Réseau de gestion Appliances réseau et de sécurité Instances à deux interfaces réseau avec des charges de travail dans différents sous-réseaux Instances à deux interfaces réseau avec des charges de travail différentes VPCs dans le même compte Solution haute disponibilité à faible coût

Interfaces réseau multiples pour vos EC2 instances Amazon

Il peut être utile d'attacher plusieurs Network Interfaces à une instance si vous avez besoin de ce qui suit :

Un réseau de gestion.
Appareils de réseau et de sécurité.
Instances à double hébergement avec des charges de travail dans différents sous-réseaux ou. VPCs
Une solution haute disponibilité à faible coût.

Réseau de gestion

La présentation suivante décrit un réseau de gestion créé à l'aide de plusieurs interfaces réseau.

Critères

L'interface réseau principale sur l'instance (par exemple, eth0) gère le trafic public.
L'interface réseau secondaire sur l'instance (par exemple, eth1) gère le trafic de gestion du backend. Elle est connectée à un sous-réseau distinct qui dispose de contrôles d'accès plus restrictifs et se trouve dans la même zone de disponibilité que l'interface réseau principale.

Paramètres

L’interface réseau principale, qui peut ou non se trouver derrière un équilibreur de charge, a un groupe de sécurité associé qui autorise l’accès au serveur à partir d’Internet. Par exemple, autoriser les TCP ports 80 et 443 à partir de 0.0.0.0/0 ou depuis l'équilibreur de charge.
L'interface réseau secondaire a un groupe de sécurité associé qui autorise uniquement SSH l'accès, initié à partir de l'un des emplacements suivants :
- Une plage autorisée d'adresses IP, soit au sein de l'InternetVPC, soit depuis.
- Sous-réseau privé au sein de la même zone de disponibilité que l'interface réseau principale.
- Passerelle privée virtuelle.

Note

Pour assurer les fonctions de basculement, pensez à utiliser un port privé secondaire IPv4 pour le trafic entrant sur une interface réseau. Dans le cas de la défaillance d'une instance, vous pouvez déplacer l'interface et/ou l'IPv4adresse privée secondaire vers une instance de secours.

Appliances réseau et de sécurité

Certains composants de réseau et de sécurité tiers, tels que des équilibreurs de charge, des serveurs de traduction d'adresses réseau (NAT) et des serveurs proxy, doivent, de préférence, être configurés avec plusieurs Network Interfaces. Vous pouvez créer et attacher des interfaces réseau secondaires à des instances qui exécutent ces types d’applications, et configurer les interfaces supplémentaires avec leurs propres adresses IP publiques et privées, groupes de sécurité et vérification origine/destination.

Instances à deux interfaces réseau avec des charges de travail dans différents sous-réseaux

Vous pouvez placer une interface réseau sur chacun de vos serveurs web qui se connecte à un réseau de niveau intermédiaire où réside un serveur d’applications. Le serveur d’applications peut également avoir deux interfaces réseau sur le réseau backend (sous-réseau) où réside le serveur de base de données. Au lieu d’acheminer des paquets réseau via les instances à deux interfaces réseau, chaque instance à deux interfaces réseau reçoit et traite les demandes sur le serveur frontal, établit une connexion au serveur backend, puis envoie les demandes aux serveurs se trouvant sur le réseau backend.

Instances à deux interfaces réseau avec des charges de travail différentes VPCs dans le même compte

Vous pouvez lancer une EC2 instance dans une instance VPC et attacher une instance secondaire ENI à partir d'une autre instanceVPC, à condition que l'interface réseau se trouve dans la même zone de disponibilité que l'instance. Cela vous permet de créer des instances multi-résidents entre différentes VPCs configurations réseau et de sécurité. Vous ne pouvez pas créer d'instances multi-résidents entre VPCs des comptes différents. AWS

Vous pouvez utiliser des instances à deux interfaces réseau VPCs dans les cas d'utilisation suivants :

Contourner les CIDR chevauchements lorsque l'VPCsappairage de deux est impossible : vous pouvez tirer parti d'une secondaire CIDR dans un VPC et autoriser une instance à communiquer entre deux plages d'adresses IP ne se chevauchant pas.
Connecter plusieurs VPCs au sein d'un même compte : activez la communication entre des ressources individuelles qui seraient normalement séparées par VPC des limites.

Solution haute disponibilité à faible coût

Si l’une de vos instances remplissant une fonction particulière subit une défaillance, son Network Interface peut être attachée à une instance de remplacement ou de hot standby préconfigurée pour le même rôle afin de récupérer rapidement le service. Par exemple, vous pouvez utiliser une interface réseau comme interface réseau principale ou secondaire d'un service critique telle qu'une instance de base de données ou une NAT instance. Si une instance subit une défaillance, vous (ou, plus probablement, le code s’exécutant pour votre compte) pouvez attacher l’interface réseau à une instance de secours à chaud. Comme l'interface conserve ses adresses IPprivées, ses adresses IPElastic et son MAC adresse, le trafic réseau commence à passer vers l'instance de secours dès que vous attachez l'interface réseau à l'instance de remplacement. Les utilisateurs rencontreront une brève perte de connectivité entre le moment où l'instance subit la défaillance et celui où l'interface réseau est attachée à l'instance de secours, mais aucune modification de la table de routage ou de votre DNS serveur n'est requise.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Modifier les attributs d’interface réseau

Interfaces réseau gérées par demandeur