[求助/Help] 关于vpc及eip网络的请教

[saltfishh]

当前是 all-in-one部署, host.conf为:

networks:
- em1/br0/10.13.1.2

目前只插了一根网线到 em1 上, 宿主机 网关 是 10.13.1.1 来实现访问公网. 目前也开启了 sdn, 以下是 host.conf 的配置:

sdn_allow_conntrack_invalid: false
sdn_enable_eip_man: yes
sdn_enable_guest_man: true
sdn_enable_tap_man: true
sdn_enable_tc_man: true
sdn_pid_file: /var/run/onecloud/sdnagent.pid
sdn_socket_path: /var/run/onecloud/sdnagent.sock

目前即使不绑定 eip , 虚拟机也是可以访问外网的. 如何实现 俩网卡, 一个做管理, 一个做 eip 的出口. 不绑定 eip 就无法访问外网, 绑定 eip 后才能访问外网, 从而使 vpc 网络成为一个完全隔离的状态? 默认状态下, 宿主机会对 vpc 网络的主机做一次 nat, 要实现的就是, 不让他为 vpc 网络下的主机做nat了. 文档中关于经典网络的描述:

这种场景下，每个计算节点只有一个网口(可以为Bonding)，既做管理口，也做业务口。虚拟机之间的业务流量是由宿主机对接的三层交换机转发。 没看懂要如何操作.

以上

[saltfishh]

当我没绑定 eip 的时候,在 虚拟机 发包 网关 10.13.1.1 抓包显示这个包是从 10.13.1.2 过来的. 绑定完 eip 后, 网关抓包显示这个包是从 10.12.1.x 过来的, 而 10.12.1.x 是 eip 网段.