.xybaws.com.crt \
	--private-key fileb://client1.vpn.xybaws.com.key \
	--certificate-chain fileb://ca.crt \
	--tags Key=Name,Value=xybaws-vpn-client1 \
	--region ap-northeast-1

💢报错

[ec2-user@ip-172-16-10-10 xybaws-vpn]$ pwd
/home/ec2-user/xybaws-vpn
[ec2-user@ip-172-16-10-10 xybaws-vpn]$ aws acm import-certificate \
> --certificate fileb://server.vpn.xybaws.com.crt \
> --private-key filed://server.vpn.xybaws.com.key \
> --certificate-chain filed://ca.crt \
> --tags Key=Name,Value=xybaws-vpn-server \
> --region ap-northeast-1
Unable to locate credentials. You can configure credentials by running "aws configure".
[ec2-user@ip-172-16-10-10 xybaws-vpn]$

Installing or updating the latest version of the AWS CLI

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

参考链接:Installing or updating the latest version of the AWS CLI - AWS Command Line Interface

[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws configure
AWS Access Key ID [None]: AKIA****************M6
AWS Secret Access Key [None]: xDvX*********************************pFn
Default region name [None]: ap-northeast-1
Default output format [None]: json
[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws configure list
      Name                    Value             Type    Location
      ----                    -----             ----    --------
   profile                <not set>             None    None
access_key     ****************2WM6 shared-credentials-file
secret_key     ****************hpFn shared-credentials-file
    region           ap-northeast-1      config-file    ~/.aws/config
[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws acm import-certificate \
> --certificate fileb://server.vpn.xybaws.com.crt \
> --private-key fileb://server.vpn.xybaws.com.key \
> --certificate-chain fileb://ca.crt \
> --tags Key=Name,Value=xybaws-vpn-server \
> --region ap-northeast-1
{
    "CertificateArn": "arn:aws:acm:ap-northeast-1:540*******692:certificate/1bf78b2b-6e05-487d-af6b-965f02d2e51d"
}
[ec2-user@ip-172-16-10-16 xybaws-vpn]$ aws acm import-certificate \
> --certificate fileb://client1.vpn.xybaws.com.crt \
> --private-key fileb://client1.vpn.xybaws.com.key \
> --certificate-chain fileb://ca.crt \
> --tags Key=Name,Value=xybaws-vpn-client1 \
> --region ap-northeast-1
{
    "CertificateArn": "arn:aws:acm:ap-northeast-1:540*******692:certificate/374b2569-18cf-4fc2-9418-ae3dbcbc6d57"
}
[ec2-user@ip-172-16-10-16 xybaws-vpn]$

image-20230530114659091

image-20230530114410732

4.AWS Client VPN - 建立 VPN 使用的 安全组

官方链接:https://docs.aws.amazon.com/zh_cn/vpn/latest/clientvpn-admin/client-authorization.html

VPC / 安全组 / 创建安全组

  • 安全组名称:
    • Name:xybaws-vpn-security-group
  • VPC
    • xybaws-vpc
  • 入站规则 / 添加规则
    • 所有流量
    • 0.0.0.0/0

image-20230530115657709

5.AWS Client VPN - 建立客户端 VPN 终端节点

建立客户端 VPN终端节点

官网地址:https://docs.aws.amazon.com/zh_cn/vpn/latest/clientvpn-admin/cvpn-getting-started.html

操作步骤:

客户端 VPN 终端节点 > 创建客户端 VPN 终端节点

  • 名称标签

    • ​ xybdiy-vpn

  • 客户端 IPv4 CIDR(以 CIDR 记法表示的 IP 地址范围,从该范围中为客户端分配 IP 地址。)

    • 10.0.0.0/22

  • 服务器证书 ARN

    • server.vpn.xybaws.com

  • 身份验证选项

    • 使用相互身份验证

    • 客户端证书 ARN

      • client1.vpn.xybaws.com

  • DNS服务器 1 的IP地址(VPC DNS 内部地址)

    • 172.16.0.2

  • VPC ID (与终端节点关联的 VPC,一个终端节点仅可与一个VPC相关联)

    • xybaws-vpc

  • 安全组 ID (指定特定 VPC 中的安全组以应用到客户端 VPN 终端节点)

    • xybaws-vpn-securiy-group

image-20230530122156289

✨要想访问到外网,此VPC需要创建互联网网关,能访问到外网,私有网络需要设置NAT网关。客户端VPN端点中的DNS服务器地址应该设置成此VPC DNS的IP地址。✨

image-20230606094422735

image-20230530122506459

6.AWS Client VPN - 关联 VPN 终端节点

image-20230530122748808

image-20230530122727771
image-20230530151156506

7.AWS Client VPN - 授权客户端访问网络

授权规则指定哪些客户端可以访问 VPC

VPC / 客户端 VPN 终端节点 / xybaws-vpc

授权 / Authorize Ingress

  • 要启动访问权限的目标网络
    • 0.0.0.0/0
  • 授权访问权限
    • 允许访问所有用户

image-20230530151249461

image-20230530151348350

!!!授权成功!!!

image-20230530151452391

8.AWS Client VPN - 建立授权配置文件

下载客户端 ovpn 文件,建立授权配置

  • 下载客户端 ovpn文件

image-20230530152058997
image-20230530152106446

  • 编辑授权配置文件
<cert>
Contenets of client certificate (.crt) file
</cert>

<key>
Contents of private key (.key) file
</key>
  • 修改 DNS 名称
remote client1.cvpn-endpoint-0bebae19c3283ab85.prod.clientvpn.ap-northeast-1.amazonaws.com 443

9.AWS Client VPN - 修改路由表

修改 VPN 终端节点的路由表

VPC / 客户端 VPN 终端节点 / xybaws-vpn

路由表 / Create Route

  • 路由目标

    • 0.0.0.0/0

  • 目标 VPC 子网 ID

    • xybaws-web-1a

image-20230530153549524

10.AWS Client VPN - 使用 OpenVPN 连接 Client VPN 终端节点

  • 下载 OpenVPN 客户端
  • 使用 OpenVPN 连接 Client VPN 终端节点
  • 测试 VPC内网访问

image-20230530163702999

未连接VPN时,私有IP地址无法访问内网

image-20230530162101676

连接VPN时,私有IP地址可以访问内网

image-20230530160527082

image-20230530162330528

image-20230530160705444

完结🎉
云矩阵
关注
专栏目录
云计算是指利用互联网所提供的基础设施、网络服务和平台,实现数据中心的虚拟化、动态管理、自动化运维功能
AI天才研究院
09-02 3106
作者:禅与计算机程序设计艺术 1.简介 云计算是指利用互联网所提供的基础设施、网络服务和平台,实现数据中心的虚拟化、动态管理、自动化运维功能。传统的数据中心的资源由专业IT人员手动管理,而云计算则让硬件资源可按需弹性扩展、弹性迁移、自动化伸缩、降低成本。2017年3月份,IDC报告称云计算将会成为下一个
AWS亚马逊服务器搭建VPN
bobociel的博客
03-06 5026
ip range后面x.x.x.x-x.x.x.x处改成可使用的服务器内网ip地址段,如果你的服务器内网ip是 10.12.13.10,那此处你可填写 10.12.13.11-10.12.13.50,修改ip的末尾数字即可(不要把自己的ip段包含在内)第三项、倒数第一项和第二项不用去理会,如果你的结果和我一样了,恭喜Ipsec的配置算是完成了,如果没有请仔细检查上述配置哪边没有配好。⚠️这份文件x.x.x.x处改成你的服务器内网地址,PSK后修改你自己的预共享密钥(需记住),后续连接过程中要用。
AWS搭建免费OPEN VPN搭建
止境博客
02-05 1832
以上就是今天要讲的内容,本文介绍了windows环境下openvpn的搭建,后续其他平台的搭建需要大家探索。装配完毕后我们可以看到在root目录下生成了对应的xxx.ovpn文件(xxx就是上边输入的名字)点击文件,打开文件树,我们将刚生成的xxx.ovpn下载到本地(需要登录root不然没有权限)点击进入config文件夹,将我们在4.9步骤,服务器下载好的xxx.ovpn放进去。在连接服务器的时候注意root账号连接,否则会提示无权限的问题。选择完后回车,会提示选择端口号1194,输入1194后回车。
VPN原理入门(非常详细)从零基础入门到精通,看完这一篇就够了
最新发布
2401_86436868的博客
09-12 1840
最近在工作中遇到 VPN 的相关问题,之前一直对 VPN 的原理存在一些疑惑,借此机会学习一下 VPN 的原理以及进行实现验证。由于 VPN 在不同系统下的实现方式不同,为了便于学习和理解,这里我们选择Linux环境,我本地测试环境使用的是。本文从 TUN/TAP 出发,逐步理解 VPN 中的技术细节;并结合simpletun源码,进行 VPN 的原理验证。本文从 VPN 原理出发,介绍了关键作用的 TUN/TAP 虚拟网络设备,并结合simpletun。
AWS学习笔记
bsnow1212的博客
02-07 460
AWS学习笔记(一)入门资源 刚刚开始接触AWS,有许多内容还不太了解,作为入门小白菜,我在网络上一番搜索,本着能不花钱就不花钱,能看中文就不费脑英文的原则,找到一个初始介绍网站,我觉得还不错。 https://iteablue.com/course/introduction-to-aws> 目前来说,我觉得入门初步了解一些专属名词,这个视频还是不错的,当然它还是免费的。同时网站上还提供...
AWS学习笔记1
weixin_43258559的博客
05-14 689
需要熟练掌握 Amazon EC2(elastic computer cloud)计算 Amazon VPC网络 Amazon S3(simple storage services)存储 Amazon EBS存储 Amazon RDS数据库 Amazon DynamoDB数据库 Elastic Load Balancing网络 Amazon CloudWatch 监控(部署&管理) A...
aws基础架构学习笔记
shiter编写程序的艺术
10-24 5144
文章大纲 Aws 学习笔记 Aws架构中心: https://aws.amazon.com/cn/architecture/?solutions-all.sort-by=item.additionalFields.sortDate&solutions-all.sort-order=desc&whitepapers-main.sort-by=item.additionalField...
AWS Technical Essentials + Architecting on AWS 培训概要笔记
Zcoder`Blog
04-29 6069
目录 一、AWS简介与历史 二、AWS Region、AZ、Edge Location 三、安全性、身份和访问管理IAM 1. AWS CloudTrail 四、AWS存储服务 1. Amazon S3 2. Amazon EBS 3.Amazon EFS 4.EC2实例存储 五、AWS数据库服务 1. 区别SQL和NoSQL数据库 2. Amazon RDS 3....
AWS学习笔记——Chapter3 Virtual Private Cloud
坚果壳的学习之旅
11-07 766
Virtual Private Cloud You can do the following things by having a virtual private network: ·       Have some of the applications running in the cloud within VPC and some ...
云计算与大数据技术 第一章
weixin_66185483的博客
01-12 4856
云计算的概念: 云计算(Cloud Computing)是基于互联网的相关服务的增加,使用和交付模式,通常涉及互联网来提供动态易扩展且常为虚拟化的资源,是并行计算(Parallel Computing),分布式计算(
aws-vpnautoconf:在VPC端创建vpn隧道,提取配置,将配置应用到Strongswan端点并启动隧道
05-14
aws-vpnautoconf 在VPC端创建vpn隧道,提取配置,将配置应用到Strongswan端点并启动隧道。
AWS SAP-C02教程6--安全_aws sap c02题库,GitHub标星1w的网络安全架构师必备技能
m0_60635609的博客
04-07 1167
AWS Config主要是配置管理,OpsWorks也有更新补丁功能,是Puppet 或 Chef迁移到AWS云上使用,但是AWS如果不强调Puppet 或 Chef迁移,补丁修复建议都是使用Systems Manager(https://docs.aws.amazon.com/zh_cn/opsworks/latest/userguide/workingsecurity-updates.html)。简单理解就是一个可以对你的EC2、本地数据中心的服务器的操作系统做管理的平台。薪资区间6k-15k。
小白记录amazon免费服务器部署openvpn成功经历
weixin_44294359的博客
05-02 1970
小白记录amazon免费服务器部署openvpn成功经历
AWS 认证考试系列 - 知识点 - 虚拟私有网关介绍
customservice的博客
05-18 220
VPG通过VPN链接和AWS Direct Connect连接建立连接,可用于跨VPC连接,以及使用VPN连接与本地数据中心之间的连接。灵活性: AWS VPG支持多种连接选项,包括VPN连接和AWS Direct Connect连接,可以根据业务需求和预算选择不同的连接类型。AWS VPG提供了一种安全、高效、灵活和易于管理的方式,连接Amazon VPC网络与其他网络,并建立可靠的和可扩展的连接。可伸缩性: AWS VPG可无缝扩展,可以轻松连接更多的VPC和其他网络,可以满足不断增长的业务需求。
AWS学习笔记——Chapter1 Overview
坚果壳的学习之旅
11-01 1656
学习AWS Certified Solutions Architect Associate All-in-One Exam Guide (Exam SAA-C01) Overview 1.    3 Models of Cloud Computing (1)  Iaas (Infrastructure as a Service) Provide the f...
AWS笔记
love_THL的博客
05-12 1097
是一种高可用、高扩展性的云DNS服务。是一项易于使用的服务,用于在熟悉的服务器(例如 Apache 、Nginx、Passenger 和 IIS )上部署和扩展使用 Java、.NET、PHP、Node.js、Python、Ruby、GO 和 Docker 开发的 Web 应用程序和服务。你可以在自己的两个VPC之间建立对等连接,也可以在自己的VPC与其他AWS账号的VPC之间建立对等连接,还可以在位于不同区域的VPC之间建立对等连接(在2017年11月之前VPC Peering还不支持跨区域的连接呢)。
AWS SAA 学习笔记(6.13)
星宇_大佬养成时的博客
06-13 486
AWS SAA 学习笔记(6.13)
AWS学习笔记-DB小结
weixin_43394724的博客
09-01 1064
正确选择数据库: 工作负载平衡?还是读量大?写量大? 吞吐量,是无序波动还是可预测? 要存储多少数据,需要多长时间?平均对象大小 数据持久性要求 延迟要求 数据模型 强模式或灵活模式,SQL或NoSQL 许可证费用 Database types which are supported by AWS: Relational Database RDS Postgres MySQL MariaDB Orac
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云矩阵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值