本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Outposts 伺服器的本機網路界面
<a name="local-network-interface"></a>

使用 Outposts 伺服器時，*本機網路介面*是一種邏輯聯網元件，可將 Outposts 子網路中的 Amazon EC2 執行個體連線至您的內部部署網路。

本機網路介面會直接在您的區域網路中執行。使用這種類型的本機連線，不需要路由器或閘道即可與內部部署設備通訊。本機網路介面的命名方式與網路介面或彈性網路介面類似。當我們指稱本機網路介面時，一律使用*本機* 來區分這兩個介面。

在 Outpost 子網路上啟用本機網路介面後，您還可以設定 Outpost 子網路中的 EC2 執行個體，除彈性網路介面之外，另包含本機網路介面。當網路介面連線到 VPC 時，本機網路介面會連線到內部部署網路。下圖顯示 Outpost 伺服器中，同時具有彈性網路介面和本機網路介面的 EC2 執行個體。

![\[本機網路介面\]](http://docs.aws.amazon.com/zh_tw/outposts/latest/server-userguide/images/outposts-server-LNI.png)


您必須將作業系統設定為啟用本機網路介面，才能在區域網路中通訊，就像設定任何其他內部部署設備一樣。您無法在 VPC 中使用 DHCP 選項集來設定本機網路介面，因為本機網路介面會在您的區域網路中執行。

彈性網路介面的作用，與其對可用區域子網路中之執行個體的作用一般無二。例如，您可以使用 VPC 網路連線來存取 的公有區域端點 AWS 服務，也可以使用界面 VPC 端點來存取 AWS 服務 AWS PrivateLink。如需詳細資訊，請參閱[AWS Outposts AWS 區域連線](region-connectivity.md)。

**Topics**
+ [本機網路介面基本概念](#limits-lni)
+ [在 Outpost 子網路上啟用 LNI](enable-lni.md)
+ [新增本機網路介面](add-lni.md)
+ [本機連線](local-server.md)

## 本機網路介面基本概念
<a name="limits-lni"></a>

本地網路介面能讓您存取實體第二層網路。VPC 則是虛擬化的第三層網路。本機網路介面不支援 VPC 聯網元件。這些元件包括安全群組、網路存取控制清單、虛擬路由器或路由表以及流程日誌。本機網路界面不會為 Outposts 伺服器提供對 VPC layer-3 流程的可見性。執行個體的主機作業系統確實可以看見完整的實體網路框架。您可以將標準的防火牆邏輯套用至這些框架內的資訊。不過，這種通訊會發生在執行個體內部，但在虛擬建構模組的範圍之外。

**考量事項**
+ 本機網路介面支援 ARP 和 DHCP 協定。但不支援一般的 L2 廣播訊息。
+ 本機網路介面的配額來自您網路介面的配額。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[網路介面配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-enis)。
+ 每個 EC2 執行個體都會有一個本機網路介面。
+ 本機網路介面無法使用執行個體的主要網路介面。
+ Outpost 伺服器可以託管多個 EC2 執行個體，而每個執行個體都有本機網路介面。
**注意**  
同一伺服器內的 EC2 執行個體可以直接通訊，無需在 Outpost 伺服器外傳送資料。此通訊包括透過本機網路介面或彈性網路介面的流量。
+ 本機網路介面僅適用於 Outposts 伺服器上 Outposts 子網路中執行的執行個體。
+ 本機網路介面不支援混亂模式或 MAC 位址詐騙。

### 效能
<a name="performance-lni"></a>

每個執行個體大小的本機網路界面提供一部分的實體 10 GbE 可用頻寬。下表列出每個執行個體類型的網路效能：


| 執行個體類型  | 基準頻寬 (Gbps) | 高載頻寬 (Gbps) | 
| --- | --- | --- | 
|  c6id.large  |  0.15625  |  2.5  | 
|  c6id.xlarge  |  0.3125  |  2.5  | 
|  c6id.2xlarge  |  0.625  |  2.5  | 
|  c6id.4xlarge  |  1.25  |  2.5  | 
|  c6id.8xlarge  |  2.5  |  2.5  | 
|  c6id.12xlarge  |  3.75  |  3.75  | 
|  c6id.16xlarge  |  5  |  5  | 
|  c6id.24xlarge  |  7.5  |  7.5  | 
|  c6id.32xlarge  |  10  |  10  | 
|  c6gd.medium  |  0.15625  |  4  | 
|  c6gd.large  |  0.3125  |  4  | 
|  c6gd.xlarge  |  0.625  |  4  | 
|  c6gd.2xlarge  |  1.25  |  4  | 
|  c6gd.4xlarge  |  2.5  |  4  | 
|  c6gd.8xlarge  |  4.8  |  4.8  | 
|  c6gd.12xlarge  |  7.5  |  7.5  | 
|  c6gd.16xlarge  |  10  |  10  | 

### Security groups (安全群組)
<a name="security-groups-lni"></a>

根據設計，本機網路介面不會在 VPC 中使用安全群組。安全群組可控制輸入和輸出 *VPC 流量*。本機網路界面未連接到 VPC。本機網路界面連接到本機網路。若要控制本機網路介面的輸入和輸出流量，請使用防火牆或類似策略，就像使用其他內部部署設備一樣。

### 監控
<a name="monitoring-lni"></a>

CloudWatch 指標是針對每個本機網路介面所產生，就像為彈性網路介面產生一樣。如需詳細資訊，請參閱《Amazon [ EC2 使用者指南》中的監控 EC2 執行個體上 ENA 設定的網路效能](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-network-performance-ena.html)。 *Amazon EC2 *

### MAC 地址
<a name="mac-address-lni"></a>

AWS 提供本機網路介面的 MAC 地址。本機網路介面會使用本機管理位址 (LAA) 做為其 MAC 位址。本機網路介面會使用相同的 MAC 位址，直到您刪除介面為止。刪除本機網路介面後，請從本機組態中移除 MAC 地址。 AWS 可以重複使用不再使用的 MAC 地址。

# 在 Outpost 子網路上啟用 LNI
<a name="enable-lni"></a>

若要在 Outposts 伺服器上使用本機網路界面 (LNI)，您必須先在 Outpost 子網路上啟用 LNI。此組態允許在子網路中啟動的執行個體在特定網路裝置索引連接 LNI。

**使用 啟用 LNI AWS CLI**  
執行下列命令，將子網路 ID 取代為您的 Outpost 子網路：

```
aws ec2 modify-subnet-attribute \
    --subnet-id subnet-xxxxxxxxx \
    --enable-lni-at-device-index 1
```

**重要**  
您必須先執行此命令，才能啟動將使用 LNI 的執行個體。裝置索引值 1 表示 LNI 將連接為執行個體上的第二個網路界面 (eth1)。

在子網路上啟用 LNI 之後，您可以建立網路介面並將其連接到裝置索引 1 的執行個體，以建立與內部部署網路的第 2 層連線。

如需架構圖和其他組態範例的完整逐步解說，請參閱[與 AWS Outposts 伺服器建立無縫內部部署連線的架構](https://aws.amazon.com/blogs/networking-and-content-delivery/architecting-for-seamless-on-premises-connectivity-with-aws-outposts-servers/)。

# 將本機網路界面新增至 Outposts 子網路中的 EC2 執行個體
<a name="add-lni"></a>

您可以在啟動期間或之後，將本機網路介面新增至 Outposts 子網路上的 Amazon EC2 執行個體。您可以使用為本機網路介面啟用 Outpost 子網路時所指定的裝置索引，將次要網路介面新增至執行個體，以執行此操作。

**考量事項**  
當您使用主控台指定次要網路介面時，會使用裝置索引 1 建立網路介面。如果這不是您在為本機網路介面啟用 Outpost 子網路時指定的裝置索引，您可以改用 AWS CLI 或 AWS SDK 來指定正確的裝置索引。例如，從 使用以下命令 AWS CLI：[create-network-interface](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-network-interface.html) 和 [attach-network-interface](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-network-interface.html)。

啟動執行個體後，請使用下列程序來新增本機網路介面。如需有關在執行個體啟動期間新增執行個體的資訊，請參閱在 [Outpost 上啟動執行個體](launch-instance.md#launch-instances)。

**將本機網路界面新增至 EC2 執行個體**

1. 前往 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) 開啟 Amazon EC2 主控台。

1. 在導覽窗格中，選擇 **網路與安全** 和 **網路介面**。

1. **建立網路介面**

   1. 選擇 **Create network interface** (建立網路介面)。

   1. 選取與執行個體相同的 Outpost 子網路。

   1. 確認 **私有 IPv4 地址** 設定為 **自動指派**。

   1. 選取任一安全群組。安全群組不適用於本機網路介面，因此您選擇的安全群組不相關。

   1. 選擇 **Create network interface** (建立網路介面)。

1. **將網路介面連接到執行個體**

   1. 選取新建的網路介面核取方塊。

   1. 選擇 **Actions** (動作)、**Attach** (連接)。

   1. 選擇執行個體。

   1. 選擇 **Attach** (連接)。網路介面連接到裝置索引 1。如果您將 1 指定為 Outpost 子網路本機網路界面的裝置索引，則此網路界面是執行個體的本機網路界面。

## 檢視本機網路介面
<a name="interface-types"></a>

當執行個體為執行中狀態時，您可以使用 Amazon EC2 主控台同時檢視彈性網路介面和本機網路介面，尋找 Outpost 子網路中的執行個體。選取執行個體，然後選擇 **聯網** 索引標籤。

主控台會顯示來自子網路 CIDR 之本機網路界面的私有 IPv4 地址。此地址不是本機網路介面的 IP 地址，而且無法使用。但是，此地址是從子網路 CIDR 配置，所以您必須在子網路規模調整中就其加以說明。您必須為訪客作業系統內的本機網路界面設定 IP 地址，無論是靜態或透過 DHCP 伺服器。

## 設定作業系統
<a name="os-configuration-lni"></a>

啟用本機網路介面後，Amazon EC2 執行個體將會有兩個網路介面，其中一個是本機網路介面。請務必設定您啟動之 Amazon EC2 執行個體的作業系統，以支援多重主目錄聯網組態。

# Outposts 伺服器的本機網路連線
<a name="local-server"></a>

使用此主題來了解託管 Outposts 伺服器的網路佈線和拓撲需求。如需詳細資訊，請參閱[Outposts 伺服器的本機網路界面](local-network-interface.md)。

**Topics**
+ [網路中的伺服器拓撲](#lni-topology)
+ [伺服器實體連線](#lni-physical)
+ [伺服器的服務連結流量](#lni-sl)
+ [本機網路介面連結流量](#lni-al)
+ [伺服器 IP 地址指派](#lni-address)
+ [伺服器註冊](#lni-register)

## 網路中的伺服器拓撲
<a name="lni-topology"></a>

Outposts 伺服器需要您聯網設備的兩個不同連線。每條連線會使用不同的纜線，並承載不同類型的流量。多條纜線僅供隔離流量類別，不適用於備援。這兩條纜線不需要連接到一般網路。

下表說明 Outposts 伺服器流量類型和標籤。


| 流量標籤 | Description | 
| --- | --- | 
|  **2**  |  **服務連結流量 **– 此流量可讓 Outpost 和 AWS 區域之間的通訊，以管理 Outpost 和 AWS 區域和 Outpost 之間的 VPC 內流量。服務連結流量包括從 Outpost 到區域的服務連結連線。服務連結是從 Outpost 到地區的一或多個自訂 VPN。Outpost 會連接到您在購買時所選區域的可用區域。  | 
|  **1**  |  **本機網路介面連結流量** – 此流量可讓您透過本機網路介面，從 VPC 與本機 LAN 進行通訊。本機連結流量包括在 Outpost 上執行，可與內部部署網路通訊的執行個體。本機連結流量也會包括透過內部部署網路與網際網路通訊的執行個體。  | 

## 伺服器實體連線
<a name="lni-physical"></a>

每個 Outposts 伺服器都包含非備援的實體上行連接埠。連接埠有自己的速度和連接器需求，如下所示：
+ **10Gbe** – 連接器類型 QSFP\$1

**QSFP\$1 纜線**  
QSFP\$1 纜線具有您連接至 Outposts 伺服器上連接埠 3 的連接器。QSFP\$1 纜線的另一端有四個 SFP\$1 介面，可以連接到交換器。兩個交換器端介面會標示為 `1` 和 `2`。Outposts 伺服器需要這兩個界面才能運作。將 `2` 界面用於服務連結流量，將 `1` 界面用於本機網路界面連結流量。不使用剩餘的介面。

## 伺服器的服務連結流量
<a name="lni-sl"></a>

將交換器上的服務連結連接埠設定為具有閘道的 VLAN 未標記存取連接埠，以及下列區域端點的路由：
+ 服務連結端點
+ Outpost 註冊端點

服務連結連線必須有公有 DNS 可供 Outpost 在 AWS 區域中探索其註冊端點。連線可以在 Outposts 伺服器和註冊端點之間具有 NAT 裝置。如需 公有地址範圍的詳細資訊 AWS，請參閱《*Amazon VPC 使用者指南*》中的 [AWS IP 地址範圍](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html)和《》中的[AWS Outposts 端點和配額](https://docs.aws.amazon.com/general/latest/gr/outposts_region.html)*AWS 一般參考*。

若要註冊伺服器，請開啟下列網路連接埠：
+ TCP 443
+ UDP 443
+ UDP 53

## 本機網路介面連結流量
<a name="lni-al"></a>

將上游網路裝置上的本機網路介面連結連接埠設定為本機網路上 VLAN 的標準存取連接埠。如果您有多個 VLAN，請將上游網路裝置的所有連接埠設定為幹線連接埠。將上游網路裝置上的連接埠設定為預期有多個 MAC 位址。在伺服器上啟動的每個執行個體都會使用 MAC 位址。有些網路裝置會提供連接埠安全功能，可關閉報告多個 MAC 位址的連接埠。

**注意**  
AWS Outposts 伺服器不會標記 VLAN 流量。如果您將本機網路界面設定為幹線，則必須確保您的作業系統標記 VLAN 流量。

下列範例顯示如何在 Amazon Linux 2023 上設定本機網路介面的 VLAN 標記。如果您使用的是其他 Linux 發行版本，請參閱設定 VLAN 標籤的 Linux 發行版本文件。

**範例：在 Amazon Linux 2023 和 Amazon Linux 2 上設定本機網路介面的 VLAN 標記**

1. 確定 8021q 模組已載入核心。如果沒有，請使用 `modprobe` 命令載入。

   ```
   modinfo 8021q
   modprobe --first-time 8021q
   ```

1. 建立 VLAN 裝置。在此範例中：
   + 本機網路界面的界面名稱為 `ens6`
   + VLAN ID 是 `59`
   + 指派給 VLAN 裝置的名稱是 `ens6.59`

   ```
   ip link add link ens6 name ens6.59 type vlan id 59
   ```

1. 選用。如果您要手動指派 IP，請完成此步驟。在本例中，我們要指派 IP 192.168.59.205，其中子網路 CIDR 是 192.168.59.0/24。

   ```
   ip addr add 192.168.59.205/24 brd 192.168.59.255 dev ens6.59
   ```

1. 啟用連結。

   ```
   ip link set dev ens6.59 up
   ```

若要在作業系統層級設定網路介面，並持久性變更 VLAN 標籤，請參閱下列資源：
+ 如果您使用的是 Amazon Linux 2，請參閱《Amazon Linux 2 使用者指南》中的[使用 ec2-net-utils for AL2 設定網路介面](https://docs.aws.amazon.com/linux/al2/ug/ec2-net-utils.html)。 **
+ 如果使用 Amazon Linux 2023，請參閱《Amazon Linux 2023 使用者指南》**中的《[聯網服務](https://docs.aws.amazon.com/linux/al2023/ug/networking-service.html)》。

## 伺服器 IP 地址指派
<a name="lni-address"></a>

執行個體上的 AWS Outposts 伺服器服務連結和本機網路介面不需要公有 IP 地址指派。對於服務連結，您可以手動指派 IP 地址或使用動態主機控制通訊協定 (DHCP)。若要設定服務連結連線，請參閱*AWS Outposts 伺服器安裝指南*中的[設定和測試連線](https://docs.aws.amazon.com/outposts/latest/install-server/authorize-3.html)。

若要設定本機網路介面連結，請參閱 [設定作業系統](add-lni.md#os-configuration-lni)。

**注意**  
請確定您使用 Outposts 伺服器的穩定 IP 地址。IP 地址變更會造成 Outpost 子網路暫時服務中斷。

## 伺服器註冊
<a name="lni-register"></a>

當 Outpost 伺服器在本機網路上建立連線時，他們會使用服務連結連線來連線至 Outpost 註冊端點並自行註冊。註冊需要公有 DNS。伺服器註冊時，會建立連接至區域中服務連結端點的安全通道。Outposts 伺服器使用 TCP 連接埠 443 來促進透過公有網際網路與 區域的通訊。Outpost 伺服器不支援透過 VPC 的私有連線。