本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EC2執行個體的多個網路介面
當您需要下列項目時,將多個網路介面連接至執行個體很有用:
管理網路
下列概觀說明使用多個網路介面建立的管理網路。
條件
-
執行個體的主要網路介面 (eth0) 處理公有流量。
-
執行個體上的次要網路介面 (eth1) 處理後端管理流量。它連線到另一個子網路,具有更嚴格的存取控制,並與主要網路界面位於同一個可用區域 (AZ)。
設定
-
主要網路介面可能在負載平衡器後面,也可能不在負載平衡器後面,具有關聯的安全群組,可允許從網際網路存取伺服器。例如,允許連接埠 TCP 80 和 443 從 0.0.0.0/0 或從負載平衡器。
-
次要網路介面具有關聯的安全群組,僅允許從下列其中一個位置啟動的SSH存取:
-
允許範圍的 IP 地址,無論是在 內VPC,或從網際網路。
-
與主要網路介面位於相同 AZ 中的私有子網路。
-
虛擬私有閘道。
-
注意
為了確保容錯移轉功能,請考慮IPv4使用次要私有網路介面上的傳入流量。如果發生執行個體故障,您可以將介面和/或次要私有IPv4地址移至待命執行個體。
網路和安全設備
有些網路和安全設備,例如負載平衡器、網路地址轉譯 (NAT) 伺服器和代理伺服器偏好使用多個網路介面設定。您可建立輔助網路介面,並將它們連接到正在執行這些應用程式類型的執行個體,然後使用它們自己的公有和私有 IP 地址、安全群組和來源/目標檢查來設定其他介面。
在不同子網路中具有工作負載的雙主目錄執行個體
您可在連線至應用程式伺服器所在之中間層網路的每一個 Web 伺服器上放置網路介面。應用程式伺服器也可以是資料庫伺服器所在之後端網路 (子網) 的雙目錄。每個雙目錄執行個體都會在前端收到及處理請求、起始後端連線,然後將請求傳送至後端網路的伺服器,而非透過雙目錄執行個體路由網路套件。
VPCs 相同帳戶中工作負載不同的雙主目錄執行個體
您可以在一個 中啟動EC2執行個體,VPC並將次要執行個體ENI從另一個 VPC(但在相同的可用區域中) 連接至執行個體。這可讓您VPCs使用不同的網路和安全組態建立跨 的多主目錄執行個體。您無法VPCs跨不同 AWS 帳戶建立多主目錄執行個體。
您可以在VPCs下列使用案例中使用雙主目錄執行個體:
-
兩個 VPCs 之間無法對等的CIDR重疊:您可以利用 CIDR中的次要 VPC,並允許執行個體跨兩個非重疊 IP 範圍進行通訊。
連接單一帳戶中VPCs的多個 :啟用通常以VPC邊界分隔的個別資源之間的通訊。
低預算、高可用性解決方案
如果提供特定功能的其中一個執行個體故障,其網路介面可連接到為相同角色預先設定之替代或熱待命的執行個體,以迅速復原服務。例如,您可以使用網路介面作為主要或次要網路介面,以存取資料庫執行個體或NAT執行個體等關鍵服務。如果執行個體故障,您 (或更有可能是代您執行的程式碼) 可將網路介面連接到熱待命執行個體。由於介面會維護其私有 IP 地址、彈性 IP 地址和MAC地址,因此當您將網路介面連接至替代執行個體時,網路流量就會開始流入待命執行個體。使用者在執行個體失敗到網路介面連接到待命執行個體之間,連線會短暫中斷,但不需要變更路由表或DNS伺服器。
