Várias ENIs são necessárias para instâncias do AWS EC2?

3

O AWS permite que você conecte várias interfaces de rede elásticas (ENIs) a uma instância do EC2. Além de "fazer com que pareça um servidor local", há casos em que várias ENIs são realmente necessárias?

Eu considerei as razões pelas quais alguém faria isso em um ambiente local, mas nenhuma delas parece se aplicar à AWS:

  • Agregação de links
  • Redundância de links
  • Interfaces de gerenciamento separadas
  • IDS / IPS em linha
  • Firewall in-line

O roteador implícito da AWS sempre "fica" entre cada ENI e tudo mais, portanto, não é possível colocar outra instância (executando, digamos, um sniffer) em linha.

A própria documentação da Amazon não é clara sobre o motivo pelo qual você deseja várias ENIs em uma instância. Apenas diz que várias interfaces são "úteis quando você quer:"

Create a management network.
Use network and security appliances in your VPC.
Create dual-homed instances with workloads/roles on distinct subnets.
Create a low-budget, high-availability solution.

Mas isso não explica porque as ENIs são necessárias ou mesmo desejáveis para esses casos de uso. (É óbvio que várias ENIs seriam necessárias para instâncias de hospedagem dupla em diferentes sub-redes, mas isso não explica por que você deseja uma instância dual-homed em primeiro lugar).

O único caso de uso que posso criar é uma instância executando contêineres (ou seja, Docker) e você deseja mapear contêineres individuais para hospedar endereços IP em diferentes sub-redes.

Quais são os casos de uso para várias ENIs, se houver?

    
por Ben 01.09.2017 / 00:32

4 respostas

1

A AWS criou resiliência para interrupções com suas ENIs. No entanto, pode haver casos em que você deseja ter várias ENIs em um servidor.

Por exemplo, um servidor MTA com vários endereços IP de saída pode querer executar várias ENIs em um servidor para que ele possa manipular mais emails sem ser atingido em sinalizadores de spammer.

Como o @Nath apontou, você também pode querer que várias ENIs operem seu servidor como um firewall e tenha uma ponte entre duas interfaces para executar algumas inspeções de pacotes.

Nunca há necessidade de ter várias ENIs em uma instância em termos de usabilidade da AWS, no entanto, pode haver ocasiões em que você 'precise' várias ENIs para realizar uma tarefa de seus lances.

Espero que ajude!

    
por 19.09.2017 / 17:22
1

Os casos de uso são softwares que exigem uma interface "externa / Internet" e uma interface "interna / privada" ou, quando isso faz com que o software / SO seja mais fácil de configurar, o que é um monte de dispositivos de firewall / proxy. Eu pessoalmente os usei com as APIs do Cisco CSR e do netscaler marketplace conforme você acaba com a configuração que se parece com a configuração que estou acostumado a ver fora do aws (eu também acabei adicionando uma segunda interface interna fazendo isso em um dos nossos Webservers ao debugar como significou que ao fazer uma captura de pacotes nesta interface interna eu podia ver o tráfego entre ele e suas dependências downstream (DB, LDAP) sem ter que filtrar o tráfego de e para a internet o que simplificava a captura e me deu métricas SNMP mais significativas do sistema operacional.

    
por 02.09.2017 / 05:30
0

Dois grandes usos para ENI:

  • Você deseja fazer failover de um EIP público. Ter uma instância em keepalives do monitor em espera e roubar a interface se uma primária ficar inativa.

  • Roteamento entre VPCs, IE. Firewall de aplicativos, IPS / IDS, roteador VPN, gateway de segurança, etc.

por 22.09.2017 / 06:58
-2

Você pode iniciar uma instância com uma interface em uma sub-rede privada. Posteriormente, você poderia anexar um ENI em uma sub-rede pública para permitir o tráfego de entrada da Internet. Você precisaria de 2 ENIs para fazer isso acontecer.

    
por 16.09.2017 / 10:10