ネットワークインターフェイスのシナリオ - Amazon Elastic Compute Cloud
管理用ネットワークの作成VPC 内でネットワークアプライアンスとセキュリティアプライアンスを使用する別個のサブネット上のワークロード/ロールを使用するデュアルホーム接続インスタンスを作成する同一アカウント内の個別の VPC にあるワークロード/ロールを使用するデュアルホームインスタンスを作成する低予算で可用性の高いソリューションを構築する

ネットワークインターフェイスのシナリオ

次の作業を行う場合、複数のネットワークインターフェイスをインスタンスにアタッチすると便利です。

  • 管理用ネットワークを作成する。

  • 仮想プライベートクラウド (VPC) 内でネットワークアプライアンスやセキュリティアプライアンスを使用します。

  • 別個のサブネット上のワークロード/ロールを使用するデュアルホーム接続インスタンスを作成する。

  • 低予算で可用性の高いソリューションを作成する。

管理用ネットワークの作成

このシナリオでは、次の基準と設定に基づいて、ネットワークインターフェイスを備えた管理ネットワークを作成する方法について説明します (次の図を参照してください)。

条件

  • インスタンスのプライマリネットワークインターフェイス (eth0) が、パブリックトラフィックを処理します。

  • インスタンスのセカンダリネットワークインターフェイス (eth1) が、バックエンド管理トラフィックを処理します。より制限の厳しいアクセス制御を使用した個別のサブネットに接続されており、プライマリネットワークインターフェイスと同じアベイラビリティーゾーン (AZ) 内にあります。

設定

  • プライマリネットワークインターフェイスは、ロードバランサーの背後にある場合とそうでない場合があり、インターネットからのサーバーへのアクセスを許可するセキュリティグループが関連付けられています。例えば、0.0.0.0/0 またはロードバランサーからの TCP ポート 80 と 443 を許可します。

  • セカンダリネットワークインターフェイスには、次のいずれかの場所から開始された SSH アクセスのみを許可するセキュリティグループが関連付けられています。

    • VPC 内またはインターネット上の IP アドレスの許容範囲。

    • プライマリネットワークインターフェースと同じ AZ 内のプライベートサブネット。

    • 仮想プライベートゲートウェイ。

注記

フェイルオーバー機能が確実に動作するように、ネットワークインターフェイスの受信トラフィックに対してセカンダリプライベート IPv4 を使用することをお勧めします。インスタンスに障害が発生した場合は、インターフェイスまたはセカンダリプライベート IPv4 アドレスあるいはその両方をスタンバイ用のインスタンスに移行できます。

管理用ネットワークの作成

VPC 内でネットワークアプライアンスとセキュリティアプライアンスを使用する

ロードバランサー、ネットワークアドレス変換 (NAT) サーバー、プロキシサーバーなど、ネットワークアプライアンスやセキュリティアプライアンスの中には、複数のネットワークインターフェイスを使用した構成が優先されるものがあります。セカンダリネットワークインターフェイスを作成して、これらのタイプのアプリケーションを実行するインスタンスにアタッチし、専用のパブリック IP アドレスとプライベート IP アドレス、セキュリティグループ、およびソース/デスティネーションチェックを使用するインターフェイスを、追加で構成することができます。

別個のサブネット上のワークロード/ロールを使用するデュアルホーム接続インスタンスを作成する

アプリケーションサーバーが存在するミッドティアネットワークに接続する Web サーバーのそれぞれにネットワークインターフェイスを置くことができます。このアプリケーションサーバーは、データベースサーバーが存在するバックエンドネットワーク (サブネット) にデュアルホーム接続することもできます。デュアルホーム接続されたインスタンスを介してネットワークパケットをルーティングする代わりに、デュアルホーム接続された各インスタンスは、フロントエンドでリクエストを受信して処理し、バックエンドとの接続を開始して、バックエンドネットワーク上のサーバーにリクエストを送信します。

同一アカウント内の個別の VPC にあるワークロード/ロールを使用するデュアルホームインスタンスを作成する

ある VPC で EC2 インスタンスを起動し、別の VPC (ただし同じアベイラビリティーゾーンにある) のセカンダリ ENI をインスタンスにアタッチできます。これにより、ネットワークとセキュリティの設定が異なる VPC にまたがるマルチホームインスタンスを作成できます。異なる AWS アカウントの VPC にまたがってマルチホームインスタンスを作成することはできません。

VPC にまたがるデュアルホームインスタンスは、次のユースケースで使用できます。

  • 相互にピアリングできない 2 つの VPC 間における CIDR の重複を克服: VPC のセカンダリ CIDR を活用して、重複しない 2 つの IP 範囲でインスタンスが通信できるようにします。

  • 単一アカウント内で複数の VPC を接続: 通常は VPC の境界で区切られている個々のリソース間における通信を可能にします。

低予算で可用性の高いソリューションを構築する

特定の機能にサービスを提供しているインスタンスのいずれかが機能しなくなった場合は、そのネットワークインターフェイスを同じ役割で構成された交換用またはホットスタンバイ用のインスタンスにアタッチすることで、サービスを迅速に回復できます。例えば、データベースインスタンスや NAT インスタンスなどの重要なサービスに対するプライマリまたはセカンダリのネットワークインターフェイスとしてネットワークインターフェイスを使用することができます。そのインスタンスが機能しなくなった場合、お客様 (通常はお客様に代わって実行されるコード) がネットワークインターフェイスをホットスタンバイ用のインスタンスにアタッチすることができます。インターフェイスでは、プライベート IP アドレス、Elastic IP アドレス、および MAC アドレスがそのまま維持されるため、交換用のインスタンスにネットワークインターフェイスを接続するとすぐに、ネットワークトラフィックはスタンバイ用のインスタンスに流れ始めます。インスタンスに障害が発生してから、ネットワークインターフェイスがスタンバイ用のインスタンスにアタッチされるまで一時的な接続断が発生しますが、ルートテーブルや DNS サーバーに変更を加える必要はありません。