[AWS] EC2 탄력적 네트워크 인터페이스 (ENI)

EC2 인스턴스를 효과적으로 활용하기 위해서는 네트워킹에 대한 이해가 필수적입니다. 그 중에서도 탄력적 네트워크 인터페이스(Elastic Network Interface, ENI)는 AWS 네트워킹의 핵심 구성 요소로, EC2 인스턴스의 네트워크 연결을 관리하는 데 중요한 역할을 합니다. 이 글에서는 ENI의 개념부터 실제 활용 방법까지 상세히 알아보겠습니다.

---

ENI란 무엇인가?

ENI(Elastic Network Interface)는 VPC 내에서 가상 네트워크 카드를 나타내는 논리적 구성 요소입니다. 이는 EC2 인스턴스에 네트워크 연결을 제공하는 기본 수단이며, 기본적으로 모든 EC2 인스턴스는 최소한 하나의 ENI(eth0)와 함께 생성됩니다.

ENI인 Eth0에 연결되어 EC2 인스턴스 네트워크 연결을 제공 → private ip로

ENI의 주요 속성

ENI는 다음과 같은 중요한 속성을 가질 수 있습니다:

1. IP 주소 관련 속성:
   • Primary private IPv4 주소: 각 ENI는 반드시 하나의 주요 사설 IP 주소를 가집니다.
   • Secondary private IPv4 주소(들): 하나의 ENI에 여러 개의 보조 사설 IP 주소를 할당할 수 있습니다.
   • Elastic IP(IPv4): 각 사설 IPv4 주소마다 하나의 탄력적 IP 주소를 연결할 수 있습니다.
   • Public IPv4 주소: 하나의 공용 IPv4 주소를 가질 수 있습니다.
   • IPv6 주소(들): 필요에 따라 여러 IPv6 주소를 할당할 수 있습니다.
2. 보안 관련 속성:
   • 보안 그룹(Security Group): 하나 이상의 보안 그룹을 ENI에 연결할 수 있습니다.
   • Source/Destination Check: 기본적으로 활성화되어 있으며, 네트워크 주소 변환이나 라우팅 용도로 사용할 경우 비활성화할 수 있습니다.
3. 식별 속성:
   • MAC 주소: 각 ENI는 고유한 MAC 주소를 가집니다.
   • 설명(Description): ENI에 설명을 추가하여 관리를 용이하게 할 수 있습니다.

EC2 인스턴스와 독립적으로 ENI를 생성한 후 on the fly(즉시) attach(연결)하거나 failover(장애)조치를 위해 EC2에서 move(이동)시킬수 있습니다.

---

ENI의 주요 특징

1. 가용 영역 바인딩:
   • ENI는 생성 시 지정한 특정 가용 영역(AZ)에 영구적으로 바인딩됩니다.
   • 따라서 ENI는 같은 가용 영역 내의 인스턴스 간에만 이동할 수 있습니다.
2. 인스턴스 독립성:
   • ENI는 EC2 인스턴스와 독립적으로 생성, 관리, 삭제할 수 있습니다.
   • 인스턴스가 종료되더라도 사용자가 명시적으로 생성한 ENI는 삭제되지 않습니다.
3. 온디맨드 연결:
   • ENI를 실행 중인 EC2 인스턴스에 즉시(on the fly) 연결하거나 분리할 수 있습니다.
   • 이는 장애 조치(failover) 시나리오에서 특히 유용합니다.
4. 비용:
   • ENI 자체는 추가 비용이 발생하지 않습니다.
   • 단, 연결된 탄력적 IP나 데이터 전송에는 비용이 부과될 수 있습니다.

인스턴스에 다른 문제가 생겼는데 또 다른 ENI가 연결되어 있다고 하면?
→ 첫 번째 EC2 인스턴스에서 두 번째 EC2 인스턴스로 Eth1을 옮겨서 Private IP를 이동시킬 수 있다.

그러면 private IP가 첫 번째 failover(장애) 인스턴스에서 두 번째 EC2 인스턴스로 연결되게 된다.
→ 이건 failover(장애) 조치에 유용

---

ENI의 실제 활용 사례 - 네트워크 장애 조치(Failover)

 ENI의 가장 일반적인 활용 사례 중 하나는 네트워크 장애 조치입니다.

시나리오

• 동일한 애플리케이션을 실행하는 두 개의 EC2 인스턴스가 있습니다.
• 주 인스턴스에 장애가 발생했을 때, 보조 인스턴스가 빠르게 서비스를 대체해야 합니다.

해결책

1. 주 인스턴스에 연결된 ENI를 생성합니다.
2. 주 인스턴스에 장애가 발생하면 해당 ENI를 분리합니다.
3. 동일한 ENI를 보조 인스턴스에 연결합니다.
4. 이로써 IP 주소가 변경되지 않고 서비스 연속성이 유지됩니다.

이점

• DNS 변경 전파 대기 시간 없이 빠른 장애 조치가 가능합니다.
• 기존 연결 상태와 IP 주소가 보존됩니다.

아래는 인스턴스 장애 발생 시 ENI를 이동시키는 과정입니다

EC2 인스턴스 1(주 서버)    →    장애 발생    →    ENI 분리
                                            ↓
                                   EC2 인스턴스 2(보조 서버)에 ENI 연결
                                            ↓
                                     서비스 계속 제공

---

AWS 콘솔에서 ENI 생성 및 관리 방법

ENI 생성하기

• AWS 관리 콘솔에 로그인후, EC2 서비스로 이동. 왼쪽 탐색 창에서 '네트워크 인터페이스'를 선택합니다.
• '네트워크 인터페이스 생성' 버튼을 클릭합니다.

다음 정보를 입력합니다.

• 설명(예: "DemoENI")
• 서브넷(ENI가 위치할 서브넷 선택)
• 사설 IPv4 주소(자동 할당 또는 특정 주소 지정)
• 보안 그룹(하나 이상 선택)

설정 완료 후, '생성' 버튼을 클릭합니다.

• 생성하면 이렇게 생성한 새로운 네트워크 인터페이스가 DemoENI라는 설명과 함께 사용 가능하다고 나옵니다.

보조 프라이빗 IPv4를 생성한 것을 확인

---

EC2 인스턴스에 ENI 연결하기

또한 iP 주소를 인스턴스에 연결하기 위해 Actions 메뉴의 연결(Attach)을 클릭하여 인스턴스를 연결할수도 있습니다.

1. 생성된 ENI 목록에서 연결하려는 ENI를 선택합니다.
2. '작업' 드롭다운 메뉴에서 '연결'을 선택합니다.
3. 대상 EC2 인스턴스를 선택합니다.
4. '연결' 버튼을 클릭합니다.

설정 완료후, 연결한 인스턴스에서 네트워크 부분쪽 확인하면, 보조 private ip 주소가 있는걸 알수 있습니다.

 

이렇게 구성하는 이유는, ENI를 제어할 수 있기 때문에 이 ENI를 통해 EC2 인스턴스에서 다른 인스턴스로 이동합니다.

ex) 같은 애플리케이션을 가동 중인 EC2 인스턴스가 두 개 있고 프라이빗 IPv4를 통해 다른 인스턴스로 액세스하려면 ENI를 다른 쪽으로 옮겨주면 됩니다.

• 이렇게 하면 다른 방법보다 빠르고 간편하게 네트워크 장애 조치를 수행할수 있습니다.

---

ENI 분리하기

1. 분리하려는 ENI를 선택합니다.
2. '작업' 드롭다운 메뉴에서 '분리'를 선택합니다.
3. 확인 대화 상자에서 '분리'를 클릭합니다.

detach(분리)해서 다른 인스턴스에도 ENI를 연결할수도 있습니다.

---

ENI 사용 시 주의사항

1. 가용 영역 제한:
   • ENI는 생성된 가용 영역 외부의 인스턴스에 연결할 수 없습니다.
   • 다른 가용 영역에서 장애 조치가 필요한 경우, 각 가용 영역에 ENI를 미리 준비해야 합니다.
2. 인스턴스 유형별 ENI 제한:
   • EC2 인스턴스 유형에 따라 연결할 수 있는 ENI의 최대 개수가 다릅니다.
   • 예: t2.micro는 최대 2개, c5.18xlarge는 최대 8개의 ENI를 지원합니다.
3. 보안 그룹 변경:
   • ENI의 보안 그룹은 언제든지 변경할 수 있지만, 이는 즉시 적용됩니다.
   • 변경 사항이 현재 트래픽에 미치는 영향을 고려해야 합니다.
4. 기본 ENI 삭제 불가:
   • EC2 인스턴스와 함께 자동으로 생성된 기본 ENI(eth0)는 인스턴스가 실행 중일 때 분리하거나 삭제할 수 없습니다.
5. ENI 삭제:
   • ENI를 삭제하려면 먼저 인스턴스에서 분리해야 합니다.
   • 삭제된 ENI는 복구할 수 없으므로 주의해야 합니다.

if. ENI를 연결한 인스턴스를 종료하면? → 직접 만든 ENI는 그대로 남고 인스턴스와 함께 생성된 ENI는 자동으로 삭제.
ENI는 있어도 비용이 발생하지 않음.

ENI 관련 내용

아직 ENI에 대한 내용이 명확히 이해되지 않는 분이 계실 수도 있습니다. 저도 많이 어렵더라고요...

AWS에서도 심화 개념으로 숙달하는 데 시간이 걸릴 수 있어요.

ENI에 대해 더 배우고 싶다면, 이 블로그 글을 읽는 게 도움이 되었으면 좋겠습니다!

https://aws.amazon.com/blogs/aws/new-elastic-network-interfaces-in-the-virtual-private-cloud/

New – Elastic Network Interfaces in the Virtual Private Cloud | Amazon Web Services

---

결론

ENI는 AWS EC2 환경에서 네트워크 연결, 장애 조치, 보안을 관리하는 강력한 도구입니다. 인스턴스 간에 IP 주소를 이동하거나, 다중 홈 서버를 구성하거나, 네트워크 트래픽을 세밀하게 제어하는 데 ENI를 활용할 수 있습니다.

비록 ENI의 개념과 활용 방법을 완전히 이해하는 데 시간이 걸릴 수 있지만, AWS 인프라를 최적화하고 견고하게 만드는 데 중요한 구성 요소임은 분명합니다. 이 가이드를 통해 ENI의 기본 개념과 실제 활용 방법을 익혀, AWS 네트워킹 환경을 더욱 효과적으로 관리하시기 바랍니다.

Tip: ENI를 활용한 장애 조치 전략을 구현할 때는 가용 영역의 제약을 염두에 두세요. 여러 가용 영역에 걸친 고가용성이 필요하다면, 각 가용 영역에 ENI를 준비하고 Route 53 같은 DNS 서비스와 결합하는 복합적인 접근 방식을 고려하세요.

참고 자료

• AWS 탄력적 네트워크 인터페이스(ENI) 공식 문서
• VPC에서 탄력적 네트워크 인터페이스 활용하기
• EC2 인스턴스 네트워킹 최적화 가이드
• AWS 고가용성 아키텍처 설계