AWS VPN Site-to-Site 연결을 위한 터널 엔드포인트가 교체된다는 알림을 받은 이유는 무엇인가요?

해결 방법

Site-to-Site VPN은 이중화를 위한 두 개의 터널로 구성된 완전관리형 서비스입니다. 정기적으로, AWS는 Site-to-Site VPN 연결을 유지 관리하며 Site-to-Site VPN 터널 엔드포인트 중 하나 또는 둘 모두를 교체합니다. 터널이 업데이트되는 데에는 여러 가지 이유가 있습니다. 여기에는 엔드포인트 업그레이드, 기본 하드웨어 교체, 복원력 향상 및 기타 개선 사항이 포함됩니다. AWS는 이러한 터널 업데이트를 한 번에 Site-to-Site VPN 연결의 한 터널씩 적용합니다.

AWS가 터널 엔드포인트 교체 시, 터널 상태가 UP으로 되어 있으면 상태가 DOWN으로 변경됩니다. 이 터널은 AWS 또는 고객 게이트웨이 디바이스에서 IKE 협상을 시작할 때까지 DOWN 상태로 유지됩니다. AWS는 터널이 IKEv2를 사용하도록 구성되어 있고 시작 작업이 시작인 경우에만 터널을 가동하기 위한 IKE 협상을 시작합니다. 터널이 IKEv1 또는 IKEV2로 구성되어 있지만 시작 작업이 추가인 경우, 엔드포인트 교체 후에도 터널은이 다운 상태로 유지됩니다. 고객 게이트웨이 디바이스에서 협상이 보류되는 동안 다운 상태로 유지됩니다.

Site-to-Site VPN 연결을 수정하면 하나 또는 두 개의 터널 엔드포인트 역시 교체됩니다. 이는 AWS Management Console, AWS Command Line Interface(AWS CLI) 또는 SDK 중 어떤 것을 사용하든 발생합니다.

고가용성을 위한 터널 구성

터널 교체 시 트래픽이 중단되지 않도록 고가용성을 위한 터널을 구성하는 것이 가장 좋습니다. 또한 고객 게이트웨이 디바이스에서 지원하는 경우 Border Gateway Protocol(BGP) 라우팅을 사용하는 것이 가장 좋습니다. BGP 프로토콜은 두 번째 Site-to-Site VPN 터널로의 트래픽 자동 장애 조치를 지원할 수 있는 강력한 활성 감지 검사를 제공합니다. 정적 라우팅을 사용하는 경우 활성/활성 설정을 사용하는 것이 좋습니다. 활성/활성이 설정된 고객 게이트웨이 디바이스에서 비대칭 라우팅을 지원해야 한다는 점에 유의하십시오. 또는 활성/수동 설정을 사용한 다음 고객 게이트웨이 디바이스에 대한 상태 확인을 구성하여 트래픽이 대체 터널로 쉽게 장애 조치 되도록 할 수 있습니다.

PHD 알림을 받을 연락처 추가

터널 엔드포인트가 교체되면 AWS가 PHD와 계정에 연결된 기본 이메일로 알림을 보냅니다. PHD 알림에 연락처를 추가하려면 대체 연락처 추가, 변경 또는 제거 및 AWS에서 보내는 계정 관련 서신에 다른 이메일 주소를 참조하려면 어떻게 해야 하나요?를 참조하세요.