Pergunta: Há desvantagens específicas de usar uma única ponte, em oposição a uma dedicada por contêiner?
Detalhes : Eu tenho um host que executa alguns contêineres LXD. Inicialmente decidi ter uma bridge por contêiner, principalmente para facilitar o firewall entre eles, o host, a LAN e a Internet. Portanto, tenho várias redes de 10.10.1x.0/24 correspondentes a brx bridge (onde x é incrementado para cada contêiner que recebe um endereço 10.10.1x.1 e um gateway padrão de 10.10.1x.254 , que é a ponte).
Com o advento de LXD2 e sua nova ponte lxdbr0 Comecei a me perguntar se não seria melhor migrar para uma solução de ponte única, com uma rede 10.10.10.0/24 , cada um dos contêineres recebendo seu 10.10.10.y IP, todos eles roteados por 10.10.10.254 (em a ponte).
A minha principal consideração é a separação dos contêineres e a facilidade de administração do firewall.
Uma das razões, descobri enquanto isso, é que a ponte estará trabalhando na camada 2 do ISO / OSI e, portanto, o firewall é muito mais difícil (requer marcação específica de tráfego - com a porta / NIC de origem) .
Ter pontes separadas (e redes separadas) torna o firewall mais simples.