Perché abbiamo bisogno di un indirizzo IP per un bridge?

Un bridge è un dispositivo di rete di livello 2. Sui ponti fisici abbiamo solo un indirizzo IP per il funzionamento e la manutenzione. Sono un po 'confuso perché abbiamo bisogno in KVM di un indirizzo IP per il bridge. Comprendo che l'interfaccia della VM ottiene un indirizzo IP e che l'interfaccia fisica collegata al bridge non ha un indirizzo IP. Ciò garantisce che l'indirizzo IP della VM sia visibile all'esterno. In un ambiente server, utilizzerei solo indirizzi IP statici per le macchine virtuali.

Supponiamo che io utilizzi un indirizzo IP statico per le VM, quindi perché ho bisogno di un indirizzo IP sul bridge?

Non è necessario che un IP sia configurato per un bridge, allo stesso modo in cui non è necessario avere un IP configurato per un dispositivo Ethernet, su qualsiasi macchina (host / guest o altro).

Tuttavia, se si dispone di un dispositivo / bridge senza indirizzo IP, non è possibile aspettarsi che sia utilizzabile dalla parte che non ha configurato correttamente (host o guest).

Ad esempio, se ho un host KVM con un bridge chiamato "br_vm" che assegno a tutti gli ospiti KVM come unica interfaccia (gli ospiti lo chiameranno molto probabilmente "eth0") e se br_vm non è configurato sull'host , non puoi aspettarti che gli ospiti siano in grado di parlare con l'host tramite la loro interfaccia eth0.

Ti chiedi perché hai bisogno di un IP per un bridge e la risposta è no. Tuttavia, se vuoi sapere in quali scenari vorresti avere un IP per il bridge nell'host, posso pensare ad alcuni:

1. Volete che le vostre VM comunichino con l'host, anche se solo per DHCP o DNS;
2. È possibile che si desideri disabilitare il traffico da VM a VM. Se condividi quel bridge con molte macchine virtuali, è qualcosa che vale la pena considerare;
3. È possibile che si desideri disporre di un firewall a livello di host in aggiunta a qualsiasi firewall che è stato impostato per le macchine virtuali. Concentrare tutte le regole del firewall sull'host può essere saggio se le politiche, le zone, ecc. Per tutte le macchine virtuali sono più o meno le stesse. È più facile se tutte le regole, gli indirizzi IP, i criteri, ecc. Sono mantenuti in un unico posto (anche se per impostazione predefinita installerei un firewall di base su ogni VM);

E, a proposito, puoi avere un indirizzo IP dinamico sulle tue VM guest, che non ha nulla a che fare con il fatto che l'host abbia o meno un bridge sul bridge (a meno che, ovviamente, l'host sia il server DHCP per la rete) .

Questo è più di una stranezza nella documentazione che trovo. Suppongo che il tuo host utilizzi il /etc/network/interfacesfile per la configurazione di rete.

Se, nella stanza dell'interfaccia bridge (br0 per questo esempio), si specifica un indirizzo di 0.0.0.0, si ottiene esattamente quello che si sta cercando: le VM collegate al bridge sono ancora connesse alla rete e mantengono i propri IP.

Tuttavia, si perde quindi la "porta" dell'host su quel bridge. Se (nel interfacesfile) si specifica un indirizzo IP, questo diventa effettivamente l'IP del proprio host su quel bridge, esattamente come un'interfaccia di gestione su uno switch tradizionale.

Ricorda che un bridge è proprio come uno switch autonomo, ma l'host lo sta ancora "gestendo", quindi l'aggiunta di un IP aggiunge semplicemente un'interfaccia di gestione indirizzata (se ciò ha senso)

Se, come me, il tuo host ha due NIC: una per VM e una per sé, puoi inserire un indirizzo 0.0.0.0 sul "bridge VM" e fare affidamento sull'altra NIC fisica per la gestione per ottenere una configurazione simile.

Se non è quello che mi stai chiedendo, fammi sapere e lo modificherò per adattarlo.

Non è necessario assegnare un IP a un bridge Linux.

Ecco un esempio di come appare /etc/network/interfaces. br0è il bridge, che è collegato eth0all'interfaccia:

auto br0
iface br0 inet manual
    bridge_ports eth0