问题标签 [virtual-network]

在像 Envoy 这样的服务网格边车代理中，在服务之间转发流量，确保所有网络流量都是加密的，并且只有允许的服务可以相互通信。

在这种情况下，VPC 设计应该是什么样子？是否会在网格中的所有主机之间启用东西向流量？或者，通过仅启用特定主机之间的流量，零信任是否也可以扩展到这一层？

尝试强制执行单独的防火墙规则（例如，“运行服务 A 的这 5 台主机可以与运行服务 B 的这 5 台主机通信”）将很快变得复杂，尤其是在具有临时或自动缩放基础设施的大型网格中。网络基础设施自动化会有所帮助，但在包含数千台主机的非常大的网格中，单个规则的数量很快就会变得难以管理。

作为一个个人项目，我想使用 C/C++ 和 Tap 接口构建一个 TCP/IP 堆栈。我有一个连接到互联网的 wlan0 接口（无线）。现在我想通过这个 wlan0 接口从互联网发送和接收数据包。

我怎样才能做到这一点？

这些是我用来创建我的点击界面的命令：

这是的输出ip a

如果你想测试它，这是代码（我还在写它） https://github.com/Bechir-Brahem/tuntap-device

我不希望 docker 通过 NAT 直接访问我的主机 LAN 或 Internet。

是否可以提供 tcp 或 udp 隧道将 docker 中的 veth 中继到远程代理？这样 docker 就无法访问我的本地网络资源，而可以使用远程主机访问互联网（就像代理一样）。

我有一个配置为仅主机的 VMWare 虚拟网络。但是，使用该接口的虚拟机无法连接到主机，因为我打开了公共网络防火墙（而私有网络 FW 已关闭）

当我尝试更改网络类型时，Windows 只会让我更改我当前用于连接互联网的网络类型（即 WiFi），因为根据 Windows，这是唯一的“连接”网络。

主机可以 ping 虚拟机，但反过来不行。它起作用的唯一方法是断开公共 FW，这是我不愿意做的事情，因为主机位于非常公共的网络中。

谢谢！

目前与我们项目相关的所有 Azure 数据库都是通过公共访问连接的。

考虑的方法，

1. 创建专用端点并连接到 Azure VPN 客户端以连接到 Azure 数据库
2. 创建专用端点并使用 VM 并通过它连接到 Azure 数据库

目前，我们的应用程序同时使用本地数据库和 azure 数据库。因此，我们希望在任何时候都连接到本地数据库和 Azure 数据库。如果我们使用 Azure VPN 客户端，我们将无法连接到本地数据库，因为在任何时候我们都只能从本地计算机连接到一个 VPN。即使对于较低的环境，通过虚拟机访问 Azure 数据库的另一种选择也可能对用户不友好，并且与成本相关。

有没有一种方法可以不使用此 Azure VPN 客户端，而是仅在公司 VPN 中有任何人时才启用与 Azure 数据库的连接，以便我们可以禁用公共访问？

我的目标是在覆盖网络上连接两个 QEMU-KVM 虚拟机。每个 VM 都在单独的物理主机上运行，​​并且必须在网络 10.0.0.0/24 上具有静态 IP。为了实现这个目标，我想使用带有 DPDK 的 OVS 桥接器。我想使用 vhost-user-client 协议将 OVS 网桥与 VM 连接起来。

我的物理设置如下：两台配备 Mellanox ConnectX6-DX 的物理机，并背靠背连接（无物理交换机）。我想要实现的是：

我成功创建了 OVS 网桥（此处为 br0）和 DPDK 端口（此处为 dpdk0）。在每台物理机器上，我都可以 ping 另一台机器上的网桥。然后，我创建了一个 vhost-user-client 端口并将其连接到网桥。在每个guest上，我按照上图分配了一个静态IP，ens2接口就起来了。

但是，此时我无法从 VM1 ping VM2，反之亦然。似乎根本没有通过 vhost-client 端口交换流量。Ping 失败并显示Destination Host Unreachable消息。

一些有用的信息：

ovs-vsctl 显示

ovs-vsctl -- --columns=name,ofport list 接口

ovs-ofctl 转储流 br0

ovs-ofctl 显示 br0

Libvirt XML 配置（相关部分）

我缺少哪个配置选项？我遵循了几个指南，但仍然无法在我的虚拟机之间路由任何流量。

我怀疑问题与ovs-ofctl show命令报告的 vhost-client-1 端口的LINK_DOWN状态有关。我尝试使用命令ovs-ofctl mod-port br0 vhost-client-1 up将该状态设置为 UP 。即使命令没有失败，也没有任何改变。

有什么想法吗？

我在 VM1 尝试与 VM2 通信的主机上进行了设置。来自 VM1 的 Ping 数据包（ping 172.17.8.101）正在到达 OVS 网桥，这是 OVS 路由器上配置的默认网关。这些在 virbr2 上看不到。

我能够从主机 ping VM2。

如何将数据包从 OVS-bridge 转发到 linux 内核，以便能够将数据包路由到 virbr2？

感谢任何帮助。

我在 Kubernetes 集群中有 2 个工作节点。工作节点位于同一个 L2 域上。

Worker-node0 上的 Pod00 正在使用 IPVLAN。所以，net1 得到 10.1.1.1

Worker-node1 上的 Pod01 正在使用 IPVLAN。所以，net1 得到 10.1.1.2

我希望能够 ping 10.1.1.1 <---> 10.1.1.2 并且它应该带有 VLAN 标头。我在 tcpdump 中看不到任何内容。问题：

• 我假设 VLAN 标头是由 Pod 本身插入的。但是，在 IPVLAN CNI 中，我看不到任何通过配置获取 VLAN 信息的代码。我的理解正确吗？

• 应该将 pod 中的接口显式配置为 vlan-subinterfaces (net1.10) 还是应该在工作节点 (enp1s0.10) 上进行配置？

• 我应该使用什么作为“主”界面？enp1s0 还是 enp1s0.10？

谢谢

我开始使用 ovs-ofctl 和 mininet 学习 SDN，并且我正在按照一些教程配置交换机，但有些东西我没有掌握。

当我开始我的拓扑时：

sudo mn --topo single,2 --controller remote --switch ovsk

现在，如果我想在 h1 和 h5 之间添加一个简单的流程，我会这样做：

如果我测试主机之间的连接性一切正常。

但是现在，如果我尝试删除所有流程：

现在，如果我尝试 ping，则无法访问，但如果我执行：

现在我可以在主机之间再次 ping。

我在这里想念什么？在命令中指定仅允许使用 ARP 流量的以太网dl_type=0x806是不够的？为什么 ping 在那里失败？

我们需要从虚拟网络中添加或删除 Web 应用程序。我们已经设置了虚拟网络，因此我们创建了一个应用程序来创建子网，然后使用该子网将 Web 应用程序分配给 VN。

我在我们的 C# 项目中使用了以下 SDK：

我试图找到一种方法来更新我的 Web 应用程序的网络设置，但似乎找不到适用于它的更新？

在下面的代码中，我对我不知道该怎么做的位添加了注释。