EC2用例上的多个ENIs

Question

我在一个定制的VPC中创建了两个私有子网PRIVATEA和PRIVATEB。这些子网位于不同的可用区域。在PRIVATEA中添加了一个EC2实例。该实例已经附加了一个ENI eth0。接下来，我在另一个PRIVATEB子网中创建了一个ENI，并将它附加到PRIVATEB子网中的EC2实例。安装是成功的。基本上，我遵循了这个设置的博客教程。它说，二级接口将允许另一组的流量，即管理。

但我无法将任何用例与之联系起来。有谁能解释一下我们什么时候使用这样的装置？这是在这个论坛上提出的正确问题吗？

谢谢

Answer 1

弹性网络接口(ENI)是连接Amazon中的EC2实例和子网的虚拟网卡。事实上，ENIs还被Amazon数据库、AWS Lambda函数、Amazon数据库以及连接到VPC的任何其他资源所使用。

其他ENIs可以附加到Amazon实例。这些额外的ENIs可以连接到同一可用性区域中的不同子网上。然后，操作系统可以将流量路由到不同的ENIs。

安全组实际上与ENIs (而不是实例)关联。因此，不同的ENIs对于进出实例的流量可能有不同的规则。

使用多个ENIs的一个示例是创建一个DMZ，它充当流量必须通过的边界。例如：

Internet --> DMZ --> App Server

在这种情况下，所有通信量都必须通过DMZ，在DMZ中，通常在将通信量传递到服务器之前对其进行检查。这个可以通过使用多个ENIs来实现，其中一个ENI连接到一个公共子网以接收流量，另一个ENI连接到一个私有子网发送流量。子网上的网络ACL可以配置为不允许在子网之间传输流量，因此通信量从公共子网流向私有子网的唯一途径是通过DMZ实例，因为它连接到两个子网。

另一个用例是软件，它将许可附加到MAC地址上.有些软件产品这样做是因为MAC地址在所有网络设备中都是唯一的(尽管有些设备允许更改)。因此，他们在附加到二级ENI的MAC地址下注册他们的软件。如果需要替换该实例，则可以在不更改MAC地址的情况下将次要ENI移动到另一个实例。