Вопрос: Существуют ли конкретные недостатки использования одного моста в отличие от выделенного для каждого контейнера?
Подробности : У меня есть хост, который работает несколько контейнеров LXD. Сначала я решил использовать один мост для каждого контейнера, в основном для облегчения межсетевого экрана между ними, хостом, локальной сетью и Интернетом. Поэтому у меня есть несколько 10.10.1x.0/24
сетей, соответствующих мосту brx
(где x
увеличивается для каждого контейнера, который получает адрес 10.10.1x.1
и шлюз по умолчанию 10.10.1x.254
, который является мостом).
С появлением LXD2 и его нового моста lxdbr0
я начал задаваться вопросом, не будет ли лучше перейти на решение с одним мостом, с сетью 10.10.10.0/24
, каждый из контейнеров получая его 10.10.10.y
IP, все они маршрутизируются через 10.10.10.254
(на мосту).
Моим основным соображением является разделение контейнеров и простота администрирования межсетевого экрана.
Одна из причин, я узнал тем временем, то, что мост будет работать в ISO/уровне модели OSI 2, и поэтому брандмауэринг является намного более трудным (он требует определенной маркировки трафика - с исходным портом / NIC).
разделявший мосты (и разделенные сети) делает брандмауэринг более простым.