AWS VPN Site-to-Site 接続のトンネルエンドポイントが交換されたという通知が届いたのはなぜですか?

解決策

Site-to-Site VPN は、 2 つのトンネルで構成された冗長性を確保するためのフルマネージドサービスです。AWS は定期的に Site-to-Site VPN 接続のメンテナンスを行っており、それによりサイト間 VPN トンネルエンドポイントの一方または両方が交換されます。トンネルが更新される理由はいくつかあります。これには、エンドポイントのアップグレード、基盤となるハードウェアの交換、耐障害性の向上、機能強化などが含まれます。AWS は、これらのトンネル更新を Site-to-Site VPN 接続の 1 つのトンネルに一度に適用します。

AWS がトンネルエンドポイントを置き換えるとき、トンネルのステータスが UP の場合、ステータスは DOWN に変わります。トンネルは、AWS またはカスタマーゲートウェイデバイスから IKE ネゴシエーションが開始されるまで、ダウンしたままになります。AWS は、トンネルが IKEv2 を使用するように設定されているので、起動アクションが **[開始] ** である場合にのみ、IKE ネゴシエーションを開始してトンネルを起動します。トンネルが IKEv1 または IKEV2 で設定されていても、起動アクションが [追加] の場合、エンドポイントを交換してもトンネルは停止したままになります。カスタマーゲートウェイデバイスからのネゴシエーションが行われるまで、ダウンしたままになります。

サイト間 VPN 接続を変更すると、一方または両方のトンネルエンドポイントも置き換えられます。これは、AWS マネジメントコンソール、AWS コマンドラインインターフェイス (AWS CLI) 、または SDK のいずれを使用する場合でも発生します。

高可用性を実現するようにトンネルを設定

トンネルを交換してもトラフィックが中断されないよう、トンネルを高可用性に設定するのがベストプラクティスです。また、カスタマーゲートウェイデバイスでサポートされている場合は、ボーダーゲートウェイプロトコル (BGP) ルーティングを使用するのがベストプラクティスとなります。BGP プロトコルには、2 番目の Site-to-Site VPN トンネルへのトラフィックの自動フェールオーバーに役立つ堅牢なライブネス検出チェック機能を備わっています。静的ルーティングを使用している場合は、アクティブ/アクティブ設定の使用を検討してください。アクティブ/アクティブ設定のカスタマーゲートウェイデバイスでは、非対称ルーティングがサポートされている必要があることに注意してください。または、アクティブ/パッシブ設定を使用してからカスタマーゲートウェイデバイスのヘルスチェックを設定すれば、代替トンネルへのトラフィックのフェールオーバーが容易になります。

PHD 通知の連絡先を追加

トンネルエンドポイントが置き換えられると、AWS は PHD とアカウントに関連付けられているプライマリ E メールに通知を送信します。PHD 通知に連絡先を追加するには、「代替連絡先の追加、変更、削除」および「AWS のアカウントに関する通知で、別の Eメールアドレスを CC する方法を教えてください」を参照してください。