Я пробую разные конфигурации сети между контейнерами LXC, чтобы чему-то научиться и повеселиться.
Я только что узнал, что два контейнера могут связываться только с парой veth, поэтому я хотел бы узнать от экспертов, почему все руководства показывают процедуры, которые включают мост в хосте, подключенный к концам veth.
Я думал, что простая пара veth может легко заменить режим моста MACvlan, в котором хост не может взаимодействовать с контейнерами.
Есть ли какие-то последствия для безопасности?
Каковы реальные преимущества Linux Bridges и Open vSwitches с этой конфигурацией (только два пространства имен)?
Обычно это не делается, потому что соединение только двух экземпляров напрямую с парой veth не очень полезно. Мы используем мост в качестве виртуального коммутатора, чтобы мы могли разумно подключить множество экземпляров к одним и тем же внешним сетям и сетям только для хоста. Даже в тех случаях, когда вы запускаете только два контейнера, в какой-то момент обычно приходится расширять реальные реализации.
В том, что вы описываете, не так много последствий для безопасности, по крайней мере, не больше, чем при подключении вашей пары veth к мосту.