Docker网络与防火墙

docker需不需要防火墙软件？

其实这个问题之前一直困扰着我，在请教技术大牛以及自己探讨以后，得到了一个答案，那就是docker不需要防火墙软件（注意这里指的是firewalld，iptables等防火墙软件而不是iptables服务）。

防火墙软件是否对docker有影响？

docker引擎启动的时候会修改iptables规则，如果使用了防火墙软件，只要重启防火墙软件，则docker的规则就全部丢失，影响容器访问。

如果必须使用防火墙需要注意什么？

增删开放端口都必须通过动态命令添加，并且不应该重启防火墙。

如果使用防火墙，部署业务映射了宿主机的端口，是否应该开放该端口？

没有必要，因为不管你开不开放端口，都可以访问到服务。具体看下面的解释。

Docker网络模式

Docker有多中网络模式，包括host，none,bridge ,overlay等。下面以Docker默认的bridge网络---Docker0来探讨Docker网络与iptables的关系。

Docker0网络是Docker搭建的一个虚拟桥接网络，默认网关地址是172.17.0.1。Docker默认的网络是Docker0网络，也就意味着Docker中所有没有指定网络的容器都会加入到这个桥接网络中，网络中的容器可以互相通信。

# ifconfig
docker0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.17.0.1  netma