我正在尝试 LXC 容器之间的不同网络配置,以学习一些东西并获得乐趣。
我刚刚发现两个容器仅通过一个 veth 对即可进行通信,因此我想向专家了解为什么所有教程都显示了在连接到 veth 端的主机中包含桥接器的过程。
我认为简单的 veth 对可以轻松取代 MACvlan 桥接模式,因为主机无法与容器通信。
这是否存在安全隐患?
在这种配置(仅两个命名空间)下,Linux Bridges 和 Open vSwitches 的真正优势是什么?
答案1
通常不会这样做,因为仅使用 veth 对直接连接两个实例并不是很有用。我们使用桥接作为虚拟交换机,以便我们可以合理地将许多实例连接到相同的外部和主机专用网络。即使在仅运行两个容器的情况下,有时也需要扩展实际实现。
您所描述的情况并没有太多的安全隐患,至少不会比将您的 veth 对连接到网桥时更严重。