Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Scénarios pour les interfaces réseau
Il peut être utile d’attacher plusieurs Network Interfaces à une instance si vous souhaitez :
-
créer un réseau de gestion ;
-
Utilisez des composants réseau et de sécurité dans votre cloud privé virtuel (VPC).
-
créer des instances à deux interfaces réseau avec des charges de travail/rôles sur des sous-réseaux distincts ;
-
créer une solution haute disponibilité à faible coût.
Créer un réseau de gestion
Ce scénario décrit comment créer un réseau de gestion doté d’interfaces réseau, en fonction des critères et paramètres suivants (image ci-dessous).
Critères
-
L’interface réseau principale sur l’instance (eth0) gère le trafic public.
-
L’interface réseau secondaire sur l’instance (eth1) gère le trafic de gestion du backend. Elle est connectée à un sous-réseau distinct qui dispose de contrôles d’accès plus restrictifs et se trouve dans la même zone de disponibilité (AZ) que l’interface réseau principale.
Paramètres
-
L’interface réseau principale, qui peut ou non se trouver derrière un équilibreur de charge, a un groupe de sécurité associé qui autorise l’accès au serveur à partir d’Internet. Par exemple, autoriser les ports TCP 80 et 443 depuis
0.0.0.0/0ou depuis l’équilibreur de charge. -
L’interface réseau secondaire a un groupe de sécurité associé qui autorise uniquement l’accès SSH, initié à partir de l’un des emplacements suivants :
-
Une plage autorisée d’adresses IP, soit au sein du VPC, soit depuis Internet.
-
Sous-réseau privé au sein de la même zone de disponibilité que l’interface réseau principale.
-
Passerelle privée virtuelle.
-
Note
Pour assurer les fonctions de basculement, pensez à utiliser une adresse IPv4 privée secondaire pour le trafic entrant sur une interface réseau. Dans le cas de la défaillance d’une instance, vous pouvez déplacer l’interface et/ou l’adresse IPv4 privée secondaire vers une instance de secours.
Utilisation de composants de réseau et de sécurité dans votre VPC
Certains composants de réseau et de sécurité tiers, tels que des équilibreurs de charge, des serveurs NAT (Network Address Translation, traduction d’adresses réseau) et des serveurs proxy, doivent, de préférence, être configurés avec plusieurs Network Interfaces. Vous pouvez créer et attacher des interfaces réseau secondaires à des instances qui exécutent ces types d’applications, et configurer les interfaces supplémentaires avec leurs propres adresses IP publiques et privées, groupes de sécurité et vérification origine/destination.
Création d’instances à deux interfaces réseau avec des charges de travail/rôles sur des sous-réseaux distincts
Vous pouvez placer une interface réseau sur chacun de vos serveurs web qui se connecte à un réseau de niveau intermédiaire où réside un serveur d’applications. Le serveur d’applications peut également avoir deux interfaces réseau sur le réseau backend (sous-réseau) où réside le serveur de base de données. Au lieu d’acheminer des paquets réseau via les instances à deux interfaces réseau, chaque instance à deux interfaces réseau reçoit et traite les demandes sur le serveur frontal, établit une connexion au serveur backend, puis envoie les demandes aux serveurs se trouvant sur le réseau backend.
Création d’instances à deux interfaces réseau avec des charges de travail/rôles sur des VPC distincts au sein du même compte
Vous pouvez lancer une instance EC2 dans un VPC et attacher une ENI secondaire d’un autre VPC (mais dans la même zone de disponibilité) à l’instance. Cela vous permet de créer des instances multi-résidents entre des VPC dotés de différentes configurations réseau et de sécurité. Vous ne pouvez pas créer d'instances multihébergées entre des VPC de différents comptes. AWS
Vous pouvez utiliser des instances à deux interfaces réseau entre des VPC dans les cas d’utilisation suivants :
-
Contourner les chevauchements d’adresse CIDR lorsque l’appairage de deux VPC est impossible : vous pouvez tirer parti d’une adresse CIDR secondaire dans un VPC et autoriser une instance à communiquer entre deux plages d’adresses IP ne se chevauchant pas.
Connecter plusieurs VPC au sein d’un même compte : activez la communication entre des ressources individuelles qui seraient normalement séparées par des limites de VPC.
Création d’une solution haute disponibilité à faible coût
Si l’une de vos instances remplissant une fonction particulière subit une défaillance, son Network Interface peut être attachée à une instance de remplacement ou de hot standby préconfigurée pour le même rôle afin de récupérer rapidement le service. Par exemple, vous pouvez utiliser une interface réseau comme interface réseau principale ou secondaire d’un service critique tel qu’une instance de base de données ou une instance NAT. Si une instance subit une défaillance, vous (ou, plus probablement, le code s’exécutant pour votre compte) pouvez attacher l’interface réseau à une instance de secours à chaud. Comme l’interface conserve ses adresses IP privées, ses adresses IP Elastic et son adresse MAC, le trafic réseau commence à passer vers l’instance de secours dès que vous attachez l’interface réseau à l’instance de remplacement. Les utilisateurs rencontreront une brève perte de connectivité entre le moment où l’instance subit la défaillance et celui où l’interface réseau est attachée à l’instance de secours, mais aucune modification de la table de routage ou de votre serveur DNS n’est requise.
