Зачем использовать (или нет) выделенные мосты с LXD?
Вопрос: Существуют ли конкретные недостатки использования одного моста в отличие от выделенного для каждого контейнера?
Подробности : У меня есть хост, который работает несколько контейнеров LXD. Сначала я решил использовать один мост для каждого контейнера, в основном для облегчения межсетевого экрана между ними, хостом, локальной сетью и Интернетом. Поэтому у меня есть несколько 10.10.1x.0/24 сетей, соответствующих мосту brx (где x увеличивается для каждого контейнера, который получает адрес 10.10.1x.1 и шлюз по умолчанию 10.10.1x.254, который является мостом).
С появлением LXD2 и его нового моста lxdbr0 я начал задаваться вопросом, не будет ли лучше перейти на решение с одним мостом, с сетью 10.10.10.0/24, каждый из контейнеров получая его 10.10.10.y IP, все они маршрутизируются через 10.10.10.254 (на мосту).
Моим основным соображением является разделение контейнеров и простота администрирования межсетевого экрана.
1 ответ
Одна из причин, я узнал тем временем, то, что мост будет работать в ISO/уровне модели OSI 2, и поэтому брандмауэринг является намного более трудным (он требует определенной маркировки трафика - с исходным портом / NIC).
разделявший мосты (и разделенные сети) делает брандмауэринг более простым.
-
1Я отредактировал Ваш вопрос включать эту информацию, но часть его выглядит забавной, как будто Вы пропустили некоторую информацию и включали некоторые дополнительные числа. Необходимо отредактировать вопрос зафиксировать этот материал, в котором я вставил, и включайте все. – Organic Marble 5 September 2017 в 05:36