クライアントがネットワークリソースにアクセスできるように、AWS Client VPN エンドポイントと仮想プライベートネットワーク (VPN) セッションを確立できるようにする必要があります。ターゲットネットワークをクライアント VPN エンドポイントに関連付けたいと考えています。
簡単な説明
ターゲットネットワークは、仮想プライベートクラウド (VPC) 内のサブネットです。サブネットをクライアント VPN エンドポイントに関連付けると、クライアントは VPN セッションを確立できます。複数のサブネットを 1 つのクライアント VPN エンドポイントに関連付けることができます。すべてのサブネットは同じ VPC からのものでなければなりません。
重要:
- クライアントは、ターゲットネットワークをクライアント VPN エンドポイントに関連付けた後にのみ、クライアント VPN エンドポイントへの VPN 接続を確立できます。
- クライアント VPN エンドポイントとの VPN セッションを確立するには、単一のターゲットネットワークを関連付けます。冗長性を確保するには、2 つの異なるアベイラビリティーゾーンから少なくとも 2 つのターゲットネットワークを関連付けることがベストプラクティスです。
- ターゲットとして関連付けるサブネットには、少なくとも /27 ビットマスク (192.168.0.0/27 など) の CIDR ブロックが必要です。また、サブネットには少なくとも 8 つの使用可能な IP アドレスが必要です。
- サブネットをクライアント VPN エンドポイントに関連付けることができます。次に、関連付けられたサブネットがプロビジョニングされている VPC のローカルルートが、クライアント VPN エンドポイントのルートテーブルに自動的に追加されます。
解決策
ターゲットネットワークをクライアント VPN エンドポイントに関連付ける
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。
- ターゲットネットワークに関連付けるクライアント VPN エンドポイントを選択します。
- [関連付け] を選択し、次に [ターゲットネットワーク関連付け] を選択します。
- [VPC] では、サブネットがプロビジョニングされている VPC を選択します。
- [関連付けるサブネット] では、クライアント VPN エンドポイントに関連付けるサブネットを選択します。
- [関連付ける] を選択します。
セキュリティグループをターゲットネットワークに適用する
1 つ目のターゲットネットワークをクライアント VPN エンドポイントに関連付けると、VPC のデフォルトのセキュリティグループが関連付けられたサブネットに適用されます。1 つ目のターゲットネットワークを関連付けたら、クライアント VPN エンドポイントに適用されるセキュリティグループを変更できます。必要なセキュリティグループルールは、設定する VPN アクセスのタイプによって異なります。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。
- セキュリティグループを適用するクライアント VPN エンドポイントを選択します。
- [セキュリティグループ] を選択し、現在のセキュリティグループを選択します。
- [セキュリティグループの適用] を選択します。
- 新しいセキュリティグループを選択し、[セキュリティグループの適用] を選択します。
(オプション) ターゲットネットワークとクライアント VPN エンドポイントの関連付けを解除する
クライアント VPN エンドポイントにクライアントが接続されていないことを確認したら、不要なターゲットネットワークの関連付けを解除します。クライアントがクライアント VPN エンドポイントへの接続を確立するには、少なくとも 1 つのターゲットネットワークが必要です。すべてのターゲットネットワークの関連付けを解除すると、クライアント VPN エンドポイントは、ターゲットネットワークを関連付けたときに確立された自動的に作成されたルートを削除します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[クライアント VPN エンドポイント] を選択します。
- ターゲットネットワークが関連付けられているクライアント VPN エンドポイントを選択します。
- [関連付け] を選択します。
- 関連付けを解除するターゲットネットワークを選択します。
- [関連付け解除] を選択し、[はい、関連付けを解除します] を選択します。