在主机上,我以桥接模式创建了2个macvlan接口。一个在main-network-namespace中,另一个在docker容器中。两个接口都在同一子网中。
到目前为止,一切正常。
现在应该使用iptable-rules过滤到主机和容器的流量。
由于两个macvlan接口都连接到相同的物理接口,所以我很难理解它的工作原理。
是否需要将iptable-rules放入容器和主机。 (因为它们位于不同的命名空间中)还是主机可以以某种方式过滤到容器的流量?
macvlan接口是隔离的还是它们看到彼此之间的通信?
有没有“最佳做法”?