Как распределить сервера по контейнерам?

Я бы три контейнера сделал, проще сопровождать, переносить.

А я бы шлюз + «все остальное на нем» в контейнеры не засовывал.

не долюбливаешь контейнеры?

Да нет. Тут имеено в вашем изложении, что и шлюз и контейнеры c вэб и телефонией. Попробую пояснить контейнер не панацея от всех «болезней». А так как у вас еще и шлюз, может стать «больно» не только конкретной связке, но и тем кто за шлюзом.
Если говорить про одну железку, я бы как минимум вэб уж точно только в виртуалку отправил. Да и телефония понятие размытое...

Видимо я до этого не правильно тебя понял. То есть ты имел ввиду только шлюз в контейнер не засовывал? То есть вариант 2?

Несовсем. Я написал виртуалки а не контейнеры.

Я написал виртуалки а не контейнеры.

Нахрена? Чтобы ещё больше потерять на скорости сети?

Значит всё таки недолюбливаешь контейнеры и предпочитаешь виртуальные машины?

Именно в контексте шлюз + ... да, предпочитаю большую безопасность.

но, тем не менее получается ты скорее за второй, чем первый? Я к тому что стоит ли заморачиваться с виртуализацией/контейнеризацией?

Да, второй. Первый точно мимо, web ломают, это было как 20 лет назад, так и сейчас осталось. А в третьем нет смысла, лишняя прослойка.
ЗЫ В части вэба, в далекие времена когда виртуализация мягко говоря была не айс, вэб как раз из соображений безопасности выносили на отдельную машину.

А что касается сетевой карты. Под мост для контейнеров отдельную лучше выделить или все 3 можно на один интерфейс посадить? Пропускной способности думаю хватит, вопрос скорее про безопасность на твой взгляд.

Я предпочитаю отделять «мух от котлет». Но это не значит что мое мнение верное. У вас еще телефония, я не силен в этом вопросе, но вот темы про работу в контейнерах/виртуалках тут возникают не то что бы редко.

Я правильно понимаю что мост можно расценивать так как будто эти 3 ПК просто в коммутатор воткнуты? И с этой стороны вроде всё нормально, но с другой стороны на всякий случай вроде как и хотелось бы «отделить мух от котлет».

Я правильно понимаю что мост можно расценивать так как будто эти 3 ПК просто в коммутатор воткнуты?

Именно так.

Я правильно понимаю что мост можно расценивать так как будто эти 3 ПК просто в коммутатор воткнуты?

С целом да.

но тем не менее имеет смысл выносить контейнеры в отдельный мост или нет?

Личные предпочтения, на основе своей схемы. Не более того. Но повторюсь я предпочитаю на шлюзе «мух и котлеты не мешать». Так же надо оценивать нагрузку. В тех немногих случаях где совмещен шлюз + «что-то еще» у меня нагрузка не такая высокая что бы не справились железки, так что не парюсь, даже более того, я на них и стал навешивать доп. задачи, а то простаивают :)

Без разницы, как удобнее.

Так, извиняюсь, что сраз не подумал ведь буду на внутрений интерфейс шлюза сажать tc, а значит что бы не париться с возможными проблемами гораздо проще вынести это в отдельный интерфейс.

Появились ещё пару вопросов, отходя уже от темы, но раз все уже в сборе не будем создавать новую тему.

1. Если я установлю дополнительную сетевую карту, то получаем, если я правильно понимаю, следущую схему моста.

                 /---------veth1-01 --------------- veth1-02
                |                                  10.0.0.4
                |
  br0 ----------|
10.0.0.3        |
                |
                 \---------veth2-01 --------------- veth2-02
                                                   10.0.0.5

Как в данном случае будет работать netfilter закрытого типа? Пакеты где получателем будет числиться 10.0.0.3 будет идти на INPUT и блокироваться, а 10.0.0.4 и 10.0.0.5 будут уходить в FORWARD? То есть правила под данный интерфейс можно даже не писать или всё не так просто?

2. В схеме выше виртуальную пару создаёт LXC. Но как быть если я объединил 2 сетевые карты в мост и хотел бы каждой назначить ещё адрес? Нужно обязательно создавать так же виртуальную пару интерфейсов? Если да то чем и как? Ссылочкой поделитесь или названием ПО.

1. Да, именно так. Т.е. все как обычно.
2. Не совсем понял задачу, расшифруйте плиз.

Как назначить IP адреса интерфейсам добавленным в мост. Как я понимаю тут создавать некую виртуальную пару (как на схеме выше). Каким ПО это делается?

Статика? Тогда вручную лучше.

Как именно? Просто в /etc/network/interfaces? На сколько я знаю это не должно работать.

Незнаю, у меня работает, например deb7 :)

То есть у тебя идёт что-то вроде этого?

auto br0
iface br0 inet static
  address 192.168.0.5
  netmask 255.255.255.0
  gateway 192.168.0.1
  dns-nameservers 8.8.8.8
  bridge_stp off
  bridge_ports eth0 eth1

auto eth0
iface eth0 inet static
  address 192.168.0.5
  netmask 255.255.255.0
  gateway 192.168.0

auto eth1
iface eth1 inet dhcp

Не не не, у физики не должно быть ip. Более того, что и у br не обязателен ip, вы же сами выше все правильно поняли бридж это тупо свич, разве у портов тупого свича есть ip адреса?
bridge_ports eth0 eth1 - считайте это аналогом воткнутых проводов в обычный свич, ip могут быть у устройств которые подключены к нему но не у порта.

ЗЫ Когда я писал про статику, думал что речь про контейнеры.

Да, я так и понимаю, но у портов в коммутаторе на другом конце висят сетевые карты имеющие IP адреса. В примере с LXC для этого создаются виртуальные пары. Где в самом порту адреса нету, но вот на другом конце он есть.

Ведь если я создаю мост, то я должен в него как то направлять трафик или направлять в интерфейс который в него воткнут. И меня интересует как это организовать без LXC, а самому.

И меня интересует как это организовать без LXC, а самому.

Вот тут я совсем «залип».
Предлагаю хоть как-то задачу сначала переформулировать. Честно простите, но не понимаю что добиться хотим. Точнее в топике было понятно, но теперь что-то непонимаю.
Как понял задачу я:
1. Есть роутер в котором две сетевки.
2. Хотим повесить или контейнеры или виртуалку (в данном случае роли не играет)
3. Вариант-1 загнать в бридж одну из физ. сетевок и на нее повесить пункт 2
4. Вариант-2 отдельный бридж без использования физических сетевок.

Не, я выше писал что это уже отход от темы.

Просто интересно что мост это коммутатор и да там нет адресов (со стороны портов). Но он ведь создаётся что бы он прогонял через себя трафик, а значит туда надо его как-то направлять. И если есть необходимость задать адрес для интерфейса как быть.

И если есть необходимость задать адрес для интерфейса как быть.

Такого быть не должно. Или вы что-то сделали не так в начальном проектировании.

PS

Но он ведь создаётся что бы он прогонял через себя трафик, а значит туда надо его как-то направлять.

Подумайте как хаб/свич работают и найдете ответ.