问:与每个容器专用一座桥相比,使用单个桥接器是否存在特定的缺点?
细节:我有一台主机,上面运行着几个 LXD 容器。我最初决定每个容器都使用一个网桥,主要是为了简化它们、主机、LAN 和 Internet 之间的防火墙。因此,我有几个10.10.1x.0/24网络与一个brx网桥匹配(其中x,每个容器的 都会增加,每个容器都会获得一个10.10.1x.1地址,并且其默认网关10.10.1x.254就是网桥)。
随着LXD2和它的新桥梁lxdbr0我开始怀疑是否最好转向单一桥梁解决方案,使用10.10.10.0/24网络,每个容器都获得其10.10.10.yIP,所有容器都通过10.10.10.254(在桥上)进行路由。
我主要考虑的是容器的分离和防火墙的易于管理。
答案1
与此同时,我发现其中一个原因是网桥将在 ISO/OSI 第 2 层工作,因此防火墙更加困难(它需要对流量进行特定标记 - 使用源端口/NIC)。
拥有独立的桥梁(和独立的网络)使得防火墙更加直接。