Por que o NetworkManager suporta explicitamente dispositivos tun / tap?

1

Aparentemente, o NetworkManager ganhou recentemente suporte para as interfaces macvlan . Eu notei que ele também suporta macvtap , e o patch mostra que ele já tinha algum suporte para dispositivos tun / tap .

Eu pensei que as interfaces de toque normalmente são criadas pelo software da VM. Em seguida, a interface pode ser unida a uma ponte. Ou qualquer um dos tun / tap pode ter um endereço IP atribuído, mais uma vez frequentemente feito por software de VM como o virt-manager / libvirt. Para o macvtap, não há nada que o NetworkManager possa configurar! Eu simplesmente não consigo entender isso.

Pergunta: Alguém pode pensar em uma razão para criar dispositivos tun / tap / macvtap usando o NetworkManager?

Glossário

macvlan é uma alternativa para criar pontes para máquinas virtuais em rede. Aparentemente, evita alguma sobrecarga. Eu não trabalhei com as limitações correspondentes.

As interfaces de rede tun / tap fornecem uma dispositivo de caractere correspondente, que permite que as implementações de máquinas virtuais leiam / gravem pacotes de rede a partir da interface. toque funciona na camada 2 (ethernet); tun só funciona na camada 3 (IP).

macvtap fornece o mesmo dispositivo de caractere, mas os pacotes saem de um dispositivo físico que o macvtap estava vinculado ou é conectado a um dispositivo macvtap / macvlan diferente no mesma interface física.

Pode ser útil criar uma interface macvlan para o host. Não faria sentido criar uma interface macvtap para o host.

    
por sourcejedi 17.01.2016 / 13:11

1 resposta

0

A idéia é permitir que softwares sem privilégios como VM ou gerenciador de túneis usem um dispositivo tun / tap pré-configurado, de modo a evitar a necessidade de um furo de segurança setuid ou um binário especial com capacidades específicas que podem ser ) usado para aumentar privilégios.

    
por 05.11.2017 / 17:09