在我的主机上,我在桥接模式下创建了 2 个 macvlan 接口。一个在主网络命名空间中,另一个在 docker 容器中。两个接口都在同一个子网中。
到目前为止一切正常。
现在主机和容器的流量应该由 iptable-rules 过滤。
由于两个 macvlan 接口都连接到同一个物理接口,我很难理解它是如何工作的。
是否需要将 iptable-rules 放入容器和主机。(因为它们位于不同的命名空间中)或者主机可以以某种方式过滤到容器的流量?
macvlan-interfaces 是隔离的还是看到彼此之间的流量?
有没有“最佳实践”?