네트워크 인터페이스 시나리오 - Amazon Elastic Compute Cloud
관리 네트워크 생성VPC에서 네트워크 및 보안 어플라이언스 사용워크로드/역할이 개별 서브넷에 지정된 이중 홈 인스턴스 생성동일한 계정 내 개별 VPC의 워크로드/역할로 이중 홈 인스턴스 만들기저예산 고가용성 솔루션 생성

네트워크 인터페이스 시나리오

다음을 수행하려는 경우 여러 네트워크 인터페이스를 하나의 인스턴스에 연결하면 유용합니다.

  • 관리 네트워크 생성

  • Virtual Private Cloud(VPC)에서 네트워크 및 보안 어플라이언스를 사용합니다.

  • 별도의 서브넷에 워크로드/역할이 있는 이중 홈 인스턴스 생성

  • 저예산 고가용성 솔루션 생성

관리 네트워크 생성

이 시나리오에서는 다음과 같은 기준 및 설정에 따라 네트워크 인터페이스로 관리 네트워크를 생성하는 방법을 설명합니다(아래 이미지 참조).

기준

  • 인스턴스(eth0)의 기본 네트워크 인터페이스에서는 퍼블릭 트래픽을 처리합니다.

  • 인스턴스(eth1)의 보조 네트워크 인터페이스에서는 백엔드 관리 트래픽을 처리합니다. 더 제한적인 액세스 제어가 있는 별도의 서브넷에 연결되며, 기본 네트워크 인터페이스와 동일한 가용 영역 내에 있습니다.

설정

  • 로드 밸런서 뒤에 있을 수도 있고 그렇지 않을 수도 있는 기본 네트워크 인터페이스에는 인터넷에서 서버에 액세스할 수 있는 연결된 보안 그룹이 있습니다. 예를 들면 0.0.0.0/0 또는 로드 밸런서의 TCP 포트 80 및 443이 허용됩니다.

  • 보조 네트워크 인터페이스에는 다음과 같은 위치 중 하나에서 시작된 RDP 액세스만 허용되는 연결된 보안 그룹이 있습니다.

    • VPC 내부 또는 인터넷에서 허용되는 IP 주소 범위입니다.

    • 기본 네트워크 인터페이스와 동일한 AZ 내의 프라이빗 서브넷입니다.

    • 가상 프라이빗 게이트웨이입니다.

참고

장애 조치 기능을 유지하려면 네트워크 인터페이스에서 유입 트래픽에 대해 보조 프라이빗 IPv4 사용을 고려해 보세요. 인스턴스 장애 발생 시 인터페이스 및/또는 보조 프라이빗 IPv4 주소를 스탠바이 인스턴스로 이동할 수 있습니다.

관리 네트워크 생성

VPC에서 네트워크 및 보안 어플라이언스 사용

로드 밸런서, 네트워크 주소 변환(NAT) 서버 및 프록시 서버와 같은 일부 네트워크 및 보안 어플라이언스는 여러 네트워크 인터페이스로 구성하는 것이 좋습니다. 이러한 유형의 애플리케이션을 실행하는 부 네트워크 인터페이스를 생성 및 연결한 후 이 추가 인터페이스를 고유의 퍼블릭 및 프라이빗 IP 주소, 보안 그룹 및 원본/대상 확인으로 구성할 수 있습니다.

워크로드/역할이 개별 서브넷에 지정된 이중 홈 인스턴스 생성

애플리케이션 서버가 있는 중간 티어 네트워크에 연결되는 각각의 웹 서버에 네트워크 인터페이스를 배치할 수 있습니다. 애플리케이션 서버를 데이터베이스 서버가 있는 백엔드 네트워크(서브넷)에 이중 홈 상태로 연결할 수 있습니다. 이중 홈 인스턴스를 통한 라우팅 네트워크 패킷 대신 각 이중 홈 인스턴스가 프런트 엔드에서 요청을 수신 및 처리하고, 백엔드에 대한 연결을 초기화한 다음 백엔드 네트워크의 서버에 요청을 보냅니다.

동일한 계정 내 개별 VPC의 워크로드/역할로 이중 홈 인스턴스 만들기

하나의 VPC에서 EC2 인스턴스를 시작하고 다른 VPC(단, 가용 영역은 동일)의 보조 ENI를 인스턴스에 연결할 수 있습니다. 그러면 네트워킹 및 보안 구성이 서로 다른 여러 VPC 사이에 다중 홈 인스턴스를 만들 수 있습니다. AWS 계정이 서로 다르면 여러 VPC 사이에 다중 홈 인스턴스를 만들 수 없습니다.

다음과 같은 사용 사례에서는 여러 VPC 사이에 이중 홈 인스턴스를 사용할 수 있습니다.

  • 함께 피어링할 수 없는 두 VPC 간 CIDR 중첩 해결: VPC의 보조 CIDR를 활용하여 겹치지 않는 두 IP 범위 간 통신을 인스턴스에 허용할 수 있습니다.

  • 단일 계정 내 여러 VPC 연결: 일반적으로 VPC 경계로 구분되는 개별 리소스 간 통신이 활성화됩니다.

저예산 고가용성 솔루션 생성

특정 기능을 제공하는 인스턴스 중 하나에 장애가 발생할 경우 서비스를 신속하게 복구하기 위해 관련 네트워크 인터페이스를 동일한 역할로 미리 구성된 대체 또는 핫 스탠바이 인스턴스에 연결할 수 있습니다. 예를 들어, 데이터베이스 인스턴스 또는 NAT 인스턴스와 같은 중요한 서비스에 대한 기본 또는 보조 네트워크 인터페이스로 네트워크 인터페이스를 사용할 수 있습니다. 인스턴스가 작동하지 않는 경우 사용자 또는 사용자를 대신하는 실행 중인 코드는 네트워크 인터페이스를 핫 스탠바이 인스턴스에 연결할 수 있습니다. 인터페이스에서 프라이빗 IP 주소, 탄력적 IP 주소 및 MAC 주소를 관리하므로 네트워크 인터페이스를 대체 인스턴스에 연결하자마자 네트워크 트래픽이 스탠바이 인스턴스로 전달되기 시작합니다. 인스턴스에 장애가 발생한 시간과 네트워크 인터페이스가 대기 인스턴스에 연결되는 시간 사이에 잠시 연결이 끊기지만 라우팅 테이블 또는 DNS 서버에 대해 어떠한 변경도 수행할 필요가 없습니다.