Köprü için neden bir IP adresine ihtiyacımız var?

Köprü, katman 2 ağ aygıtıdır. Fiziksel köprülerde sadece işletme ve bakım için bir IP adresimiz vardır. KVM'de neden köprü için bir IP adresine ihtiyaç duyduğumuz konusunda biraz kafam karıştı. VM'nin arayüzünün bir IP adresi olduğunu ve köprüye bağlı fiziksel arayüzün IP adresi olmadığını biliyorum. Bu, VM'nin IP adresinin dışarıdan görülebilmesini sağlar. Bir sunucu ortamında, VM'ler için yalnızca statik IP adresleme kullanırdım.

Farz edelim ki, VM'ler için statik IP adreslemesi kullanıyorum, neden köprüde bir IP adresine ihtiyacım var?

Bir köprü için yapılandırılmış bir IP'nize ihtiyacınız yoktur, aynı şekilde, herhangi bir makinede bir ethernet aygıtı için yapılandırılmış bir IP'ye ihtiyacınız yoktur (ana bilgisayar / konuk ya da her neyse).

Bununla birlikte, IP adresi olmayan bir cihazınız / köprünüz varsa, uygun şekilde yapılandırılmamış olan taraf tarafından kullanılmasını bekleyemezsiniz (ev sahibi veya konuk olabilir).

Bu nedenle, örneğin, tüm KVM konuklarına tek arayüzleri olarak atadığım "br_vm" adlı bir köprülü bir KVM sunucum varsa (konuklar büyük olasılıkla "eth0" olarak adlandırılır) ve br_vm ana bilgisayarda yapılandırılmamışsa Konukların ev sahibi ile eth0 arayüzü aracılığıyla konuşmalarını bekleyemezsiniz.

Bir köprü için neden bir IP'ye ihtiyacınız olduğunu soruyorsunuz ve cevabı siz de istemiyorsunuz. Ancak, hangi senaryolarda ana bilgisayardaki köprü için bir IP almak istediğinizi bilmek istiyorsanız, birkaçını düşünebilirim:

1. VM'lerin yalnızca DHCP veya DNS için olsa bile ana makineyle iletişim kurmasını istiyorsunuz;
2. VM'den VM'ye trafiği devre dışı bırakmak isteyebilirsiniz. Bu köprüyü birçok VM ile paylaşıyorsanız, bu dikkate değer bir şeydir;
3. VM'leriniz için kurduğunuz tüm güvenlik duvarlarına ek olarak, ana bilgisayar düzeyinde bir güvenlik duvarına sahip olmak isteyebilirsiniz. Tüm VM'leriniz için politikalar, bölgeler vb. Aynıysa, tüm güvenlik duvarı kurallarını ana bilgisayarda yoğunlaştırmak akıllıca olabilir. Tüm kurallar, IP adresleri, politikalar, vb. Tek bir yerde tutulursa daha kolaydır (her durumda VM için temel güvenlik duvarı kurarsam da);

Bu arada, konuk sanal makinenizde dinamik IP adreslemesi de olabilir, ana makinenin köprüde IP olup olmadığı ile ilgisi yoktur (tabii ki, ana bilgisayar ağ için DHCP sunucusu değilse) .

Bu, belgelerde bulacağım bir tuhaflıktan daha fazlası. Ana makinenizin /etc/network/interfacesdosyayı ağ yapılandırması için kullandığını farz ediyorum .

Köprü arayüzünde (bu örnek için br0) stanza, 0.0.0.0 adresini belirtirseniz, tam olarak aradığınızı elde edersiniz: Köprüye bağlı VM'ler hala ağa bağlı ve kendi IP'lerini koruyorlar.

Ancak, daha sonra ana makinenin bu köprüdeki "bağlantı noktasını" kaybedersiniz. Eğer (bir interfacesdosyada) bir IP adresi belirlerseniz, bu etkili bir şekilde ana makinenizin o köprüdeki IP'si olur, geleneksel bir anahtardaki bir yönetim arayüzü ile aynıdır.

Bir köprünün bağımsız bir anahtar gibi olduğunu unutmayın, ancak ana bilgisayar hala onu "yönetiyor", bu nedenle bir IP eklemek basitçe adreslenmiş bir yönetim arayüzü ekler (eğer mantıklıysa)

Eğer benim gibi, sunucunuzda iki NIC varsa: biri VM'ler için diğeri de biri için "VM köprüsüne" 0.0.0.0 adresini ve benzer bir kurulum elde etmek için yönetim için diğer fiziksel NIC'ye güvenebilirsiniz.

İstediğin bu değilse, bana bildirin, ben de buna göre düzenleyeceğim.

Bir Linux köprüsüne IP atamanıza gerek yoktur.

İşte nasıl göründüğüne bir örnek /etc/network/interfaces. arayüze br0bağlı köprüdür eth0:

auto br0
iface br0 inet manual
    bridge_ports eth0