AWS::EC2::ClientVpnEndpoint - AWS CloudFormation
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

AWS::EC2::ClientVpnEndpoint

指定客户端 VPN 终端节点。客户端 VPN 终端节点是您创建并配置以用于启用和管理客户端 VPN 会话的资源。它是终止所有客户端 VPN 会话的目标终端节点。

语法

要在 AWS CloudFormation 模板中声明此实体,请使用以下语法:

JSON

{ "Type" : "AWS::EC2::ClientVpnEndpoint", "Properties" : { "AuthenticationOptions" : [ ClientAuthenticationRequest, ... ], "ClientCidrBlock" : String, "ConnectionLogOptions" : ConnectionLogOptions, "Description" : String, "DnsServers" : [ String, ... ], "SecurityGroupIds" : [ String, ... ], "ServerCertificateArn" : String, "SplitTunnel" : Boolean, "TagSpecifications" : [ TagSpecification, ... ], "TransportProtocol" : String, "VpcId" : String, "VpnPort" : Integer } }

属性

AuthenticationOptions

有关要用于验证客户端的身份验证方法的信息。

必需:是

类型ClientAuthenticationRequest 的列表

Update requires: Replacement

ClientCidrBlock

从中分配客户端 IP 地址的 IPv4 地址范围(以 CIDR 表示法显示)。该地址范围不能与关联子网所在的 VPC 的本地 CIDR 重叠,也不能与手动添加的路由重叠。在创建客户端 VPN 终端节点后,无法更改 IP 地址范围。CIDR 块应该是 /22 或更高版本。

必需:是

类型:字符串

Update requires: Replacement

ConnectionLogOptions

有关客户端连接日志记录选项的信息。

如果您启用客户端连接日志记录,则有关客户端连接的数据将发送到 CloudWatch Logs 日志流。将记录以下信息:

  • 客户端连接请求

  • 客户端连接结果(成功和失败)

  • 客户端连接请求失败的原因

  • 客户端连接终止时间

必需:是

类型ConnectionLogOptions

Update requires: No interruption

Description

客户端 VPN 终端节点的简要描述。

必需:否

类型:字符串

Update requires: No interruption

DnsServers

有关要用于 DNS 解析的 DNS 服务器的信息。一个客户端 VPN 终端节点可以有最多两台 DNS 服务器。如果未指定 DNS 服务器,则将设备上配置的 DNS 地址用于 DNS 服务器。

必需:否

类型:字符串列表

Update requires: No interruption

SecurityGroupIds

要应用到目标网络的一个或多个安全组的 ID。您还必须指定包含安全组的 VPC 的 ID。

必需:否

类型:字符串列表

Update requires: No interruption

ServerCertificateArn

服务器证书的 ARN。有关更多信息,请参阅 AWS Certificate Manager 用户指南

必需:是

类型:字符串

Update requires: No interruption

SplitTunnel

指示是否在 AWS 客户端 VPN 终端节点上启用拆分隧道。

默认情况下,拆分隧道在 VPN 终端节点上处于禁用状态。

有关拆分隧道 VPN 终端节点的更多信息,请参阅 AWS 客户端 VPN 管理员指南中的拆分隧道 AWS 客户端 VPN 终端节点

必需:否

类型:布尔值

Update requires: No interruption

TagSpecifications

创建期间要应用于客户端 VPN 终端节点的标签。

必需:否

类型TagSpecification 的列表

Update requires: Replacement

TransportProtocol

VPN 会话所使用的传输协议。

默认值:udp

必需:否

类型:字符串

允许的值tcp | udp

Update requires: Replacement

VpcId

要与客户端 VPN 终端节点关联的 VPC 的 ID。如果未在请求中指定安全组 ID,则会应用 VPC 的默认安全组。

必需:否

类型:字符串

Update requires: No interruption

VpnPort

分配给客户端 VPN 终端节点的 TCP 和 UDP 流量的端口号。

有效值:443 | 1194

默认值: 443

必需:否

类型:整数

Update requires: No interruption

返回值

Ref

在将此资源的逻辑 ID 传递给内部 Ref 函数时,Ref 返回客户端 VPN 终端节点 ID。例如:cvpn-endpoint-1234567890abcdef0

For more information about using the Ref function, see Ref.

示例

创建客户端 VPN 终端节点

以下示例创建一个客户端 VPN 终端节点,该终端节点使用 Active Directory 身份验证并分配 10.0.0.0/22 CIDR 范围中的客户端 IP 地址。

YAML

myClientVpnEndpoint: Type: AWS::EC2::ClientVpnEndpoint Properties: AuthenticationOptions: - Type: "directory-service-authentication" ActiveDirectory: DirectoryId: d-926example ClientCidrBlock: "10.0.0.0/22" ConnectionLogOptions: Enabled: false Description: "My Client VPN Endpoint" DnsServers: - "11.11.0.1" ServerCertificateArn: "arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012" TagSpecifications: - ResourceType: "client-vpn-endpoint" Tags: - Key: "Purpose" Value: "Production" TransportProtocol: "udp"

JSON

"myClientVpnEndpoint": { "Type": "AWS::EC2::ClientVpnEndpoint", "Properties": { "AuthenticationOptions": [ { "Type": "directory-service-authentication", "ActiveDirectory": { "DirectoryId": "d-926example" } } ], "ClientCidrBlock": "10.0.0.0/22", "ConnectionLogOptions": { "Enabled": false }, "Description": "My Client VPN Endpoint", "DnsServers": [ "11.11.0.1" ], "ServerCertificateArn": "arn:aws:acm:us-east-1:111122223333:certificate/12345678-1234-1234-1234-123456789012", "TagSpecifications": [ { "ResourceType": "client-vpn-endpoint", "Tags": [ { "Key": "Purpose", "Value": "Production" } ] } ], "TransportProtocol": "udp" } }

另请参阅