Назад | Перейти на главную страницу

Настройка контейнера с мостами и вланами (только сервер?)

У меня есть две группы lxc contianers на сервере, и я хочу изолировать их сетевой трафик по соображениям безопасности. Я буду использовать переадресацию портов, чтобы у каждого контейнера был отдельный IP-адрес. Я знаю, что должен подсеть обе группы и намереваюсь дать каждой по / 29 Cidr. Я также предполагаю, что мне нужно поместить каждую подсеть в свой собственный vlan.

Однако я не уверен, как должны быть устроены Veth #, мост, vlan и сетевой адаптер хоста и какие есть варианты, если они есть?

В идеале я хотел бы ограничить vlan только сервером, чтобы хост nic получал перенаправленные пакеты от маршрутизатора / межсетевого экрана без тегов. Затем они помечаются и немаркируются, когда они проходят от сетевого адаптера хоста через любые мосты и vlan к Veth # на контейнерах.

Короче говоря, я просто хочу изолировать каждую подсеть от другой, позволяя при этом пересылать пакеты от маршрутизатора к любому контейнеру в каждой из подсетей.
Если есть способ попроще, буду рад его услышать.

P.S Я использую сервер Ubuntu 12.04 с его сетевыми библиотеками lxc. Я не устанавливал отдельно libvirt.

Любая информация или предложения приветствуются.