AWS Client VPN

首先，AWS Client VPN 是AWS基于客户端的托管 VPN 服务，借助AWS Client VPN，您可以使用基于 OpenVPN 的 VPN 客户端，从任何位置访问您的AWS私有子网的资源，让您能够安全地 连接AWS 资源和本地网络中的资源。

我们来看一下，在AWS创建好Client VPN终端节点并配置完成后，客户端比如我的笔记本电脑，就可以使用 OpenVPN的客户端连接到Client VPN终端节点，然后就可以在本地笔记本电脑上使用VPN通道，通过AWS子网的私有IP地址访问子网的资源。

当然创建的VPN连接是使用的Internet网络，一旦创建了VPN连接，本地的笔记本和VPC子网之间就可以通过私有IP，通过VPN通道安全的进行通信，这也是建立VPN的主要的作用。比如关联的子网有一台EC2实例，我们就可以在本地的笔记本电脑上使用EC2实例的私有IP地址通过VPN访问该EC2实例。

在这个架构中，我们可以将VPC通过AWS Site-to-Site VPN和本地数据中心的网络建立连接，这样的话，当我们的笔记本电脑拨通VPN连接后，笔记本电脑就可以直接通过本地数据中心资源的私有IP地址访问本地数据中心的资源。

好的，基本上对于认证考试来讲，AWS Client VPN的内容了解这么多就基本上足够了，在实际的组织中，使用AWS Client VPN的场景还是比较多的，如果您对这部分感兴趣，可以自己做下实验亲自搭建一下。

软件VPN

接下来我们讨论下软件VPN，前面我们讨论过AWS Site-to-Site VPN，AWS Client VPN ，这些都是AWS的托管服务，由AWS管理，我们只管拿来配置好使用即可。

当然您也可以不使用这些托管服务，在本地和EC2上自行搭建软件VPN。如果要自己搭建就要负责所有的配置和管理工作，比如VPN服务器的带宽是否足够，搭建VPN的EC2的安全性，高可用性等等。

我们来看一下。

在VPC的公有子网的EC2，以及本地数据中心的服务器上搭建软件VPN，并建立VPN连接之后，就可以实现本地数据中心以及VPC的私有子网中的实例间通过私有IP地址进行通信。

软件VPN这种方式在设置和路由配置等方面，我们有更多的控制权；但是另一方面如上所述，自行搭建的软件VPN服务器，需要我们负责所有的管理工作，比如带宽是否足够，冗余，VPN服务器的高可用性以及故障迁移等管理工作，会增加很多的管理任务。

多个VPC的VPN连接

那如果有多个VPC，本地数据中心将如何与这些VPC建立VPN连接呢？

AWS建议为每个用户的VPC创建单独的VPN连接。

比如本地数据中心需要和左边的VPC假设是VPC 1建立VPN通信，那我们就会需要创建客户网关、VGW，为其创建一个AWS Site-to-Site VPN；那如果我们有第二个VPC，就需要在为其创建一个AWS Site-to-Site VPN，如果还有第三个VPC，同样要在为其创建一个AWS Site-to-Site VPN。

在这种情况下，随着VPC越来越多，VPN的配置会变得越来越复杂，越来越难以维护，有两种解决方案：

如果您有很多个VPC，AWS建议使用Direct connect，然后使用Direct connect gateway来实现上述的需求。Direct connect的内容我们后面的课时会讨论。
除了这种方式，我们还可以单独创建一个共享服务的VPC。

共享服务VPC

我们来一起来看一下共享服务的VPC。

首先，创建一个用于放置共享服务的VPC。

将这个VPC与本地数据中心之间创建一个AWS Site-to-Site VPN，这样本地和共享服务的VPC就可以通过VPN连接通信了。

然后，我们就可以将本地数据中心的需要共享的服务、应用程序、数据库等等，把这些都在共享服务的VPC做个副本；或者在共享服务VPC部署一批代理服务，将其他VPC直接访问本地的请求，通过代理服务进行代理。

通过这两种方式，让这个共享服务的VPC，有本地数据中心需要共享的所有副本，提供给其他VPC访问；或者通过部署的代理服务，将其他VPC的访问通过代理服务代理至本地数据中心。

这样的话，其他的VPC如果需要访问本地的资源，比如VPC1 、VPC2、VPC3，只需要将这些VPC分别和共享服务VPC创建VPC对等连接；而我们又在共享服务VPC中，通过Site-to-Site VPN复制了本地数据中心的服务，或者架设了代理，所以，VPC1、 VPC2 和VPC3 ，就可以通过访问共享服务VPC访问本地数据中心的资源。

这种在一个VPC中通过复制本地数据中心的数据或服务，或者通过架设代理服务，提供给其他VPC共享资源的方式，是共享服务VPC的实现理念。

共享服务VPC的优势是，并不需要为本地数据中心和所有的VPC都创建VPN连接，只需要在共享服务VPC和本地创建一个VPN连接，然后其他VPC通过与共享服务VPC建立对等连接的方式来实现访问。

然后需要注意的是，在这个架构中，VPC1 VPC2 和VPC3 无法直接与本地数据中心进行通信，因为我们前面讲过VPC对等连接是不支持路由传递的。

其他解决方案（Transit VPC 和 Transit gateway）

要实现多VPC的VPN连接需求，还有一种解决方案是通过Transit VPC。
Transit VPC的内容我们会在后面的课时讨论，我们现在先大致了解下即可。

Transit VPC 是通过在VPC的EC2上自行搭建软件的VPN，然后将所有其他的VPC以及本地数据中心都通过VPN建立连接。通过这种方式建立的连接，路由是可传递的，这也就是说可以通过这种方式打通VPC间，以及VPC和本地数据中心的通信。

Transit VPC 的这种方式相比前面讲的共享服务VPC的优点在于，如果使用共享服务VPC的方式，如果有一些本地的服务或者程序不是非常容易配置复制，那就没有办法在共享服务VPC中提供给其他VPC进行访问，而在这种情况下使用Transit VPC就会非常的容易和方便。

这里需要注意的一点是，不能使用VPC对等连接，因为VPC对等连接不支持路由传递，要建立VPN连接。

当然，我们还可以使用Transit gateway。

可以通过Transit gateway将这一切都连接起来，Transit gateway是实现起来更简单的方式，我们会在后面的课时单独讨论这部分的内容。

好的，以上就是我们今天的课程内容，对于认证考试，你需要熟悉这个课时讨论的这些架构，了解不同架构，不同解决方案的优缺点以及适用的不同的场景，因为在认证考试中会有一些考题会涉及到这些架构的内容。

希望本课时能够给大家带来帮助。

希望此系列教程能为您通过 AWS解决方案架构师认证 Professional 认证考试带来帮助，如您有任何疑问，请联系我们：

• 如果您想获取本课程全部课时，请扫PPT的二维码加入。
• AWS爱好者的网址是www.iloveaws.cn，认证视频课程，免费的认证考试仿真题以及认证课程文章，都可以在网站找得到
• 可以通过扫码加入【AWS爱好者】微信公众号，查看原创的AWS知识点相关文章。
• 加入【AWS爱好者】微信群，和其他同学一起备考，以及探讨交流AWS相关知识。

我们今天的视频课程就到这里，感谢大家的观看，我们下一课程再见。