虚拟机中网桥和vlan tag的配置

为提高物理机做虚拟化的利用率，有时物理机的上联交换机端口需要是trunk模式；为保证高可用，物理机的两块网卡需要做bonding；虚拟机的网络一般是用桥接模式；为了保证安全，虚拟机网卡只桥接到指定的bridge上。bonding，vlan tag，bridge的配置一般如下：

eth0和eth1配置：

DEVICE=eth0
ONBOOT=yes
MASTER=bond0
SLAVE=yes

bond0 配置：

#配置默认bonding，用以配置宿主机默认bridge以及宿主机管理地址
DEVICE=bond0
ONBOOT=yes
BRIDGE=bridge0
VLAN=yes
ONBOOT=yes
ARP=no

bond0.X 配置：

#配置带有tag的bonding，用以配置对应的bridge
DEVICE=bond0.X
ONBOOT=yes
BRIDGE=bridgeX
VLAN=yes
ONBOOT=yes
ARP=no

bridge0配置：

#配置默认bridge，用以配置宿主机管理地址
DEVICE=bridge0
ONBOOT=yes
TYPE=Bridge
BOOTPROTO=none
IPADDR=IPADDRESS
NETMASK=NETMASK
STP=off
DELAY=0
BRIDGING_OPTS="max_age=0 ageing_time=0"
GATEWAY=GATEWAY

bridgeX配置：

#配置业务bridge，每个bridge只转发包含相应tag的流量
#虚拟机根据业务不同，桥接到不同的bridgeX即可
DEVICE=bridgeX
ONBOOT=yes
TYPE=Bridge
BOOTPROTO=none
STP=off
DELAY=0
BRIDGING_OPTS="max_age=0 ageing_time=0"

以上配置在bond0.X处解tag，然后将流量分发到不同的bridgeX上，每个bridgeX只能转发解除tag后vlanX的流量。虚拟机桥接到bridgeX，因此也只能获取到指定的vlanX的流量，保证虚拟机隔离在一个vlan中。
还有一种配置是不在bond0上做解tag动作，而是在bridge0上设定tag，创建bridge0.X，bridge0从而可转发所有流量，虚拟机桥接到bridge0，虚拟机可以通过配置不同的vlan接口来获取所有流量，这样会带来一定的不安全因素。