網路介面案例 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

網路介面案例

當您想要執行下列作業時,將多個網路介面連接到一個執行個體會很有用:

  • 建立管理網路。

  • 在您的虛擬私有雲端 (VPC) 中使用網路和安全設備。

  • 在不同的子網上使用工作負載/角色建立雙主目錄的執行個體。

  • 建立低預算、高可用性的解決方案。

建立管理網路

此案例說明如何根據下列準則和設定建立具有網路介面的管理網路 (影像如下)。

條件
  • 執行個體上的主要網路介面 (eth0) 會處理公有流量。

  • 執行個體上的次要網路介面 (eth1) 會處理後端管理流量。它連線到另一個子網路,具有更嚴格的存取控制,並與主要網路界面位於同一個可用區域 (AZ)。

設定
  • 主要網路介面可能在負載平衡器後面,也可能不在負載平衡器後面,具有關聯的安全群組,可允許從網際網路存取伺服器。例如,允許從 0.0.0.0/0 或從負載平衡器存取 TCP 連接埠 80 和 443

  • 次要網路介面有一個關聯的安全性群組,該群組僅允許從下列其中一個位置啟動 SSH 存取:

    • 允許的 IP 地址範圍 (VPC 內或來自網際網路)。

    • 與主要網路介面位於相同 AZ 中的私有子網路。

    • 虛擬私有閘道。

注意

為確保容錯移轉功能,請考慮使用輔助私有 IPv4 處理網路介面的傳入流量。執行個體故障時,您可將執行個體及/或輔助私有 IPv4 地址移至待命的執行個體。

建立管理網路

在您的 VPC 中使用網路和安全設備

有些網路和安全設備,如負載平衡器、網路位置轉譯 (NAT) 伺服器和代理伺服器等,最好能設定多個網路介面。您可建立輔助網路介面,並將它們連接到正在執行這些應用程式類型的執行個體,然後使用它們自己的公有和私有 IP 地址、安全群組和來源/目標檢查來設定其他介面。

在不同的子網上使用工作負載/角色建立雙主目錄的執行個體

您可在連線至應用程式伺服器所在之中間層網路的每一個 Web 伺服器上放置網路介面。應用程式伺服器也可以是資料庫伺服器所在之後端網路 (子網) 的雙目錄。每個雙目錄執行個體都會在前端收到及處理請求、起始後端連線,然後將請求傳送至後端網路的伺服器,而非透過雙目錄執行個體路由網路套件。

在同一帳戶的不同 VPC 使用工作負載/角色建立雙主目錄的執行個體

您可以在一個 VPC 中啟動 EC2 執行個體,並將另一個 VPC (位於同一個可用區域) 的次要 ENI 連接到執行個體。如此一來,您就能在不同 VPC 建立多重主目錄執行個體,分別使用不同的網路和安全組態。您無法跨不同帳戶跨 VPC 建立多重主目錄執行個體。 AWS

在下列使用案例中,您可以跨 VPC 使用雙主目錄執行個體:

  • 克服兩個無法對等的 VPC 之間的 CIDR 重疊問題:您可以在 VPC 中運用次要 CIDR,並允許執行個體跨兩個非重疊的 IP 範圍進行通訊。

  • 在單一帳戶內連接多個 VPC:啟用個別資源之間的通訊,這些資源通常會以 VPC 界限隔開。

建立低預算、高可用性的解決方案

如果提供特定功能的其中一個執行個體故障,其網路介面可連接到為相同角色預先設定之替代或熱待命的執行個體,以迅速復原服務。例如,您可使用網路介面做為重大服務的主要或輔助網路介面,例如資料庫執行個體或 NAT 執行個體。如果執行個體故障,您 (或更有可能是代您執行的程式碼) 可將網路介面連接到熱待命執行個體。因為執行個體維持其私有 IP 地址、彈性 IP 地址和 MAC 地址,所以您一旦將網路介面連接到替代執行個體,網路流量即開始流向待命的執行個體。使用者從執行個體故障到網路介面連接到待命執行個體這段時間內,會短暫遺失連線能力,但不需要變更路由表或您的 DNS 伺服器。