本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EC2 執行個體的多個網路介面 當您想要執行下列作業時,將多個網路介面連接到一個執行個體會很有用: + [網路管理](#creating-a-management-network)。 + [網路和安全設備](#use-network-and-security-appliances-in-your-vpc)。 + 在不同[子網路](#creating-dual-homed-instances-with-workloads-roles-on-distinct-subnets)或 [VPCs](#creating-dual-homed-instances-with-workloads-roles-on-distinct-subnets) 中具有工作負載的雙主目錄執行個體。 + 建立[低預算、高可用性的](#create-a-low-budget-high-availability-solution)解決方案。 ## 網路管理 下列概觀說明使用多個網路介面建立的管理網路。 **條件** + 執行個體上的主要網路介面 (例如:eth0) 會處理公有流量。 + 執行個體上的次要網路介面 (例如:eth1) 會處理後端管理流量。它連線到另一個子網路,具有更嚴格的存取控制,並與主要網路介面位於同一個可用區域 (AZ)。 **設定** + 主要網路介面可能在負載平衡器後面,也可能不在負載平衡器後面,具有關聯的安全群組,可允許從網際網路存取伺服器。例如,允許從 0.0.0.0/0 或負載平衡器存取 TCP 連接埠 80 和 443。 + 次要網路介面具有關聯的安全群組,僅允許從下列其中一個位置起始的 SSHRDP 存取: + 允許的 IP 位址範圍 (VPC 內或來自網際網路)。 + 與主要網路介面位於相同 AZ 中的私有子網路。 + 虛擬私有閘道。 **注意** 為確保容錯移轉功能,請考慮使用輔助私有 IPv4 處理網路介面的傳入流量。執行個體故障時,您可將執行個體及/或輔助私有 IPv4 地址移至待命的執行個體。 ![建立管理網路](http://docs.aws.amazon.com/zh_tw/AWSEC2/latest/UserGuide/images/EC2_ENI_management_network.png) ## 網路和安全設備 有些網路和安全設備,如負載平衡器、網路位置轉譯 (NAT) 伺服器和代理伺服器等,最好能設定多個網路介面。您可建立輔助網路介面,並將它們連接到正在執行這些應用程式類型的執行個體,然後使用它們自己的公有和私有 IP 位址、安全群組和來源/目標檢查來設定其他介面。 ## 在不同子網路中具有工作負載的雙主目錄執行個體 您可在連線至應用程式伺服器所在之中間層網路的每一個 Web 伺服器上放置網路介面。應用程式伺服器也可以是資料庫伺服器所在之後端網路 (子網路) 的雙目錄。每個雙目錄執行個體都會在前端收到及處理請求、起始後端連線,然後將請求傳送至後端網路的伺服器,而非透過雙目錄執行個體路由網路套件。 ## 相同帳戶中不同 VPCs中具有工作負載的雙主目錄執行個體 您可以在一個 VPC 中啟動 EC2 執行個體,並將另一個 VPC (位於同一個可用區域) 的次要 ENI 連接到執行個體。如此一來,您就能在不同 VPC 建立多重主目錄執行個體,分別使用不同的網路和安全組態。您無法在不同 AWS 帳戶中跨 VPCs 建立多主目錄執行個體。 在下列使用案例中,您可以跨 VPC 使用雙主目錄執行個體: + **克服兩個無法對等的 VPC 之間的 CIDR 重疊問題**:您可以在 VPC 中運用次要 CIDR,並允許執行個體跨兩個非重疊的 IP 範圍進行通訊。 + **在單一帳戶內連接多個 VPC**:啟用個別資源之間的通訊,這些資源通常會以 VPC 界限隔開。 ## 低預算、高可用性解決方案 如果提供特定功能的其中一個執行個體故障,其網路介面可連接到為相同角色預先設定之替代或熱待命的執行個體,以迅速復原服務。例如,您可使用網路介面做為重大服務的主要或輔助網路介面,例如資料庫執行個體或 NAT 執行個體。如果執行個體故障,您 (或更有可能是代您執行的程式碼) 可將網路介面連接到熱待命執行個體。因為執行個體維持其私有 IP 位址、彈性 IP 位址和 MAC 地址,所以您一旦將網路介面連接到替代執行個體,網路流量即開始流向待命的執行個體。使用者從執行個體故障到網路介面連接到待命執行個體這段時間內,會短暫遺失連線能力,但不需要變更路由表或您的 DNS 伺服器。