Docker网络

四种网络模式

bridge模式

docker默认使用bridge模式

• 使用一个 linux bridge，默认为 docker0
• 使用 veth 对，一头在容器的网络 namespace 中，一头在 docker0 上
• 该模式下Docker Container不具有一个公有IP，因为宿主机的IP地址与veth pair的 IP地址不在同一个网段内
• Docker采用 NAT 方式，将容器内部的服务监听的端口与宿主机的某一个端口port 进行“绑定”，使得宿主机以外的世界可以主动将网络报文发送至容器内部
• 外界访问容器内的服务时，需要访问宿主机的 IP 以及宿主机的端口 port
• NAT 模式由于是在三层网络上的实现手段，故肯定会影响网络的传输效率
• 容器拥有独立、隔离的网络栈；让容器和宿主机以外的世界通过NAT建立通信

容器通过端口映射实现访问如下图：

Host模式

Host模式并没有为容器创建一个隔离的网络环境。该模式下，docker容器会和host宿主机共享一个网络namespace，故docker container可以和宿主机一样使用宿主机的eth0，实现与外界的同i性能。

• 没有隔离的network namespace
• 容器的IP地址同Docker host的IP地址
• 需要注意容器中服务的端口号不能与Docker host上的端口号冲突
• host模式能够和其它模式共存

# 启动命令
docker run -d --name hostc1 --network host -p 5001:5001 training/webapp python app.py

container模式

container网络模式是Docker中比较特别的网络模式，处于这个模式下的Docker容器会攻向其他容器的网络环境。因此，至少这两个容器之间不存在网络隔离，而这两个容器又与宿主机以及除此之外的其它的容器存在网络隔离

# 启动方式
# 先启动一个容器
docker run -d --name hostcs1 -p 5001:5001 training/webapp python app.py
# 在启动第二个容器，并使用第一个容器的network namespace
docker run -d --name hostcs2 --network container:hostcs1  training/webapp python app.py

注意：因为此时两个容器要共享一个network namespace，因此要注意端口冲突情况，否则第二个容器将无法被启动

none模式

网络模式为none，即不为Docker容器构造任何网络环境，Docker容器只能使用内部lo网卡，不会再有其它的网络资源。

docker run -d --name hostn1 --network none training/webapp python app.py

多节点Docker网络

• Docker原生overlay网络支持Consul、Etcd、ZooKeeper三种分布式key-value存储
• Docker原生支持overlay网络，也可以通过插件引入第三方实现方案，比如Flannel，Calico等等，这一部分留待以后研究