Múltiples interfaces de red para sus instancias de Amazon EC2 - Amazon Elastic Compute Cloud

Múltiples interfaces de red para sus instancias de Amazon EC2

Asociar varias interfaces de red a una instancia es útil cuando necesita lo siguiente:

Red de administración

En la siguiente descripción general, se describe una red de administración creada con varias interfaces de red.

Criterios
  • La interfaz de red principal de la instancia (eth0) gestiona el tráfico público.

  • La interfaz de red secundaria de la instancia (eth1) gestiona el tráfico de administración del backend. Está conectada a una subred independiente que tiene controles de acceso más restrictivos y está ubicada en la misma zona de disponibilidad (AZ) que la interfaz de red principal.

Configuración
  • La interfaz de red principal, que puede o no estar detrás de un equilibrador de carga, tiene un grupo de seguridad asociado que permite el acceso al servidor desde Internet. Por ejemplo, permite los puertos TCP 80 y 443 desde 0.0.0.0/0 o desde el equilibrador de carga.

  • La interfaz de red secundaria tiene un grupo de seguridad asociado que solo permite el acceso a SSH, iniciado desde una de las siguientes ubicaciones:

    • Un rango permitido de direcciones IP, ya sea dentro de la VPC o desde Internet.

    • Una subred privada dentro de la misma AZ que la interfaz de red principal.

    • Una puerta de enlace privada virtual.

nota

Para asegurar la capacidad de conmutación por error, considere el uso de una IPv4 privada secundaria para el tráfico entrante en una interfaz de red. En caso de que se produzca un error en una instancia, puede mover la interfaz y/o la dirección IPv4 privada secundaria a una instancia en espera.

Creación de una red de administración

Dispositivos de red y de seguridad

Algunos dispositivos de red y seguridad, como los balanceadores de carga, los servidores NAT (network address translation) y los servidores proxy prefieren estar configurados con varias interfaces de red. Puede crear y adjuntar interfaces de red secundarias a instancias que ejecuten estos tipos de aplicaciones y configurar las interfaces adicionales con sus propias direcciones IP privadas y públicas, grupos de seguridad y comprobaciones de origen/destino.

Instancias de doble alojamiento con cargas de trabajo en diferentes subredes

Puede ubicar una interfaz de red en cada servidor web que se conecte a una red de capa intermedia donde reside el servidor de aplicaciones. El servidor de aplicaciones también puede tener doble alojamiento en una red de backend (subred) donde reside el servidor de bases de datos. En lugar de enrutar los paquetes de red a través de las instancias de doble alojamiento, cada una de estas instancias recibe y procesa las solicitudes en el front end, inicia una conexión con el backend y envía las solicitudes a los servidores en la red backend.

Instancias de doble alojamiento con cargas de trabajo en diferentes VPC en la misma cuenta

Puede iniciar una instancia de EC2 en una VPC y adjuntar una ENI secundaria de otra VPC (pero en la misma zona de disponibilidad) a la instancia. Esto le permite crear instancias con varios hosts en las VPC con diferentes configuraciones de red y seguridad. No puede crear instancias con varios alojamientos en las VPC de cuentas de AWS diferentes.

Puede usar instancias de doble host en las VPC en los siguientes casos de uso:

  • Superar las superposiciones de CIDR entre dos VPC que no se pueden emparejar entre sí: puede utilizar un CIDR secundario en una VPC y permitir que una instancia se comunique a través de dos rangos de IP que no se superpongan.

  • Conectar varias VPC en una sola cuenta: habilite la comunicación entre recursos individuales que normalmente estarían separados por los límites de las VPC.

Solución de bajo presupuesto y alta disponibilidad

Si una de las instancias que da servicio a una función particular da error, su interfaz de red puede conectarse a una instancia de reemplazo o de espera activa preconfigurada para el mismo rol, con el fin de recuperar rápidamente el servicio. Por ejemplo, puede usar una interfaz de red como principal o secundaria en un servicio crítico, como una instancia de la base de datos o una instancia NAT. Si la instancia da error (o más probable, el código que se ejecuta en su nombre) puede conectar la interfaz de red a una instancia en espera activa. Dado que la interfaz mantiene las direcciones IP privadas, direcciones IP elásticas y direcciones MAC, el tráfico de red comienza a fluir hacia la instancia en espera tan pronto como conecte la interfaz de red a la instancia de sustitución. Los usuarios experimentan una breve pérdida de conexión entre el momento en que la instancia da error y el momento en que la interfaz de red se adjunta a la instancia en espera, pero no es necesario efectuar ningún cambio en la tabla de enrutamiento ni en el servidor DNS.