Comments 4
Спасибо, статья хорошо объясняет процесс.
Однако... Это тот самый AWS Client VPN, который стоит каких-то конских денег? Мне кажется, этих денег хватит чтобы самому поставить 3 не совсем слабых EC2 инстанса для OpenVPN в кластере и еще доплачивать админу, чтобы следил за ними.
Вдобавок вы будете платить еще и за сервис Organization.
То что это дорого, безусловно. Как и многие другие сервисы AWS.
Можно вообще не париться и поставить pritunl на виртуалке и его менеджить, из моего опыта там оно работает себе и кушать не просит (правда никогда не пробовал, умеет ли оно в ingress authorization, если да, то вообще круто).
Описанный вариант с AWS VPN для небольшой команды, не очень частого использования VPN, но так чтобы один раз настроить и забыть.
AWS Client VPN, который стоит каких-то конских денег?
Большой плюс - интеграция с IAM.
Кстати, подозреваю что кластер OpenVPN потребует платный OpenVPN AS.
вы будете платить еще и за сервис Organization
Сам по себе Organization бесплатен (AFAIK)
(ошибся веткой для комментария)
Большой плюс - интеграция с IAM.
Да, если у вы хотите именно через IAM всю организацию завести и поддерживать там юзеров - то да, выглядит логично и, наверное, лучше предложенного решения я ничего бы и не нашел.
Но, например, у моего клиента инфраструктура в AWS, а пользователи (10-15 чел) и почта - в GMail. Поставили OpenVPN (без AS) на почти самый дешевый EC2 сервер и через него ходим. SSO на внутренние сервисы пришлось приделать руками, но в итоге все равно дешевле. Переводить или зеркалировать структуру юзеров в IAM я смысла не вижу.
OpenVPN AS - при более 2 пользователях уже платный, так что разницы нет.
Сам по себе Organization бесплатен (AFAIK)
Да, тут вы тоже правы. Мне казалось что за него тоже берется подписка. Но AWS найдет способы навязать вам сервисы вроде Workdocs если у вас все через IAM.
Настройка AWS SSO с AWS Client VPN