На старости лет открыл для себя контейнеры. Конкретно — LXC, конкретнее — совсем ванильный LXC, безо всякого LXD (ибо snap). И возник вопрос: а как по науке организовывать взаимодействие контейнеров со внешним миром, учитывая ограниченность «ванильного» решения? Для LXD, а тем более proxmox/docker/incus советов навалом, а про ванильные контейнеры как-то не особо.
Пока что мне на ум приходит только фиксирование IP за конкретными контейнерами через настройки LXC и создание правил файрволла для маршрутизации на основе тех же номеров портов средствами штатного файрволла системы, но тогда всё равно придётся дублировать порт-форвардинг на маршрутизаторе нормальной сети. Другой вариант — выставить контейнеры наружу через реальный физический интерфейс и сетевой мост, и всю переадресацию повесить уже на маршрутизатор сети, который им же и адреса назначит, и всё что нужно. Варианты с проксированием и macvlan — это уже из LXD.
По идее, даже в локальном применении правил файрволла нет ничего криминального, если принять аксиоматически, что контейнеры создаются с серьёзными целями: скажем, один и вполне конкретный — будет веб сервером, другой — торренты обслуживать, третий ещё что-то конкретное делать. И тогда нет проблем их всех «прибить гвоздями» через правила файрволла и статические ip в собственной локальной сетке, создаваемой LXC. Но всё-таки как-то гложет сомнение. А как «идеологически правильно» это сделать, в условиях, опять-таки, применения сугубо средств LXC и штатных средств ОС?
Ответ на:
комментарий
от anc
Ответ на:
комментарий
от Smacker
Ответ на:
комментарий
от Smacker
Похожие темы
- Форум LXC. Пример контейнеров. (2017)
- Форум LXC создание контейнера (2015)
- Форум LXC: непривилегированные контейнеры (2015)
- Форум Кастомные LXC контейнеры (2019)
- Форум LXC контейнер не полный (2015)
- Форум HTTPS внутри LXC контейнера (2020)
- Форум PROXMOX LXC Ошибка контейнера (2019)
- Форум Не запускается контейнер lxc (2020)
- Форум Возможности миграции контейнеров lxc (2022)
- Форум Как бекапить lxc контейнеры? (2014)