我在自定义VPC中创建了2个私有子网PRIVATEA和PRIVATEB。这些子网位于不同的可用区域中。在PRIVATEA中添加了EC2实例。该实例已经附加了一个ENI eth0。接下来,我在另一个PRIVATEB子网中创建了一个ENI,并将其附加到PRIVATEB子网中的EC2实例。设置成功。基本上,我遵循此设置的博客教程。它说,辅助接口将允许另一个组(即管理)的流量。
但是我无法将任何用例与之关联。谁能解释一下我们什么时候使用这种设置?这是在此论坛中提出的正确问题吗?
谢谢
答案 0 :(得分:1)
弹性网络接口(ENI)是一个虚拟网卡,用于将Amazon EC2实例连接到Amazon VPC中的子网。实际上,Amazon RDS数据库,AWS Lambda函数,Amazon Redshift数据库以及连接到VPC的任何其他资源也使用ENI。
其他ENI可以附加到Amazon EC2实例。这些额外的ENI可以连接到同一可用区中的不同子网。然后,操作系统可以将流量路由到不同的ENI。
安全组实际上与ENI(而不是实例)相关联。因此,不同的ENI对于进入/流出实例的流量可能具有不同的规则。
使用多个ENI的示例是创建一个DMZ,它充当流量必须通过的边界。例如:
Internet --> DMZ --> App Server
在这种情况下,所有流量都必须经过DMZ,通常在将其传输到服务器之前先检查流量。 可以通过使用多个ENI来实现,其中一个ENI连接到公共子网以接收流量,另一个ENI连接到私有子网以发送流量。子网中的网络ACL可以配置为禁止流量在子网之间传递,因此流量可以从公共子网流向私有子网的唯一方法是通过DMZ实例,因为它已连接到两个子网。
另一个用例是将许可证附加到MAC地址的软件。某些软件产品之所以这样做,是因为MAC地址在所有联网设备上都是(唯一的)(尽管某些设备允许更改)。因此,他们在附加到辅助ENI的MAC地址下注册其软件。如果需要替换该实例,则可以在不更改MAC地址的情况下将辅助ENI移至另一个实例。