デフォルトでは、lxc-oracleテンプレート・スクリプトは、vethブリッジを設定することによってネットワークを設定します。 このモードでは、コンテナはIPアドレスを、libvirtdがコンテナとホストの間のプライベート仮想ブリッジ・ネットワーク(virbr0)上で実行しているdnsmasqサーバーから取得します。 このホストでは、コンテナはiptablesのNATルールを使用してネットワークの残りの部分に接続できますが、これらのルールではコンテナへの着信接続はできません。 vethブリッジ上のホストと他のコンテナは、どちらもブリッジを介してコンテナに対してネットワーク・アクセスします。

図27.1に、vethブリッジvirbr0を介して接続されている2つのコンテナを持つホスト・システムを示します。

図27.1 vethブリッジを使用しているコンテナのネットワーク構成

ネットワーク接続がホスト外部からコンテナ経由で接続できるようにしたい場合、コンテナはホストと同じネットワーク上のIPアドレスを持つ必要があります。 この構成を実現する方法の1つは、macvlanブリッジを使用して、コンテナのための独立した論理ネットワークを作成することです。 このネットワークは、実質的には、ホストのネットワーク・インタフェースに接続されたローカル・ネットワークの拡張です。 外部システムは、まるでネットワーク上の独立したシステムであるかのようにコンテナにアクセスでき、コンテナは、ブリッジ上に構成された他のコンテナや外部のシステムへのネットワーク・アクセスを持っています。 コンテナは、ローカル・ネットワーク上の外部DHCPサーバーからIPアドレスを取得することもできます。 ただし、vethブリッジとは異なり、ホスト・システムは、コンテナへのネットワーク・アクセスを持っていません。

図27.2に、macvlanブリッジを介して接続されている2つのコンテナを持つホスト・システムを示します。

図27.2 macvlanブリッジを使用しているコンテナのネットワーク構成

コンテナがネットワーク上で互いを認識できないようにするには、macvlanの仮想イーサネット・ポート・アグリゲータ(VEPA)モードを構成します。 図27.3に、macvlan VEPAにより別々にネットワークに接続されている2つのコンテナを持つホスト・システムを示します。 各コンテナは実質的にネットワークに直接接続されますが、どちらのコンテナもネットワーク経由で他のコンテナやホストにアクセスできません。

図27.3 macvlan VEPAを使用しているコンテナのネットワーク構成

macvlanの構成の詳細は、27.2.6項「macvlanを使用するためのコンテナの変更」と、lxc.conf(5)のマニュアル・ページを参照してください。