本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Site-to-Site VPN 隧道端点替换
<a name="endpoint-replacements"></a>

您的 Site-to-Site VPN 连接由两个 VPN 隧道组成，用于实现冗余。有时，在 AWS 执行隧道更新或修改 VPN 连接时，会替换一个或两个 VPN 隧道端点。在隧道端点替换期间，在预置新的隧道端点时，通过该隧道的连接可能会中断。

**Topics**
+ [客户发起的端点替换](#endpoint-replacements-for-vpn-modifications)
+ [AWS 托管式端点替换](#endpoint-replacements-for-aws-updates)
+ [AWS Site-to-Site VPN 隧道端点生命周期控制](tunnel-endpoint-lifecycle.md)

## 客户发起的端点替换
<a name="endpoint-replacements-for-vpn-modifications"></a>

在您修改 VPN 连接的以下组件时，将替换隧道端点中的一个或两个。


| 修改 | API 操作 | 隧道影响 | 
| --- | --- | --- | 
| [修改 VPN 连接的目标网关](modify-vpn-target.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | 在预置新的隧道终端节点时，两个隧道都不可用。 | 
| [更改 VPN 连接的客户网关](change-vpn-cgw.md) | [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html) | 在预置新的隧道终端节点时，两个隧道都不可用。 | 
| [修改 VPN 连接选项](modify-vpn-connection-options.md) | [ModifyVpnConnectionOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnectionOptions.html) | 在预置新的隧道终端节点时，两个隧道都不可用。 | 
| [修改 VPN 隧道选项](modify-vpn-tunnel-options.md) | [ModifyVpnTunnelOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnTunnelOptions.html) | 修改的隧道在更新期间不可用。 | 

## AWS 托管式端点替换
<a name="endpoint-replacements-for-aws-updates"></a>

AWS Site-to-Site VPN 是一项托管服务，会定期将更新应用到您的 VPN 隧道端点。进行这些更新的原因有多种，包括以下几点：
+ 应用常规升级，例如补丁、恢复能力改进和其他增强功能
+ 停用底层硬件
+ 当自动监控确定 VPN 隧道端点运行状况不佳时

AWS 一次将隧道端点更新应用到您的 VPN 连接的一个隧道。在隧道端点更新期间，您的 VPN 连接可能会出现短暂的冗余丢失。因此，在 VPN 连接中配置两个隧道以实现高可用性非常重要。

# AWS Site-to-Site VPN 隧道端点生命周期控制
<a name="tunnel-endpoint-lifecycle"></a>

隧道端点生命周期控制可以控制端点更换时间表，并且可以帮助最大限度地减少 AWS 托管隧道端点更换期间的连接中断。借助此功能，您可以选择在最适合您业务的时间接受隧道端点的 AWS 托管更新。如果您有短期业务需求或每个 VPN 连接只能支持单个隧道，请使用此功能。

**注意**  
在极少数情况下，即使启用了隧道端点生命周期控制功能，也 AWS 可能会立即对隧道端点应用关键更新。

**Topics**
+ [隧道端点生命周期控制的工作原理](#how-elc-works)
+ [启用 隧道端点生命周期控制](enable-elc.md)
+ [验证是否启用了 隧道端点生命周期控制](view-elc-status.md)
+ [检查是否有可用更新](view-elc-updates.md)
+ [接受维护更新](accept-update.md)
+ [关闭 隧道端点生命周期控制](turn-elc-off.md)

## 隧道端点生命周期控制的工作原理
<a name="how-elc-works"></a>

为 VPN 连接中的各个隧道开启隧道端点生命周期控制功能。可以在创建 VPN 时启用此功能，也可以通过修改现有 VPN 连接的隧道选项来启用此功能。

启用隧道端点生命周期控制后，您将通过两种方式进一步了解即将到来的隧道维护事件：
+ 您将收到即将更换隧道端点的 AWS Health 通知。
+ 使用 [get-vpn-tunnel-replacement-](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) AWS CLI status命令可以在 AWS 管理控制台 或中查看待**维护的状态，以及**应用后自动**维护和上次维护应用**的时间戳。

当隧道端点维护可用时，在**之后自动应用维护**时间戳之前，您将有机会在方便的时间接受更新。

如果您没有在**维护自动应用日期之后应用**更新，则 AWS 将在不久之后自动执行隧道端点更换，这是常规维护更新周期的一部分。

# 启用 AWS Site-to-Site VPN 隧道端点生命周期控制
<a name="enable-elc"></a>

可以在现有或新的 VPN 连接上启用端点生命周期控制。这可以使用 AWS 管理控制台 或来完成 AWS CLI。

**注意**  
原定设置情况下，当您为现有 VPN 连接启用该功能时，将同时发起隧道端点替换。如果您想开启该功能，但不想立即发起隧道端点替换，则可以使用**跳过隧道替换**选项。

------
#### [ Existing VPN connection ]

以下步骤演示如何在现有 VPN 连接上启用隧道端点生命周期控制。

**要启用隧道端点生命周期控制，请使用 AWS 管理控制台**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在左侧导航栏中，选择 **Site-to-Site VPN 连接**。

1. 在 **VPN 连接**下选择适当的连接。

1. 依次选择**操作**和**修改 VPN 隧道选项**。

1. 通过选择适当的 **VPN 隧道外部 IP 地址**，选择要修改的特定隧道。

1. 在**隧道端点生命周期控制**下，选中**启用**复选框。

1. （可选）选择**跳过隧道替换**。

1. 选择**保存更改**。

**要启用隧道端点生命周期控制，请使用 AWS CLI**  
使用[modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)命令开启隧道端点生命周期控制。

------
#### [ New VPN connection ]

以下步骤演示如何在创建新的 VPN 连接期间启用隧道端点生命周期控制。

**要在创建新 VPN 连接期间启用隧道端点生命周期控制，请使用 AWS 管理控制台**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在导航窗格中，选择 **Site-to-Site VPN Connections**。

1. 选择**创建 VPN 连接**。

1. 在**隧道 1 选项**和**隧道 2 选项**所对应的部分中，在**隧道端点生命周期控制**下，选择**启用**。

1. 选择 **Create VPN Connection**（创建 VPN 连接）。

**要在创建新 VPN 连接期间启用隧道端点生命周期控制，请使用 AWS CLI**  
使用[create-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpn-connection.html)命令开启隧道端点生命周期控制。

------

# 验证 AWS Site-to-Site VPN 隧道端点生命周期控制是否已启用
<a name="view-elc-status"></a>

您可以使用 AWS 管理控制台 或 CLI 验证是否在现有 VPN 隧道上启用了隧道端点生命周期控制。
+ 如果禁用了隧道端点生命周期控制，并且您希望启用它，请参阅[启用 隧道端点生命周期控制](enable-elc.md)。
+ 如果启用了隧道端点生命周期控制，并且您希望禁用它，请参阅[关闭 隧道端点生命周期控制](turn-elc-off.md)。

**要验证是否启用了隧道端点生命周期控制，请使用 AWS 管理控制台**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在左侧导航栏中，选择 **Site-to-Site VPN 连接**。

1. 在 **VPN 连接**下选择适当的连接。

1. 选择**隧道详细信息**选项卡。

1. 在隧道详细信息中，查找**隧道端点生命周期控制**，它将报告该功能是**启用**还是**禁用**。

**要验证是否启用了隧道端点生命周期控制，请使用 AWS CLI**  
使用[describe-vpn-connections](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpn-connections.html)命令验证隧道端点生命周期控制是否已启用。

# 检查可用的 AWS Site-to-Site VPN 隧道更新
<a name="view-elc-updates"></a>

启用隧道端点生命周期控制功能后，您可以使用 AWS 管理控制台 或 CLI 查看 VPN 连接是否有可用的维护更新。检查可用的 Site-to-Site VPN 隧道更新不会自动下载和部署更新。您可以选择何时部署。有关下载和部署更新的步骤，请参阅[接受维护更新](accept-update.md)。

**要检查可用的更新，请使用 AWS 管理控制台**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在左侧导航栏中，选择 **Site-to-Site VPN 连接**。

1. 在 **VPN 连接**下选择适当的连接。

1. 选择**隧道详细信息**选项卡。

1. 查看**待维护**列。状态将为**可用**或**无**。

**要检查可用的更新，请使用 AWS CLI**  
使用 [get-vpn-tunnel-replacement-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-vpn-tunnel-replacement-status.html) 命令检查是否有可用的更新。

# 接受 AWS Site-to-Site VPN 隧道维护更新
<a name="accept-update"></a>

当有维护更新可用时，您可以使用 AWS 管理控制台 或 CLI 接受该更新。您可以选择在方便的时间接受 Site-to-Site VPN 隧道维护更新。在您接受维护更新后，系统便会部署该更新。

**注意**  
如果您不接受维护更新， AWS 将在常规维护更新周期中自动部署该更新。

**要接受可用的维护更新，请使用 AWS 管理控制台**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在左侧导航栏中，选择 **Site-to-Site VPN 连接**。

1. 在 **VPN 连接**下选择适当的连接。

1. 选择**操作**，然后选择**替换 VPN 隧道**。

1. 通过选择适当的 **VPN 隧道外部 IP 地址**，选择要替换的特定隧道。

1. 选择**替换**。

**要接受可用的维护更新，请使用 AWS CLI**  
使用[replace-vpn-tunnel](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-vpn-tunnel.html)命令接受可用的维护更新。

# 关闭 AWS Site-to-Site VPN 隧道端点生命周期控制
<a name="turn-elc-off"></a>

如果您不想再使用隧道终端节点生命周期控制功能，则可以使用 AWS 管理控制台 或将其关闭 AWS CLI。当您关闭此功能时， AWS 将定期自动部署维护更新，这些更新可能会在您的工作时间内发生。为避免任何业务影响，我们强烈建议您在 VPN 连接中配置这两个隧道以实现高可用性。

**注意**  
虽然有可用的待维护，但在关闭该功能时无法指定**跳过隧道替换**选项。您可以随时关闭该功能，而无需使用**跳过隧道替换**选项，但 AWS 会通过立即启动隧道端点替换来自动部署可用的待维护更新。

**要关闭隧道端点生命周期控制，请使用 AWS 管理控制台**

1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。

1. 在左侧导航栏中，选择 **Site-to-Site VPN 连接**。

1. 在 **VPN 连接**下选择适当的连接。

1. 依次选择**操作**和**修改 VPN 隧道选项**。

1. 通过选择适当的 **VPN 隧道外部 IP 地址**，选择要修改的特定隧道。

1. 要关闭隧道端点生命周期控制，请在**隧道端点生命周期控制**下，清除**启用**复选框。

1. （可选）选择**跳过隧道替换**。

1. 选择**保存更改**。

**要关闭隧道端点生命周期控制，请使用 AWS CLI**  
使用[modify-vpn-tunnel-options](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-tunnel-options.html)命令关闭隧道端点生命周期控制。