Trong bài viết này tôi đã tổng hợp và kiểm tra các ứng dụng của chức năng đính kèm của Multi-VPC Elastic Network Interface (ENI) Attachment cho các Amazon Elastic Cloud Compute (EC2) instance đã được phát hành vào tháng trước.

Multi-VPC ENI Attachment là gì?

  • Bạn có thể khởi động các EC2 instance sử dụng ENI chính (Primary ENI) trong một VPC, và kết nối đến ENI thứ hai (Secondary ENI) từ một VPC khác.
  • Trước đây, bạn cũng có thể đính kèm nhiều ENI trong cùng một VPC vào một instance, nhưng với bản cập nhật lần này, bạn có thể đính kèm ENI từ một VPC khác.
  • Các EC2 instance có ENI đính kèm từ nhiều VPC được gọi là “dual-homed instance” trong tài liệu hướng dẫn chính thức của AWS.
Mô hình hoạt động của Multi-VPC ENI Attachment
Mô hình hoạt động của Multi-VPC ENI Attachment

Hạn chế khi sử dụng Multi-VPC ENI Attachment

Các điều kiện tiên quyết để sử dụng.

  •  ENI thứ hai phải được đặt trong cùng availability zone (AZ) với ENI chính.
  •  Không thể tạo instance multi-homed trên các VPC thuộc các tài khoản AWS khác nhau, tức là phải đặt chúng trong cùng một tài khoản.

So sánh Multi-VPC ENI Attachment với các dịch vụ Multi-VPC khác

Tôi đã tổng hợp sự khác biệt giữa Multi-VPC ENI Attachment và các dịch vụ Multi-VPC khác

VPC Peering

  • Định tuyến lưu lượng mạng riêng giữa hai VPC
  • Không hỗ trợ địa chỉ IP trùng lặp
  • Có thể tạo giữa các VPC trong cùng một tài khoản AWS, giữa các VPC của các tài khoản AWS khác nhau, hoặc giữa các VPC ở các AWS region (khu vực AWS) khác nhau
  • Kết nối one-to-many (1-n)
  • Hỗ trợ địa chỉ IP trùng lặp
  • Cần sử dụng ELB
  • Phát sinh chi phí cân bằng tải (Load balancer) và endpoint mỗi giờ
  • Có thể kết nối với tài khoản khác

AWS Transit Gateway

  • Sử dụng bảng định tuyến many-to-many (n-n) và one-to-many (1-n)
  • Phát sinh chi phí AZ endpoint mỗi giờ
  • Sau khi chia sẻ Transit Gateway với các tài khoản AWS khác, có thể đính kèm VPC

Amazon VPC Lattice

  • Dịch vụ mạng lớp Application để kết nối các ứng dụng với nhau một cách đơn giản và an toàn
  • Có thể xây dựng môi trường truyền thông mà không cần thiết kế chi tiết IP Routeing như Transit Gateway, VPC Peering, hay Private Link.

Multi-VPC ENI Attachment

  • Chỉ hỗ trợ kết nối trong cùng một tài khoản
  • Chỉ có thể đính kèm trong cùng một AZ.
  • Cần phải cài đặt root table ở phía OS

Thử nghiệm

  1. Tạo EC2 instance. Tại thời điểm này, một ENI đã được đính kèm.
Tạo EC2 instance mới
Tạo EC2 instance mới
  1. Không thể đính kèm network interface từ management console.
Giao diện attach network interface
Giao diện attach network interface
  1. Thử đính kèm ENI của một AZ khác từ CLI. Chọn ENI từ AZ khác.

# aws ec2 attach-network-interface –device-index 1 –instance-id i-XXXXXXXX –network-interface-id eni-0XXXXXXXXXX

An error occurred (InvalidParameterCombination) when calling the AttachNetworkInterface operation: You may not attach a network interface to an instance if they are not in the same availability zone

Thông báo này có nghĩa là: Đã xảy ra lỗi (InvalidParameterCombination) khi gọi thao tác AttachNetworkInterface: Bạn không thể đính kèm giao diện mạng vào một phiên bản nếu chúng không nằm trong cùng vùng khả dụng

  1. Chọn ENI từ cùng một AZ trong một VPC khác.
# aws ec2 attach-network-interface –device-index 1 –instance-id i-xxxxxxx –network-interface-id eni-0xxxxxxx
{
“AttachmentId”: “eni-attach-0ab2b0df9c430ee7b”,

“NetworkCardIndex”: 0
}

Có vẻ như đã đính kèm thành công.

Giao diện khi bạn đính kèm ENI thành công

Ứng dụng Multi-VPC ENI Attachment

Sử dụng Multi-VPC ENI Attachment cho phép bạn thực hiện các workloads đã được kết nối giữa các VPC đã được phân đoạn (lợi ích được mô tả trong tài liệu chính thức)

Ví dụ, trong các trường hợp sử dụng các VPC khác nhau cho các loại network traffic, như control plane traffic hoặc data plane traffic.

Vừa chia sẻ tài nguyên vừa tách rời logical network, và giả định sử dụng các loại đường truyền khác nhau trong AWS, giữa AWS và on-premise.

Nếu sử dụng nhiều NAT Gateway là lãng phí thì có thể chia sẻ NAT Gateway không? Có thể được. Tuy nhiên, không được khuyên dùng vì cách sử dụng này sẽ làm tăng rủi ro trong bảo mật.

Tham khảo:

新機能 Multi-VPC ENI アタッチメントの使いどころ