Cours Aws

3.35 Qu'est ce qu'une ENI AWS

Une ENI (Elastic Network Interface) est un composant logique d'un VPC qui joue le rôle d'une carte réseau virtuelle attachée à une instance EC2. Chaque instance dispose au minimum d'une interface primaire (eth0) qui lui fournit sa connectivité. Cette interface primaire porte une adresse IPv4 privée, peut héberger une ou plusieurs adresses IPv4 secondaires, recevoir une adresse IPv4 publique et, surtout, être associée à une Elastic IP. Une ENI appartient toujours à une zone de disponibilité précise et ne peut pas être déplacée vers une autre AZ.

Attributs et cas d'usage d'une ENI

  • Une ou plusieurs adresses IPv4 privées (primaire + secondaires).
  • Une IP publique et/ou une Elastic IP pour l'accès depuis Internet.
  • Un ou plusieurs groupes de sécurité attachés à l'interface.
  • Une adresse MAC et un identifiant unique propre à l'ENI.

L'intérêt principal de l'ENI est qu'on peut la créer indépendamment d'une instance, puis l'attacher à la volée. C'est idéal pour gérer un failover : si une instance tombe, on détache l'ENI secondaire et on l'attache à une instance de secours pour rétablir le service très rapidement, en conservant l'IP et la configuration réseau.

Dans la console EC2, on lance deux instances dans la même zone us-west-3a avec le VPC par défaut. Chaque instance reçoit automatiquement une IP privée, une IP publique et une interface réseau eth0. Dans la section Network Interfaces, on peut visualiser ces interfaces, leur statut in-use, leur groupe de sécurité et leur AZ.

On crée ensuite manuellement une nouvelle ENI dans la même zone, en choisissant l'attribution automatique d'une IP ou en en saisissant une, et en lui assignant un groupe de sécurité. Cette ENI apparaît en statut available. On peut alors l'attacher à la première instance : celle-ci se retrouve avec deux interfaces réseau, donc deux IP privées différentes. En détachant l'ENI puis en l'attachant à la seconde instance, on bascule la configuration réseau d'une machine à l'autre en quelques secondes.

À retenir : l'interface primaire d'une instance ne peut jamais être détachée, alors que les ENI secondaires peuvent être détachées et rattachées librement à d'autres instances dans la même zone de disponibilité, ce qui en fait un outil clé pour la haute disponibilité et la sécurisation des connexions.