Crear una red de administración Uso de dispositivos de red y seguridad en la VPC Creación de instancias de doble alojamiento con cargas de trabajo/roles en subredes diferentes Creación de instancias de doble host con cargas de trabajo o roles en VPC diferentes con la misma cuenta Crear una solución de bajo presupuesto y elevada disponibilidad

Caso de uso de las interfaces de red

Conectar varias interfaces de red a una instancia es útil cuando quiere:

Crear una red de administración.
Usar dispositivos de seguridad y redes en la nube privada virtual (VPC).
Crear instancias de doble alojamiento con cargas de trabajo/funciones en subredes diferentes.
Crear una solución de bajo presupuesto y elevada disponibilidad.

Crear una red de administración

Este escenario describe cómo puede crear una red de administración con interfaces de red, teniendo en cuenta los siguientes criterios y opciones de configuración (a continuación se muestra la imagen).

Criterios

La interfaz de red principal de la instancia (eth0) gestiona el tráfico público.
La interfaz de red secundaria de la instancia (eth1) gestiona el tráfico de administración del backend. Está conectada a una subred independiente que tiene controles de acceso más restrictivos y está ubicada en la misma zona de disponibilidad (AZ) que la interfaz de red principal.

Configuración

La interfaz de red principal, que puede o no estar detrás de un equilibrador de carga, tiene un grupo de seguridad asociado que permite el acceso al servidor desde Internet. Por ejemplo, permite los puertos TCP 80 y 443 desde 0.0.0.0/0 o desde el equilibrador de carga.
La interfaz de red secundaria tiene un grupo de seguridad asociado que solo permite el acceso a RDP, iniciado desde una de las siguientes ubicaciones:
- Un rango permitido de direcciones IP, ya sea dentro de la VPC o desde Internet.
- Una subred privada dentro de la misma AZ que la interfaz de red principal.
- Una puerta de enlace privada virtual.

nota

Para asegurar la capacidad de conmutación por error, considere el uso de una IPv4 privada secundaria para el tráfico entrante en una interfaz de red. En caso de que se produzca un error en una instancia, puede mover la interfaz y/o la dirección IPv4 privada secundaria a una instancia en espera.

Uso de dispositivos de red y seguridad en la VPC

Algunos dispositivos de red y seguridad, como los balanceadores de carga, los servidores NAT (network address translation) y los servidores proxy prefieren estar configurados con varias interfaces de red. Puede crear y adjuntar interfaces de red secundarias a instancias que ejecuten estos tipos de aplicaciones y configurar las interfaces adicionales con sus propias direcciones IP privadas y públicas, grupos de seguridad y comprobaciones de origen/destino.

Creación de instancias de doble alojamiento con cargas de trabajo/roles en subredes diferentes

Puede ubicar una interfaz de red en cada servidor web que se conecte a una red de capa intermedia donde reside el servidor de aplicaciones. El servidor de aplicaciones también puede tener doble alojamiento en una red de backend (subred) donde reside el servidor de bases de datos. En lugar de enrutar los paquetes de red a través de las instancias de doble alojamiento, cada una de estas instancias recibe y procesa las solicitudes en el front end, inicia una conexión con el backend y envía las solicitudes a los servidores en la red backend.

Creación de instancias de doble host con cargas de trabajo o roles en VPC diferentes con la misma cuenta

Puede iniciar una instancia de EC2 en una VPC y adjuntar una ENI secundaria de otra VPC (pero en la misma zona de disponibilidad) a la instancia. Esto le permite crear instancias con varios hosts en las VPC con diferentes configuraciones de red y seguridad. No puede crear instancias con varios hosts en las VPC de cuentas de AWS diferentes.

Puede usar instancias de doble host en las VPC en los siguientes casos de uso:

Superar las superposiciones de CIDR entre dos VPC que no se pueden emparejar entre sí: puede utilizar un CIDR secundario en una VPC y permitir que una instancia se comunique a través de dos rangos de IP que no se superpongan.
Conectar varias VPC en una sola cuenta: habilite la comunicación entre recursos individuales que normalmente estarían separados por los límites de las VPC.

Crear una solución de bajo presupuesto y elevada disponibilidad

Si una de las instancias que da servicio a una función particular da error, su interfaz de red puede conectarse a una instancia de reemplazo o de espera activa preconfigurada para el mismo rol, con el fin de recuperar rápidamente el servicio. Por ejemplo, puede usar una interfaz de red como principal o secundaria en un servicio crítico, como una instancia de la base de datos o una instancia NAT. Si la instancia da error (o más probable, el código que se ejecuta en su nombre) puede conectar la interfaz de red a una instancia en espera activa. Dado que la interfaz mantiene las direcciones IP privadas, direcciones IP elásticas y direcciones MAC, el tráfico de red comienza a fluir hacia la instancia en espera tan pronto como conecte la interfaz de red a la instancia de sustitución. Los usuarios experimentan una breve pérdida de conexión entre el momento en que la instancia da error y el momento en que la interfaz de red se adjunta a la instancia en espera, pero no es necesario efectuar ningún cambio en la tabla de enrutamiento ni en el servidor DNS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Prácticas recomendadas para configurar interfaces de red

Interfaces de red administradas por el solicitante