У меня есть маршрутизатор Unifi Dream для моей сети и Synology для запуска моих Docker-контейнеров.
Я думаю, что если я смогу создать отдельную сеть для моих контейнеров docker, я смогу правильно настроить правила брандмауэра между моими устройствами IoT, моими контейнерами и моей «обычной» сетью.
К сожалению, я не нахожу много информации: я могу использовать macvlan, чтобы выставить мои docker-ы в моей сети как отдельные устройства. Но это все равно означает, что они будут в той же сети, что и мой Synology.
Таким образом, я не смогу легко создавать правила того, как трафик может проходить между моими контейнерами docker (например, mqtt, homeassistant, zigbee) и устройствами IoT.
Можно ли принудительно поместить все мои контейнеры docker в одну сеть unifi?
Стоит ли это делать?
Как мне настроить это в docker и в unifi?
решение1
Безопасность важна. ИМХО, здорово, что вы в нее вкладываетесь!
Что касается вашего вопроса, то это действительно зависит от обстоятельств, но если у вас в Synology есть еще один порт Ethernet, вы можете подключить его к коммутатору в другой VLAN, а затем настроить macvlan-lan для использования этого интерфейса.
Если у вас нет другого порта, то, похоже, вы можете задать псевдоним, но я не знаю, будет ли он хорошо работать с macvlan.Для дополнительной информации. Вам нужно будет настроить порт коммутатора на «магистральный» для одновременной передачи двух VLAN, если он поддерживает эту функцию.
Вы также можете запустить его на другом хосте, например, NUC или старом настольном компьютере, и использовать хранилище удаленно.