我目前正致力于在EC2的生产环境中build立一个质量保证环境。 所有这些实例都在VPC设置中,并具有以下子网:
10.0.83.0/24 - Production 10.0.81.0/24 - QA 我有一个EC2实例作为网关机器运行,已经有2个网卡,这似乎是限制(一个网卡用于外部IP,另一个用于内部网卡)。 我最初的计划是在10.0.81.0/24子网中添加另一个NIC,但这似乎是不可能的。
所以,我的下一个计划是将新的IP添加到现有的内部网卡,从而得到这个configuration:
eth1 Link encap:Ethernet HWaddr 06:84:b1:68:6a:72 inet addr:10.0.83.10 Bcast:10.0.83.255 Mask:255.255.255.0 eth1:0 Link encap:Ethernet HWaddr 06:84:b1:68:6a:72 inet addr:10.0.81.10 Bcast:10.0.81.255 Mask:255.255.255.0
然后确保虚拟NIC处于正确的安全组中。 路由表显示正确:
10.0.83.0 * 255.255.255.0 U 203 0 0 eth1 10.0.81.0 * 255.255.255.0 U 0 0 0 eth1
然后,我为这个新地址build立了岸边墙,并重新启动了它:
/etc/shorewall/interfaces: #ZONE INTERFACE BROADCAST OPTIONS .... - eth1 10.0.83.255,10.0.81.255 logmartians .... /etc/shorewall/hosts #ZONE HOST(S) OPTIONS loc eth1:10.0.83.0/24 qa eth1:10.0.81.0/24 /etc/shorewall/policy #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK qa net ACCEPT $FW qa ACCEPT
生成的iptables规则看起来很理智,但是,我没有连接到10.0.81.0/24子网(ping或nmap)
任何人都有经验,在EC2这样的设置,可以指出我明白的东西明显吗?
我不认为你可以将弹性networking接口(ENI)别名到另一个子网。 您是否曾尝试通过AWS控制台向其添加其他私有IP(右键单击实例并单击pipe理networking接口,或类似的东西)?
另外,不同的实例对它们可以具有的接口数量也有限制。 下面是一个表格: http : //docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html#AvailableIpPerENI