KVM - Мой коммутатор может управлять списками ACL, когда я создаю виртуальные машины с мостовым подключением (KVM), видит ли коммутатор их как «порты»?
Мой коммутатор Cisco имеет некоторые изящные функции L3, такие как ACL
У меня будет один из моих физических хостов, на котором будет работать KVM с несколькими виртуальными машинами. Они объединены в сеть в мостовом режиме. Я не слишком знаком, но хочу предотвратить «одноранговый» доступ между виртуальными машинами. Похоже на идеальное использование ACL.
Однако, учитывая гостевые-A и гостевые-B находятся на одном физическом хосте, мне любопытно, дойдут ли они когда-нибудь до коммутатора, если попытаются получить доступ друг к другу ...
Вопросы
- Достигают ли виртуальные машины с мостовой конфигурацией, пытающиеся общаться друг с другом физический коммутатор, или находиться на хосте, на котором они работают?
- Если связь между виртуальными машинами и виртуальными машинами будет перехвачена хостом, являются ли IPTables на хосте лучшим способом предотвратить обмен данными?
1/ нет, мостовая связь vm-vm остается внутри хоста.
2 / Я думаю, вам следует рассмотреть возможность использования режима macvlan VEPA вместо режима моста, если вы хотите, чтобы ваш коммутатор мог применять списки управления доступом. [подробнее здесь https://hicu.be/bridge-vs-macvlan]