はじめに
AWS Client VPN 初心者が、Client VPNを理解するためWorkshop をやってみましたので、ご紹介します。
Client VPNについて理解したい場合は、下記のブログがわかりやすいです。
下記の記事は、Client VPNで作成する証明書について理解できます。
ハンズオンで理解できること
今回のハンズオン内容は、以下の通りです。
- リモート環境から、AWS Client VPN 接続を使って、VPC内へのリソースへアクセスする方法
- 認証に相互認証 (証明書ベース)を利用する方法
- 認証に Active Directory 認証 (ユーザーベース)を利用する方法
認証には、SAML認証もできますが、今回のハンズオンの対象外となります。
作成する構成
このハンズオンで作成する構成は、以下の2つです。
- パターン1 : 相互認証(証明書ベース)を利用した、シンプルなVPN接続環境
- パターン2 : Active Directory 認証(ユーザーベース)を利用した、シンプルなVPN接続環境
目次
- 01 はじめに
- ハンズオンの対象者と前提条件
- ハンズオンの目的
- 利用する AWS サービス
- 注意事項
- 02 AWS Client VPN の全体像
- 03 ハンズオン
- 共通設定
- VPCの作成
- EC2の作成
- ログの出力先の準備
- 証明書の作成
- パターン1 相互認証 (証明書ベース)
- VPNエンドポイントの作成
- VPN接続
- ログの確認
- まとめ
- パターン2 Active Directory 認証 (ユーザーベース)
- Directory Service の作成
- VPNエンドポイントの作成
- VPN接続
- ログの確認
- まとめ
- 共通設定
- 04 リソースの削除
- VPN エンドポイントの削除
- ACMに登録した証明書の削除
- Directory Service の削除
- ログの出力先の削除
- EC2 インスタンスの削除
- VPC の削除
- その他のリソースの削除
- 参考情報
- AWS Client VPN の料金
- FAQ-よくある質問
- 本ハンズオンの管理について
各章の感想やコメント
- 03-証明書の作成
$ ./easyrsa init-pki実行時、Type the word 'yes' to continue, or any other input to abort.と出力されますので、yesと入力します。
- 03-VPNエンドポイントの作成
- クライアント VPN エンドポイントの作成は、ステータスが
Availableになるまでに時間がかかりますので、待っている間に、先に進み、接続クライアントツールのインストールなどをしておくとよいです。 - VPNエンドポイントの作成すると、セキュリティグループは、defaultセキュリティグループが適用されている場合があります。
- 新たに作成するセキュリティグループを適用したい場合設定としては、インバウンドルールは、なし、アウトバウンドルールはすべてのトラフィックを許可する、とするとよいです
- クライアント VPN エンドポイントの作成は、ステータスが
- 03-ログの作成
- Client VPNのログは、VPC内ではなくクライアント VPN エンドポイントの接続ログということを理解できました
- そのため、ログをCloudWatch Logsに送信する際、VPCエンドポイントは不要ですね。
- Client VPNのログは、VPC内ではなくクライアント VPN エンドポイントの接続ログということを理解できました
- 03-ハンズオン
- パターン1のハンズオン終了後、パターン2を行う前に、パターン1で作成したクライアント VPN エンドポイントは削除しておきます
- 解説の日本語が自然で、操作画面のスクリーンショットも豊富にあるため、ハンズオンの内容がかなりわかりやすかったです!
最後に
今回は、Client VPNのWorkshopを体験しました。
解説も自然な日本語のため、Client VPNを理解しやすく、詰まることもありませんでしたので、おすすめのWorkshopです!
ぜひ試してみてください!
ちなみに、今回のハンズオンではなかった構成のうちClient VPNでインターネットへのアクセスやオンプレミスのネットワークへのアクセスなどは、ドキュメントにチュートリアル形式でありました。
こちらも分かりやすかったのでおすすめです。
11
