今天出于个人需求，把零信任 SASE 硬是塞进了软路由里。

主要原因还是之前基于 IPsec 的方式，在不同网络环境下表现不太稳定，协商经常会出问题，用起来一直不太顺利。另一方面，我不太接受流量直接裸跑公网，所以更倾向于把所有通信都收敛在 TLS 之上。

折腾了一段时间，中间遇到了很多问题，这次算是跑通了，就当做个记录。

一、container基础配置

1.1 配置容器仓库地址：

需要设置镜像的地址库https://registry-1.docker.io

/container config
set registry-url=https://registry-1.docker.io

1.2 配置容器的IP地址

每个veth的address 地址是给容器用的，Gateway是容器的网关，也就是本机ROS上的bridge地址,官方要求veth必须要和bridge绑定，才能通信。

二、container部署sase镜像

比如这个容器docker pull openziti/ziti-edge-tunnel:1.14.6，填写remote image的时候只填写openziti/ziti-edge-tunnel:1.14.6

等待容器下载完成。

准备好配置文件之后，上传配置文件到ROS里边：

C:\Windows\System32\config\systemprofile\AppData\Roaming\NetFoundry

运行成功：