什么是弹性网卡ENI

容器网络方案：您可以使用基于弹性网卡的CNI (Container Network Interface)插件来管理K8s集群Pod的网络地址和通信。例如，您可以使用阿里云开源的基于专有网络VPC弹性网卡的容器网络接口CNI插件Terway。它支持基于Kubernetes标准的网络策略来定义容器间的访问策略，提供了基于弹性网卡的VPC模式和基于弹性网卡辅助IP的ENI多IP模式，您可以灵活选择来实现Kubernetes集群内部的网络互通。更多信息，请参见使用Terway网络插件。

网络与安全管理：多块网卡可以实现虚拟化网络设备功能，例如配置有多块网卡的负载均衡器、网络地址转换（NAT）服务器和代理服务器等。安全虚拟设备通常配置多个虚拟网卡，每块网卡都配置有自己的专有IP地址，并根据需要配置公网IP地址与防火墙。一种典型设置是实例上的主网卡处理外部公网流量，辅助弹性网卡处理内部流量，并连接到您的VPC中的各个子网。主网卡有一个关联的安全组控制从Internet（或者公网负载均衡器的TCP 80和443端口）对服务器的访问，而私有网卡关联的安全组只控制来自VPC内允许的私有子网的访问。外部流量只能从公共外部客户端通过主网卡的虚拟防火墙（安全组）强制卡点访问专用VPC网络。所有可从互联网访问的资源都应该与您的内部网络及其服务分离开来。这在很大程度上限制了安全违规可能影响的范围及造成的损害。

外网隔离：在分层网络架构方面，一项最佳实践是将面向公众的服务与内部网络及其服务隔离开来。您可以在连接到中层网络（存在应用服务器）的每个网络服务器上都挂载一块辅助弹性网卡。一块网卡接收面向公众的流量，另一块网卡处理访问控制比较严格的后端专用流量。每个双宿主实例会先接收和处理前端请求，然后启动到后端的连接，接着将请求发送至后端网络上的服务器。通过配置独立网卡（一个面向公众，另一个专用），您可以将独立的防火墙规则和访问控制分别应用到每块网卡，并在从公开网域到专用网域的通信过程中强制实施安全功能。

高可用：如果您的实例失效，其网卡可挂载到预配置的热/冷备用实例，以快速恢复服务。例如，您可以将一块网卡用作连接数据库实例或NAT实例等关键服务的主要或辅助网卡。如果实例失效，您（或更有可能是代表您运行的代码）可以将网卡挂载到热备用实例。由于网卡保留了私有IP地址、弹性EIP地址和MAC地址，因此只要您将网卡挂载到替代实例，网络流量就会立即开始流向备用实例。

流量隔离：在某些应用中，某些流量极其敏感。在这种情况下，可使用弹性网卡将这部分流量与其他流量分离开来，以保证在出现流量高峰或流量拥塞时可以使用最低带宽。每块网卡都设置一个虚拟队列。虚拟队列可防止一个VPC网络出现的带宽高峰和DDoS攻击影响其他VPC网络。每块网卡的虚拟队列还可以防止队头阻塞，并使每个I/O接口都能公平共用该实例的CPU。