【Docker】容器网络模式全解析

Docker 中的网络为容器提供了相互通信的基础，同时还能与外部世界相连。每个容器启动时都会连接到某个网络，Docker 默认提供了多种网络模式以满足不同需求。你可以为容器创建自定义网络，配置 IP 地址，设置通信规则等。

一、Bridge 网络（默认模式）

bridge 是 Docker 中最常用的网络模式之一。 是一种单主机内部的虚拟网络，允许容器在同一主机上使用虚拟网络桥进行通信，而无需直接暴露到外部网络。

1.1 Bridge 网络概念

1. 虚拟网络桥： Docker Bridge 网络实际上是 Linux 内核中的一种虚拟网络桥，类似于物理网络交换机。它允许同一台主机上的多个容器通过这个桥连接在一起进行通信。
2. 默认桥网络： Docker 在启动时会自动创建一个名为 bridge 的默认网络。你可以将容器连接到这个默认网络，容器之间就能相互通信。
3. 隔离性： 使用 Bridge 网络，容器与主机外部的网络是隔离的。只有通过端口映射（-p 参数）才能让外部访问容器内的服务。
4. 容器内部通信： 连接到同一 Bridge 网络的容器可以通过容器名或 IP 地址直接相互通信，而不需要端口映射。

1.2 使用场景

• 只在单个 Docker 主机上运行的应用。
• 需要隔离容器的网络环境，但又需要容器之间能够相互通信。
• 使用本地服务开发、测试时，容器间的通信可以通过 Bridge 网络来实现。

1.3 如何使用 Bridge 网络

通过以下命令查看 Docker 主机上的默认网络。

docker network ls

启动容器时，如果没有指定其他网络，Docker 会默认将容器连接到默认的 Bridge 网络。

docker run -d --name my_container nginx

除了默认的 bridge 网络外，你还可以创建自定义的 Bridge 网络，并在容器运行时指定使用该网络。

docker network create my_bridge_network
docker run -d --name my_container --network my_bridge_network nginx

1.4 小结

• Bridge 网络 适用于单主机环境中的容器通信，提供了基本的网络隔离和端口映射功能。
• 它通常用于开发、测试环境，或者在单个主机上运行多个容器时使用。
• 使用 docker network create 可以创建自定义的 Bridge 网络，方便管理不同容器的网络隔离和通信需求。

二、Host 网络

容器在采用host网络模式时，将会直接与宿主机共享网络命名空间，容器不再拥有独立的网络命名空间， 这意味着容器中的应用与主机的网络配置完全一致，容器将直接使用主机的 IP 地址和端口，而不是 Docker 默认的虚拟网络。

2.1 Host 网络的特点

1. 无隔离性： 与其他网络模式不同，Host 网络模式取消了容器和主机之间的网络隔离。容器中的服务直接运行在主机的网络接口上，主机的 IP 和端口就是容器的 IP 和端口。
2. 性能优化： 由于容器中的网络流量不再需要通过虚拟网络桥或端口映射，因此 Host 网络在某些情况下能够提供更好的网络性能。尤其是在需要处理大量网络数据的高性能应用中，Host 网络可能更适合。
3. 共享主机网络： 使用 Host 网络时，容器会直接使用主机的所有网络接口。这意味着容器中的服务将与主机上的服务共享相同的端口空间。如果容器和主机有冲突的端口（如两者都想占用同一个端口），则无法正常启动。

2.2 Host 网络使用场景

• 高性能网络应用：当需要优化网络性能时（如低延迟或高吞吐量的网络应用），可以使用 Host 网络。
• 需要与主机直接通信的应用：如果应用程序要求直接访问主机的网络或需要与主机上的其他服务共享网络堆栈时，Host 网络是一个不错的选择。
• 在单机环境下部署的服务：Host 网络更适合部署单节点或本地测试环境中的应用，而不适合多主机环境。

2.3 如何使用 Host 网络

使用 docker run 命令时可以通过 --network host 参数启用 Host 网络模式。

docker run -d --network host nginx

在这个例子中，容器将不再使用独立的 IP 和端口，而是直接共享主机的网络接口。Nginx 服务会直接绑定到主机的网络端口上。

2.4 小结

Host 网络模式 适用于需要高网络性能的应用程序或直接与主机通信的场景。与 Bridge 网络 相比，Host 网络提供了更少的隔离性，但在特定场景下能提高网络性能。要注意的是，Host 网络可能导致端口冲突问题，并且其安全性需要特别考虑。

三、none 网络

none 网络 是一个特殊的网络模式，采用none模式将会禁用容器的所有网络功能，容器不再拥有网络接口，只有本地环回口，完全与外界隔离。

3.1 none 网络主要特点：

1. 没有网络接口：
   • 容器在启动时不会自动分配虚拟网卡（如 eth0），也不会连接到 Docker 提供的任何网络（如 bridge 网络、host 网络等）。
2. 无网络连接：
   • 容器启动后不会有任何网络配置，无法访问其他容器或外部网络，也无法被其他容器或外部系统访问。
3. 适合网络自定义：
   • 使用 none 网络时，容器内部只有 lo（回环接口），如果需要自定义网络配置，可以手动添加网络接口或配置网络。

3.2 常见使用场景：

1. 完全隔离网络：
   • 这种模式适合那些不需要网络功能的容器，或者需要完全隔离网络的场景。例如，在某些测试环境下，可以使用 none 网络模式来避免容器与外部网络的交互。
2. 手动配置网络：
   • 在某些高级场景中，用户希望手动配置容器的网络接口，例如使用 Open vSwitch 或其他网络管理工具。在这种情况下，none 网络模式可以作为起点，用户可以根据需求手动添加和配置网络接口。

3.3 如何使用none网络：

docker run -dit --network none nginx

这个命令启动了一个使用 none 网络模式的容器。容器内部只会有 lo 接口（回环接口），不会有其他网络接口。

3.4 小结：

• none 网络模式主要用于不需要网络连接的场景，或者高级用户手动配置网络的场景。
• 它为容器提供了一个最小化的网络环境，允许用户根据需求自定义网络设置，或者完全隔离容器的网络。

四、Overlay 网络

overlay 是用于跨多个 Docker 主机实现容器间通信的网络模式。它为分布式应用程序提供了容器之间的互连，并且可以在不同主机之间创建一个逻辑网络，从而允许容器无论在哪个主机上，都可以在同一网络中互相通信 。

4.1 Overlay 网络的主要特点

1. 多主机通信： Overlay 网络允许多个 Docker 主机上的容器相互通信。它通过在不同的主机之间创建虚拟网络来实现这一点，允许容器在不同的主机上共享一个网络空间。
2. 支持 Swarm 集群： Overlay 网络通常用于 Docker Swarm 集群中。它使 Swarm 服务中的容器在不同的主机上相互通信成为可能，简化了多主机部署时的网络配置。
3. 分布式网络： Overlay 网络本质上是一种分布式网络，它在各个主机之间通过虚拟网络隧道实现连接。
4. 无需额外路由设置： Docker 内部会自动管理 Overlay 网络的路由表，用户无需手动配置路由。

4.2 使用场景

1. 容器跨主机互联： 在集群环境中，如果你有多个主机，并且容器分布在这些主机上，使用 Overlay 网络可以让它们直接互相通信。
2. Docker Swarm 集群： 在 Docker Swarm 模式下，Overlay 网络用于服务之间的通信，无论服务所在的节点（主机）如何分布，容器之间都可以通过 Overlay 网络进行连接。

4.3 Overlay 网络 的创建与使用

使用 docker network create 命令创建一个 Overlay 网络。

docker network create --driver overlay my_overlay_network

运行容器时可以指定使用创建的 Overlay 网络。

docker run -d --network=my_overlay_network nginx

在 Swarm 模式下，你还可以将服务部署到 Overlay 网络中。

docker service create --name my_service --network my_overlay_network nginx

小结

• Overlay 网络 主要用于跨多个 Docker 主机实现容器之间的通信。
• 它通常用于 Docker Swarm 集群，可以在不同主机之间创建虚拟网络。
• 它的使用非常简单，主要通过 docker network create 和 docker run 等命令进行管理。

五、Macvlan 网络

macvlan 是 Docker 中的一种高级网络模式，与 Bridge 和 Host 网络相比，它提供了更高的网络隔离性和更灵活的 IP 分配方式。Macvlan 网络允许你将容器直接桥接到主机的物理网络接口上，使每个容器都拥有自己的 MAC 地址和 IP 地址，就像是直接连接到网络的独立设备。

5.1Macvlan 网络的特点

1. 独立的 MAC 地址： 每个容器都会分配一个独立的 MAC 地址，容器看起来就像是连接在主机网络上的一个独立物理设备。
2. 独立的 IP 地址： 容器可以从主机网络的 IP 范围中分配独立的 IP 地址，而不是像 Bridge 网络那样使用 NAT 转换。
3. 隔离性： Macvlan 网络为容器提供了很强的隔离性，容器不再共享主机的网络命名空间，可以独立通信。
4. 与主机通信的限制： 默认情况下，Macvlan 网络中的容器和主机无法直接通信。这是因为主机和容器共享同一物理网络接口，但通过不同的 MAC 地址进行通信。需要额外配置才能实现主机和容器之间的直接通信。
5. 适用于复杂网络环境： Macvlan 网络特别适合那些需要容器与外部网络（如企业局域网）直接通信的场景，例如，需要为每个容器分配唯一的 IP 地址并参与现有网络的应用。

5.2 使用场景

• 与外部网络集成：如果你需要容器像物理机一样直接与外部网络设备通信（如交换机、路由器），Macvlan 网络模式是一个理想的选择。
• 与现有 IP 管理集成：在需要通过现有的 DHCP 服务器或网络管理系统为容器分配 IP 地址的情况下，Macvlan 网络可以很好地与这些系统集成。
• 高隔离性场景：对于需要高网络隔离性并且希望容器有自己独立的网络身份的场景，Macvlan 是一种很好的选择。

5.3 如何创建和使用 Macvlan 网络

创建一个 Macvlan 网络，指定物理网络接口和子网信息。

docker network create -d macvlan \
  --subnet=192.168.1.0/24 \
  --gateway=192.168.1.1 \
  -o parent=eth0 my_macvlan_network

在这个命令中：

• -d macvlan：指定使用 macvlan 驱动。
• --subnet 和 --gateway：定义容器将使用的子网和网关。
• -o parent=eth0：将容器连接到主机的物理网络接口 eth0。

创建网络之后，可以使用该网络运行容器：

docker run -d --name=my_container --network my_macvlan_network nginx

这个容器将从 my_macvlan_network 网络中分配一个独立的 IP 地址，并且能够与外部网络直接通信。

主机和容器通信的配置： 默认情况下，主机和容器之间无法直接通信。如果需要解决这个问题，你可以通过创建一个带有 “bridge” 模式的虚拟接口来绕过这个限制。以下是在主机上创建一个可以与 Macvlan 容器通信的虚拟接口的步骤：

ip link add my_macvlan_link link eth0 type macvlan mode bridge
ip addr add 192.168.1.10/24 dev my_macvlan_link
ip link set my_macvlan_link up

5.4 小结

Macvlan 网络 是 Docker 提供的一种高级网络模式，适用于需要将容器作为独立网络设备直接与外部网络通信的场景。它为容器提供了独立的 MAC 地址和 IP 地址，并允许容器与现有网络架构无缝集成。尽管配置复杂，但在高隔离性和网络性能要求较高的场景中，Macvlan 网络模式是一种非常强大的工具。

六、IPvlan 网络

ipvlan 是 Docker 中的一种网络驱动模式，与 Macvlan 网络类似，它也是用于将容器连接到物理网络接口上的一种高级网络模式。不同的是，IPVLAN 更加高效且灵活，特别适合需要高度隔离的多租户环境和大规模的容器网络部署。

6.1 IPVLAN 网络的特点

1. 共享 MAC 地址： 与 Macvlan 不同，IPVLAN 容器并不会获得独立的 MAC 地址。它们共享主机的 MAC 地址，并通过不同的 IP 地址进行区分，这减少了网络的广播流量。
2. 两种模式：
   1. L2 模式（Layer 2）：类似于 Macvlan 的工作原理，容器使用不同的 IP 地址在二层网络中进行通信。
   2. L3 模式（Layer 3）：容器之间的通信在三层网络中进行，意味着容器需要通过路由才能相互通信，这是大规模容器网络部署时常用的模式。
3. 性能更高： IPVLAN 在性能上通常比 Macvlan 更好，尤其是在 L3 模式下，网络的隔离性更强，适合高并发和多租户的网络场景。
4. 灵活性高： IPVLAN 提供了多种网络拓扑，允许用户根据实际需求选择合适的模式（L2 或 L3），并且可以方便地与现有的网络基础架构集成。
5. 与主机通信： 与 Macvlan 类似，默认情况下，IPVLAN 容器无法直接与主机通信。不过可以通过一些配置绕过这个限制。

6.2 使用场景

• 多租户环境：当你需要在不同的租户之间提供网络隔离，同时共享底层的物理网络接口时，IPVLAN 是一个理想的选择。
• 大规模容器部署：IPVLAN 的 L3 模式特别适合大规模部署场景，容器的通信可以通过路由在不同子网之间实现。
• 网络性能优化：IPVLAN 提供了更好的网络性能，减少了广播流量，并能有效降低大规模容器集群中的网络压力。

6.3 L2 和 L3 模式的对比

特性	L2 模式	L3 模式
MAC 地址	共享主机的 MAC 地址	共享主机的 MAC 地址
IP 地址	容器有独立的 IP 地址，在同一子网中	容器有独立的 IP 地址，通常在不同子网
网络通信	容器在二层网络中通信，无需路由	容器之间的通信通过路由转发
适用场景	小规模集群，较少的广播流量	大规模集群，强隔离性，多租户环境

6.4 如何创建和使用 IPVLAN 网络

6.4.1 创建IPVLAN网络

可以通过以下命令创建一个默认的 IPVLAN 网络（默认即 L2 模式）：

docker network create -d ipvlan \
  --subnet=192.168.1.0/24 \
  --gateway=192.168.1.1 \
  -o parent=eth0 my_ipvlan_network

在这个命令中：

• -d ipvlan：指定使用 ipvlan 驱动。
• --subnet 和 --gateway：定义容器将使用的子网和网关。
• -o parent=eth0：将容器连接到主机的物理网络接口 eth0。

如果想要使用 L3 模式，需要通过 -o ipvlan_mode=l3 选项来明确指定：

docker network create -d ipvlan \
  --subnet=192.168.1.0/24 \
  --gateway=192.168.1.1 \
  -o parent=eth0 \
  -o ipvlan_mode=l3 my_ipvlan_network

6.4.2 运行容器并使用 IPVLAN 网络

创建 IPVLAN 网络后，你可以在该网络中启动容器：

docker run -d --name=my_container --network=my_ipvlan_network nginx

6.5 小结

• L2 模式 适用于较小规模的容器集群部署，容器共享主机的 MAC 地址并在二层网络中通信，网络性能较好且易于配置。
• L3 模式 则更适合大规模的容器集群或多租户环境，容器之间的通信通过三层网络（路由器）进行，提供了更高的网络隔离性。