AWS позволяет подключать несколько эластичных сетевых интерфейсов (ENI) к экземпляру EC2. Существуют ли какие-либо случаи, когда на самом деле требуется несколько ENI, помимо «сделать его похожим на локальный сервер»?
Я рассмотрел причины, по которым это можно было бы сделать в локальной среде, но ни один из них, похоже, не применим к AWS:
Подразумеваемый маршрутизатор AWS всегда «сидит» между каждым ENI и всем остальным, поэтому невозможно разместить другой экземпляр (например, с анализатором) на линии.
В собственной документации Amazon даже неясно, зачем вам нужно несколько ENI на инстансе. Он просто говорит, что несколько интерфейсов «полезны, когда вы хотите:»
Создайте сеть управления.
Используйте сетевые устройства и устройства безопасности в своем VPC.
Создавайте экземпляры с двойным подключением с рабочими нагрузками / ролями в разных подсетях.
Создайте малобюджетное решение с высокой доступностью.
Но это не объясняет, почему ENI необходимы или даже желательны для этих вариантов использования. (Очевидно, что для экземпляров с двойным подключением в разных подсетях потребуется несколько ENI, но это не объясняет, почему вам вообще может понадобиться экземпляр с двойным подключением).
Единственный вариант использования, который я могу придумать, - это экземпляр с запущенными контейнерами (например, Docker), и вы хотите сопоставить отдельные контейнеры с IP-адресами хоста в разных подсетях.
Каковы варианты использования нескольких ENI, если таковые имеются?
AWS обеспечивает отказоустойчивость при сбоях с помощью своих ENI. Однако могут быть случаи, когда вы хотите иметь несколько ENI на сервере.
Например, сервер агента передачи сообщений (MTA) с несколькими исходящими IP-адресами может потребоваться запустить несколько ENI на сервере, чтобы он мог обрабатывать больше отправленных писем, не попадая во флаги спамеров.
Как указал @Nath, вам также может понадобиться несколько ENI для работы вашего сервера в качестве брандмауэра и иметь мост между двумя интерфейсами для выполнения некоторых проверок пакетов.
С точки зрения удобства использования AWS нет никакой «необходимости» иметь несколько ENI на одном экземпляре, однако могут возникнуть ситуации, когда вам «понадобится» несколько ENI для выполнения задачи вашего предложения.
Надеюсь, это поможет!
Варианты использования - это программное обеспечение, которое требует наличия одного интерфейса «внешний / Интернет» и одного интерфейса «внутренний / частный» или при этом упрощает настройку программного обеспечения / ОС, что представляет собой множество устройств брандмауэра / прокси. Я лично использовал их с AMI Cisco CSR и netscaler marketplace, поскольку в итоге вы получаете конфигурацию, которая выглядит как конфигурация, которую я привык видеть за пределами aws (я также добавил второй внутренний интерфейс, делая это на одном из наших веб-серверов при отладке, поскольку это означало, что при захвате пакетов на этом внутреннем интерфейсе я мог видеть трафик между ним и его зависимостями в нисходящем направлении (DB, LDAP) без необходимости фильтровать трафик в Интернет и из Интернета, что упростило выполнение захвата и дал мне более значимые метрики SNMP из ОС.
Два отличных применения ENI:
Вы хотите переключить общедоступный EIP. Имейте экземпляр на резервном мониторе keepalive и украдите интерфейс, если основной выходит из строя.
Маршрутизация между VPC, IE. Брандмауэр приложений, IPS / IDS, VPN-маршрутизатор, шлюз безопасности и т. Д.
Вы можете запустить экземпляр с интерфейсом в частной подсети. Позже вы можете подключить ENI к публичной подсети, чтобы разрешить входящий трафик из Интернета. Для этого вам понадобится 2 ENI.