为什么我会收到通知，说我的 AWS Site-to-Site VPN 连接的隧道端点正在被替换？

解决方法

Site-to-Site VPN 是一项完全托管的服务，由两条用于冗余的隧道组成。AWS 会定期对您的 Site-to-Site VPN 连接进行维护，并替换您的一个或两个 Site-to-Site VPN 隧道端点。更新隧道的原因有很多。其中包括端点升级、底层硬件更换、弹性改进和其他功能增强。AWS 一次将这些隧道更新应用到 Site-to-Site VPN 连接的一条隧道。

当 AWS 替换隧道端点时，如果隧道状态为“正常运行”，则状态更改为“关闭”。在 AWS 或从您的客户网关设备发起 IKE 协商之前，隧道将保持“关闭”状态。只有当隧道配置为使用 IKEv2 且启动操作为启动时，AWS 才会发起 IKE 协商以启动隧道。如果隧道配置为 IKEv1 或 IKEV2，但启动操作为添加，则替换端点后隧道将保持关闭状态。它会保持关闭状态，等待客户网关设备发起协商。

修改 Site-to-Site VPN 连接时，还会替换一个或同时替换两个隧道端点。无论您使用 AWS 管理控制台、AWS 命令行界面（AWS CLI）还是 SDK，都会发生这种情况。

配置高可用性的隧道

最佳做法是配置高可用性的隧道，以确保替换隧道时流量不会中断。此外，如果客户网关设备支持边界网关协议（BGP）路由，则最佳做法是使用边界网关协议（BGP）路由。BGP 协议提供强大的活跃度检测检查能力，可以帮助将流量自动转移到第二个 Site-to-Site VPN 隧道。如果您使用的是静态路由，那么可以考虑使用主动/主动设置。请注意，使用主动/主动设置客户网关设备上必须支持非对称路由。或者，使用主动/被动设置，然后在客户网关设备上配置运行状况检查，以便在失效转移时将流量转移到备用隧道。

为您的 PHD 通知添加联系人

替换隧道端点时，AWS 会向 PHD 和与您的账户关联的主电子邮件发送通知。要向您的 PHD 通知添加联系人，请参阅添加、更改或删除备用联系人和如何在 AWS 的账户相关邮件中抄送其他电子邮件地址？