Mengapa menggunakan (atau tidak) jembatan khusus dengan LXD?

0

Pertanyaan: Apakah ada kelemahan spesifik menggunakan satu jembatan, dibandingkan dengan yang khusus per kontainer?

Detail : Saya memiliki host yang menjalankan beberapa kontainer LXD. Awalnya saya memutuskan untuk memiliki satu jembatan per kontainer, sebagian besar untuk memudahkan firewall di antara mereka, tuan rumah, LAN dan Internet. Karena itu saya memiliki beberapa 10.10.1x.0/24jaringan yang cocok dengan brxjembatan (di mana xditambahkan untuk setiap kontainer yang mendapatkan 10.10.1x.1alamat dan gateway default 10.10.1x.254yang merupakan jembatan).

Dengan munculnya LXD2 dan jembatan barunya lxdbr0saya mulai bertanya-tanya apakah tidak akan lebih baik untuk pindah ke solusi jembatan tunggal, dengan 10.10.10.0/24jaringan, masing-masing wadah mendapatkan 10.10.10.yIP -nya , semuanya dialirkan 10.10.10.254(di jembatan).

Pertimbangan utama saya adalah pemisahan wadah dan kemudahan administrasi firewall.

WoJ
sumber

Jawaban:

0

Salah satu alasannya, saya temukan sementara itu, adalah bahwa jembatan akan bekerja pada ISO / OSI layer 2 dan oleh karena itu firewall jauh lebih sulit (memerlukan tanda lalu lintas khusus - dengan port sumber / NIC).

Setelah memisahkan jembatan (dan jaringan yang terpisah) membuat firewall menjadi lebih mudah.

WoJ
sumber