Docker网络模式详解：从基础概念到实践应用

1. Docker 网络基础概念

当我们在本地机器上启动一个Docker容器时，网络连接就已经自动建立了。但你是否想过，这些容器是如何与外界通信的？为什么有些容器能互相访问而有些不能？这就是Docker网络要解决的核心问题。

Docker网络本质上是一套虚拟网络系统，它允许容器之间、容器与宿主机之间以及容器与外部网络之间进行通信。与传统物理网络不同，Docker网络是完全软件定义的，这意味着我们可以按需创建、配置和销毁网络，而无需接触任何物理网络设备。

在默认情况下，Docker会为每个容器创建一个虚拟网络接口，并分配一个IP地址。这个IP地址通常是在172.17.0.0/16这个私有地址范围内。同时，Docker还会在宿主机上创建一个名为docker0的虚拟网桥，所有容器都通过这个网桥相互连接。

提示：可以使用ifconfig或ip addr命令查看宿主机上的网络接口，其中docker0就是Docker的默认网桥。

2. Docker 网络驱动类型

2.1 bridge网络模式

bridge（桥接）模式是Docker默认的网络模式。在这种模式下：

1. Docker会创建一个名为docker0的Linux网桥
2. 每个容器会获得一个独立的网络命名空间
3. 容器通过veth pair（虚拟以太网设备对）连接到docker0网桥
4. 容器之间可以通过IP地址相互通信

创建和使用bridge网络的典型命令：

bash复制# 创建一个自定义bridge网络
docker network create my-bridge-network

# 运行容器并连接到该网络
docker run -d --name container1 --network my-bridge-network nginx
docker run -d --name container2 --network my-bridge-network nginx

# 测试容器间通信
docker exec -it container1 ping container2

2.2 host网络模式

host模式让容器直接使用宿主机的网络栈，这意味着：

• 容器不会获得独立的网络命名空间
• 容器直接使用宿主机的IP地址和端口
• 网络性能最好，但牺牲了隔离性

使用host网络的示例：

bash复制docker run -d --name host-mode-container --network host nginx

2.3 none网络模式

none模式表示不为容器配置任何网络，适用于：

• 需要完全隔离网络的场景
• 容器只需要本地Unix域套接字
• 特殊安全要求的环境

bash复制docker run -d --name no-network-container --network none alpine sleep 3600

2.4 overlay网络模式

overlay网络用于跨多个Docker主机的容器通信，常见于Swarm集群环境。它的特点包括：

• 使用VXLAN技术封装网络流量
• 支持加密通信
• 自动服务发现

创建overlay网络的基本步骤：

bash复制# 在Swarm模式下
docker swarm init
docker network create --driver overlay my-overlay-net

2.5 macvlan网络模式

macvlan允许为容器分配MAC地址，使其在物理网络中显示为真实设备：

• 容器可以直接与物理网络通信
• 每个容器有唯一的MAC地址
• 需要物理网络支持

bash复制docker network create -d macvlan \
  --subnet=192.168.1.0/24 \
  --gateway=192.168.1.1 \
  -o parent=eth0 \
  my-macvlan-net

3. Docker网络核心组件详解

3.1 网络命名空间(Network Namespace)

网络命名空间是Linux内核提供的网络隔离机制，Docker利用它为每个容器创建独立的网络环境：

• 独立的网络设备列表
• 独立的路由表
• 独立的防火墙规则
• 独立的网络状态信息

查看宿主机上的网络命名空间：

bash复制ls /var/run/docker/netns/

3.2 veth pair设备

veth pair是成对出现的虚拟网络设备，用于连接不同网络命名空间：

• 一端在容器内（通常显示为eth0）
• 另一端连接到docker0网桥
• 数据从一端进入，从另一端出来

查看veth pair关联关系：

bash复制# 查看容器内的网络接口
docker exec -it container-name ip addr

# 在宿主机上找到对应的veth接口
brctl show docker0

3.3 iptables与网络流量控制

Docker使用iptables规则管理容器网络流量：

• NAT规则：实现端口映射和出站流量伪装
• 过滤规则：控制容器间通信
• 服务发现：DNS解析和负载均衡

查看Docker相关的iptables规则：

bash复制iptables -t nat -L -n
iptables -t filter -L -n

4. 容器网络连接实践

4.1 容器间通信

在同一网络中的容器可以通过以下方式通信：

1. 通过容器名称（Docker内置DNS解析）
2. 通过IP地址
3. 通过别名(alias)

示例：创建两个能互相通信的容器

bash复制docker network create app-network
docker run -d --name web --network app-network nginx
docker run -it --name client --network app-network alpine ping web

4.2 容器与外部网络通信

Docker通过以下机制实现容器访问外部网络：

1. MASQUERADE规则：出站流量源地址转换
2. 默认路由：通过docker0网桥转发
3. DNS配置：使用宿主机的DNS服务器或自定义配置

测试容器访问外部网络：

bash复制docker run --rm alpine ping -c 4 baidu.com

4.3 端口映射与访问控制

将容器端口映射到宿主机端口：

bash复制docker run -d -p 8080:80 --name web nginx

端口映射的几种形式：

• -p 8080:80：将容器80端口映射到宿主机8080端口
• -p 80:80：直接映射到相同端口
• -p 127.0.0.1:8080:80：只允许本地访问

5. Docker网络高级配置

5.1 自定义DNS配置

可以自定义容器的DNS服务器：

bash复制docker run --dns 8.8.8.8 --dns 8.8.4.4 alpine cat /etc/resolv.conf

或者完全禁用容器的DNS解析：

bash复制docker run --network none alpine cat /etc/resolv.conf

5.2 网络别名(Aliases)

为容器设置网络别名，实现更灵活的访问：

bash复制docker network create mynet
docker run -d --name web1 --network mynet --network-alias webserver nginx
docker run -it --name client --network mynet alpine ping webserver

5.3 网络连接与断开

动态管理容器与网络的连接：

bash复制# 将运行中的容器连接到网络
docker network connect mynet existing-container

# 从网络断开连接
docker network disconnect mynet existing-container

6. 常见网络问题排查

6.1 容器无法访问外部网络

排查步骤：

1. 检查宿主机网络连接
2. 验证iptables NAT规则
3. 检查DNS配置
4. 测试基础镜像的网络功能

bash复制# 测试基础网络功能
docker run --rm busybox ping -c 4 8.8.8.8
docker run --rm busybox nslookup google.com

6.2 容器间无法通信

常见原因和解决方案：

1. 不在同一网络 - 将容器连接到相同网络
2. 防火墙阻止 - 检查iptables规则
3. 应用未监听正确接口 - 确保应用监听0.0.0.0

bash复制# 检查容器网络连接
docker network inspect bridge

6.3 端口冲突问题

当出现端口冲突时：

1. 查找占用端口的进程
2. 更改容器映射端口
3. 停止冲突容器

bash复制# 查找端口占用情况
sudo netstat -tulnp | grep 8080

7. Docker网络性能优化

7.1 选择合适网络驱动

不同场景下的网络驱动选择建议：

• 单机容器通信：bridge
• 高性能需求：host
• 跨主机通信：overlay
• 直接物理网络访问：macvlan

7.2 网络参数调优

调整容器网络缓冲区大小：

bash复制docker run --sysctl net.core.rmem_default=1048576 alpine

设置容器网络MTU：

bash复制docker network create --opt com.docker.network.driver.mtu=1200 my-net

7.3 网络监控与诊断

常用网络诊断工具：

• ping：测试基本连通性
• traceroute：跟踪网络路径
• tcpdump：抓包分析
• netstat/ss：查看网络状态

在容器中使用tcpdump：

bash复制docker run --rm -it --net container:web nicolaka/netshoot tcpdump -i eth0

8. 安全最佳实践

8.1 网络隔离策略

1. 为不同应用使用独立网络
2. 限制容器间通信
3. 使用内部网络隐藏敏感服务

bash复制# 创建内部网络（不对外暴露）
docker network create --internal secure-net

8.2 防火墙规则配置

限制容器网络访问：

bash复制# 只允许特定IP访问容器
docker run -p 80:80 -e "ALLOWED_IPS=192.168.1.0/24" nginx

或者通过iptables直接控制：

bash复制iptables -I DOCKER-USER -s 10.0.0.0/24 -j ACCEPT
iptables -I DOCKER-USER -j DROP

8.3 加密通信

使用TLS保护容器间通信：

bash复制# 创建overlay网络时启用加密
docker network create --opt encrypted --driver overlay secure-overlay