Pourquoi ai-je reçu une notification m'informant que les points de terminaison du tunnel pour ma connexion AWS Site-to-Site VPN sont en cours de remplacement ?

Résolution

Le Site-to-Site VPN est un service entièrement géré qui se compose de deux tunnels à des fins de redondance. AWS effectue régulièrement la maintenance de votre connexion Site-to-Site VPN, et l'un ou les deux points de terminaison de votre tunnel Site-to-Site VPN sont remplacés. Les tunnels sont mis à jour pour plusieurs raisons. Cela inclut la mise à niveau des terminaux, le remplacement du matériel sous-jacent, l'amélioration de la résilience et d'autres améliorations. AWS applique ces mises à jour de tunnel à un tunnel de la connexion Site-to-Site VPN à la fois.

Lorsqu'AWS remplace le point de terminaison d'un tunnel, si l'état du tunnel était UP, il passe à DOWN. Le tunnel reste inactif jusqu'à ce que la négociation IKE soit initiée par AWS ou depuis votre appareil de passerelle client. AWS lance une négociation IKE pour faire apparaître le tunnel uniquement si le tunnel est configuré pour utiliser IKEv2 et que l'action de démarrage est Démarrer. Si le tunnel est configuré avec IKEv1 ou IKEV2 mais que l'action de démarrage est Ajouter, le tunnel reste inactif après le remplacement du point de terminaison. Il reste inactif en attendant la négociation depuis le dispositif de passerelle client.

Lorsque vous modifiez votre connexion Site-to-Site VPN, l'un ou les deux points de terminaison du tunnel sont également remplacés. Cela se produit que vous utilisiez la console de gestion AWS, l'interface de la ligne de commande AWS (AWS CLI) ou le SDK.

Configurez vos tunnels pour une haute disponibilité

Il est recommandé de configurer vos tunnels pour une haute disponibilité afin de garantir que le trafic n'est pas interrompu lors du remplacement des tunnels. Il est également recommandé d'utiliser le protocole de passerelle frontière (BGP) s'il est pris en charge par le dispositif de passerelle client. Le protocole BGP propose de robustes contrôles de détection du temps réel qui peuvent faciliter le basculement automatique du trafic vers le deuxième tunnel VPN de site à site. Si vous utilisez un routage statique, envisagez d'utiliser une configuration active/active. Notez que le routage asymétrique doit être pris en charge sur le dispositif de passerelle client avec une configuration active/active. Vous pouvez également utiliser une configuration active/passive, puis configurer des surveillances de l’état sur le dispositif de passerelle client pour faciliter le basculement du trafic vers le tunnel alternatif.

Ajoutez un contact pour vos notifications de doctorat

AWS envoie une notification au PHD et à l'adresse e-mail principale associée à votre compte lorsqu'un point de terminaison du tunnel est remplacé. Pour ajouter un contact à vos notifications PHD, consultez Ajouter, modifier ou supprimer des contacts alternatifs et Comment puis-je utiliser une autre adresse e-mail sur la correspondance liée à un compte envoyée par AWS ?