本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 修改 AWS Site-to-Site VPN 连接的目标网关
您可以修改 AWS Site-to-Site VPN 连接的目标网关。以下迁移选项可用:
+ 现有虚拟私有网关到中转网关
+ 到另一个虚拟专用网关的现有虚拟专用网关
+ 现有中转网关到另一个中转网关
+ 现有中转网关到虚拟私有网关
修改目标网关后,在我们配置新的终端节点期间,您的 Site-to-Site VPN 连接将在短时间内暂时不可用。
以下任务可帮助您完成迁移到新网关的过程。
**Topics**
+ [步骤 1:创建新的目标网关](#step-create-gateway)
+ [步骤 2:删除您的静态路由(有条件)](#step-update-staic-route)
+ [步骤 3:迁移到新网关](#step-migrate-gateway)
+ [步骤 4:更新 VPC 路由表](#step-update-routing)
+ [步骤 5:更新目标网关路由(有条件)](#step-update-transit-gateway-routing)
+ [步骤 6:更新客户网关 ASN(有条件)](#step-update-customer-gateway-asn)
## 步骤 1:创建新的目标网关
在执行向新目标网关的迁移之前,您必须先配置新的网关。有关添加虚拟专用网关的信息,请参阅[创建虚拟专用网关](SetUpVPNConnections.md#vpn-create-vpg)。有关添加中转网关的更多信息,请参阅 *Amazon VPC 中转网关* 中的[创建中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html#create-tgw)。
如果新的目标网关是传输网关,请将 VPCs 连接到传输网关。有关 VPC 挂载的信息,请参阅 *Amazon VPC 中转网关* 中的 [VPC 的中转网关挂载](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html)。
在将目标从虚拟私有网关修改为中转网关时,您可以选择将中转网关 ASN 设置为与虚拟私有网关 ASN 相同的值。如果您选择使用其他 ASN,则必须将客户网关设备上的 ASN 设置为中转网关 ASN。有关更多信息,请参阅 [步骤 6:更新客户网关 ASN(有条件)](#step-update-customer-gateway-asn)。
## 步骤 2:删除您的静态路由(有条件)
当您从具有静态路由的虚拟私有网关迁移到中转网关时,此步骤是必需的。
您必须先删除静态路由,然后再迁移到新的网关。
**提示**
保留一份静态路由,然后将其删除。在 VPN 连接迁移完成后,您需要将这些路由重新添加到中转网关。
**从路由表中删除路由**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Route tables**(路由表),然后选择路由表。
1. 在**路由**选项卡上,选择**编辑路由**。
1. 对于到虚拟私有网关的静态路由,选择**删除**。
1. 选择**保存更改**。
## 步骤 3:迁移到新网关
**更改目标网关**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Site-to-Site VPN 连接**。
1. 选择 VPN 连接,然后依次选择**操作**和**修改 VPN 连接**。
1. 对于**目标类型**,选择网关类型。
1. 如果新目标网关为虚拟私有网关,则选择 **VPN 网关**。
1. 如果新目标网关为中转网关,则选择**中转网关**。
1. 选择**保存更改**。
**使用命令行或 API 修改 Site-to-Site VPN 连接**
+ [ModifyVpnConnection](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpnConnection.html)(亚马逊 EC2 查询 API)
+ [modify-vpn-connection](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpn-connection.html) (AWS CLI)
## 步骤 4:更新 VPC 路由表
迁移到新的网关后,您可能需要修改您的 VPC 路由表。有关更多信息,请参阅《Amazon VPC 用户指南》**中的[路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。
下表说明了有关修改 VPN 网关目标后要进行的 VPC 路由表更新。
| 现有网关 | 新网关 | VPC 路由表更改 |
| --- | --- | --- |
| 使用传播路由的虚拟专用网关 | Transit Gateway | 添加包含中转网关 ID 的路由。 |
| 使用传播路由的虚拟专用网关 | 使用传播路由的虚拟专用网关 | 无需操作。 |
| 使用传播路由的虚拟专用网关 | 使用静态路由的虚拟专用网关 | 添加一个路由,其中包含新的虚拟私有网关的 ID。 |
| 使用静态路由的虚拟专用网关 | Transit Gateway | 将包含虚拟私有网关 ID 的路由更新为包含中转网关的 ID。 |
| 使用静态路由的虚拟专用网关 | 使用静态路由的虚拟专用网关 | 将包含虚拟私有网关 ID 的路由更新为包含新的虚拟私有网关的 ID。 |
| 使用静态路由的虚拟专用网关 | 使用传播路由的虚拟专用网关 | 删除包含虚拟私有网关 ID 的路由。 |
| Transit Gateway | 使用静态路由的虚拟专用网关 | 将包含中转网关 ID 的路由更新为包含虚拟私有网关的 ID。 |
| Transit Gateway | 使用传播路由的虚拟专用网关 | 删除包含中转网关 ID 的路由。 |
| Transit Gateway | Transit Gateway | 将包含中转网关 ID 的路由更新为包含新的中转网关的 ID。 |
## 步骤 5:更新目标网关路由(有条件)
当新网关是传输网关时,修改传输网关路由表以允许 VPC 和 VP Site-to-Site N 之间的流量。有关更多信息,请参阅 *Amazon VPC Transit Gateway*中的[中转网关路由表](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html)。
如果您删除了 VPN 静态路由,则必须将这些静态路由添加到中转网关路由表中。
与虚拟私有网关不同,中转网关将为一个 VPN 挂载上的所有隧道设置相同的多出口标识(MED)值。如果要从虚拟私有网关迁移到中转网关,并依据 MED 值进行隧道选择,我们建议您更改路由以避免连接问题。例如,您可以在中转网关上公布更具体的路由。有关更多信息,请参阅 [路由表和 AWS Site-to-Site VPN 路由优先级](vpn-route-priority.md)。
## 步骤 6:更新客户网关 ASN(有条件)
当新网关具有与旧网关不同的 ASN 时,您必须更新客户网关设备上的 ASN 以指向新 ASN。参阅 [用于 AWS Site-to-Site VPN 连接的客户网关选项](cgw-options.md) 了解更多信息。