如何全面总结Docker网络配置与管理的要点？

转载请注明出处： 一、 Docker 网络核心概念 在 Docker 中，网络的核心目标是让容器之间、容器与外部世界（包括宿主机和其他机器）能够进行通信。 Docker 采用了一种可插拔的驱动架构，默认提供了几种网络驱动程序（Driver），每种驱动对应一种网络模式，以适应不同的使用场景。 关键概念： 网络命名空间（Network Namespace）：Linux 内核提供的功能，为容器提供独立的网络栈（包括网卡、路由表、iptables规则等），实现网络隔离。 虚拟以太网设备对（veth pair）：总是成对出现，像一根虚拟的网线，一端放在容器的网络命名空间中（通常命名为eth0），另一端连接到宿主机上的一个虚拟网桥（如docker0）。 网桥（Bridge）：一个虚拟的网络交换机，容器通过veth pair连接到它上面，从而实现同网段内的通信。 二、 常用的 Docker 网络类型（驱动） 当安装 Docker 后，执行docker network ls，会看到几个默认创建的网络。 $ docker network ls NETWORK ID NAME DRIVER SCOPE a123b456c789 bridge bridge local d789e012f345 host host local f345g678h901 none null local 详细讲解这几种以及其它常用网络类型。 1. Bridge 网络（桥接网络） 这是Docker 的默认网络驱动。如果你不指定网络，容器就会运行在默认的bridge网络上。 特点： 隔离性：每个容器分配独立的网络命名空间。 私有网络：容器被分配一个私有子网的IP地址（通常是172.17.0.0/16）。 NAT：容器默认可以通过宿主的IP地址访问外部网络（通过iptables的 MASQUERADE 规则）。外部网络无法直接通过IP访问容器内的服务。 端口映射：为了让外部能访问容器服务，必须使用-p或-P参数将容器端口映射到宿主机端口。 使用场景： 运行单个容器或不需要特殊网络需求的多个容器。 需要将容器端口暴露给外部网络访问的场景（如运行一个Web服务器）。 示例与分析： # 运行一个Nginx容器，并将其80端口映射到宿主机的8080端口 docker run -d --name my-nginx -p 8080:80 nginx # 查看默认的bridge网络详情 docker network inspect bridge 分析： Docker 会创建一对veth设备。 一端放入my-nginx容器的网络命名空间（容器内ip addr可以看到eth0）。 另一端连接到名为docker0的宿主机虚拟网桥上。 容器获得一个IP（如172.17.0.2）。 当你在宿主机外访问http://<宿主机IP>:8080时，流量流向为：外部 -> 宿主机8080端口 ->iptablesDNAT规则 ->docker0网桥 -> 容器my-nginx的80端口。 2. Host 网络（主机网络） 使用--network=host参数，容器会共享宿主机的网络命名空间。 特点： 无隔离：容器直接使用宿主机的IP和端口。 高性能：因为没有NAT和网桥开销，网络性能最好。 端口冲突：容器使用的端口不能与宿主机上其他进程冲突。 使用场景： 对网络性能要求极高的场景（如高频交易系统、负载均衡器）。 需要直接使用宿主机网络栈的特定应用。 示例与分析： # 使用host网络运行Nginx docker run -d --name my-nginx-host --network=host nginx 分析： 容器内ip addr看到的结果与在宿主机上执行完全一样。 Nginx 服务直接监听在宿主机的80端口上。 你直接访问http://<宿主机IP>:80即可，无需也不可以使用-p参数进行端口映射。 3. None 网络（无网络） 使用--network=none参数，容器将获得自己的网络命名空间，但不进行任何网络配置。 特点： 极致隔离：容器内只有lo（loopback）回环接口，无法与任何网络（包括其他容器和外部网络）通信。 使用场景： 需要完全离线、保证绝对安全的计算任务。