Docker 网络模式深度解析

引言

大家好,今天来聊聊 Docker 的网络模式这块儿东西。说实话,我刚开始玩 Docker 的时候,对网络这块儿真的是一头雾水。容器之间怎么通信?怎么让外部访问容器里的服务?容器和宿主机到底是什么关系?这些问题估计大家都遇到过。今天我就把 Docker 的几种网络模式好好捋一捋,保证让大家看完之后心里有底。

什么是 Docker 网络

在进入具体模式之前,咱们先简单说说 Docker 网络是个啥。Docker 网络本质上就是一套虚拟网络系统,它让容器之间、容器和宿主机之间能够互相通信。Docker 会自己在宿主机上创建一些虚拟网桥和网卡,然后通过 Docker Daemon 来管理这些网络。

你可以用 docker network ls 命令来看看当前有哪些网络:

$ docker network ls

NETWORK ID     NAME      DRIVER    SCOPE


abc123...      bridge    bridge    local


def456...      host      host      local


ghi789...      none      null      local

默认情况下,你会看到 bridge、host、none 这三个网络,它们分别对应 Docker 的三种基本网络模式。

Bridge 模式——最常用的默认模式

先说说 bridge 模式,这应该是大家最熟悉的了,也是 Docker 默认的网络模式。

当你启动一个容器而不指定任何网络参数时,容器就会连接到 bridge 网络。Docker 会在宿主机上创建一个名为 docker0 的网桥,然后给每个容器分配一个独立的 IP 地址。容器之间可以通过这个网桥互相通信,容器也可以通过 NAT 访问外部网络。

举个例子:

# 启动一个容器,默认使用 bridge 网络

docker run -d --name my_nginx nginx



查看容器的网络配置


docker exec my_nginx ip addr

你会发现容器有一个类似 172.17.0.x 的 IP 地址。这就是 Docker 自动分配的。

bridge 模式的优点是简单,容器之间隔离性好,适合大多数场景。但有个小问题:容器之间的通信需要通过网桥转发,性能会稍微有点损耗。另外,如果你想让外部访问容器里的服务,需要通过 -p 参数做端口映射:

docker run -d -p 8080:80 nginx

这样就把容器的 80 端口映射到了宿主机的 8080 端口。

Host 模式——容器和宿主机共享网络

说完 bridge,再来看看 host 模式。这个模式的名字很直白——容器直接使用宿主机的网络,不再单独创建虚拟网络。

启动容器时加上 --network host 参数就进入了 host 模式:

docker run -d --network host --name my_nginx nginx

在这种情况下,容器里显示的 IP 就是宿主机的 IP,容器监听的端口也就是宿主机的端口。如果你启动一个 nginx 容器占用 80 端口,那宿主机上的 80 端口就直接被占用了。

这个模式的好处是性能好,因为少了网络转发这一步。但缺点也很明显:端口容易冲突,而且容器失去了网络隔离,安全性会差一些。

我个人感觉,host 模式适合那些需要高性能或者需要容器和宿主机网络完全一致的场景,比如一些网络工具或者监控系统。

None 模式——完全封闭的网络

这个模式更极端,加上 --network none 参数,容器就完全与世隔绝了:

docker run -d --network none --name isolated_container alpine

容器只有一个 loopback 网卡,没有任何网络接口。这种容器只能和自己玩,完全无法与外界通信。

那这种模式有什么用呢?有些场景下我们就是不需要网络,比如一些离线计算任务,或者纯粹做数据处理的容器。用 none 模式可以避免不必要的网络开销,也能提高安全性。

Container 模式——共享另一个容器的网络

这个模式比较有意思,它让多个容器共享同一个网络栈:

docker run -d --name container1 nginx

docker run -d --name container2 --network container:container1 alpine

执行上面这两条命令后,container2 会和 container1 使用完全相同的网络命名空间。它们的 IP 一样,监听的端口也共享。这意味着如果 container1 跑了 nginx 占用 80 端口,container2 也能直接通过 localhost:80 访问它。

这个模式在一些特定场景下很好用,比如你想让多个容器紧密协作,或者想让辅助容器使用主容器的网络环境。

自定义网络——更灵活的选择

除了上面几种内置模式,Docker 还支持创建自定义网络。最常用的就是 bridge 类型的自定义网络:

docker network create my_network

docker run -d --network my_network --name container1 nginx


docker run -d --network my_network --name container2 alpine

自定义网络相比默认的 bridge 有几个好处:首先,你可以使用自定义的网段;其次,Docker 自带的 DNS 会自动解析容器名,你直接用容器名就能访问,不需要手动配置;再者,自定义网络支持网络隔离,不同的网络之间互不影响。

举个例子,在自定义网络里:

# container1 启动了 nginx

docker exec container1 nginx



container2 可以直接通过容器名访问


docker exec container2 curl http://container1:80

这可比默认的 bridge 网络方便多了。

总结

好,今天把 Docker 的几种网络模式都过了一遍。简单总结一下:

- Bridge:默认模式,容器有独立 IP,通过网桥通信,需要端口映射访问外部

- Host:容器共享宿主机网络,性能好但缺乏隔离

- None:完全无网络,适合不需要网络的场景

- Container:多个容器共享网络栈

- 自定义网络:更灵活,支持 DNS 解析和网络隔离

实际工作中,bridge 模式能满足大部分需求,但了解其他模式可以帮你在遇到特殊场景时做出更好的选择。好了,今天就先聊到这儿,大家有什么问题欢迎评论区交流!