当前位置：首页 > news >正文

Docker 容器网络模式详解

news 文章来源：https://blog.csdn.net/weixin_47763623/article/details/143567971 2025/5/7 4:35:21

Docker 容器网络模式详解

1.1 引言

1.1.1 Docker 网络简介

Docker 是一个开源的应用容器引擎，它允许开发者将应用和依赖打包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器采用沙箱机制，彼此隔离，不会相互干扰。Docker 网络是容器之间以及容器与宿主机之间通信的基础。

1.1.2 Docker 网络的技术基础

Docker 网络栈基于 Linux 的网络命名空间（Namespace）和虚拟网络接口（veth pairs）实现。通过 Docker 提供的几种网络模式，容器可以灵活选择与宿主机和其他容器的隔离或连接方式，从而满足不同的应用需求。

1.1.3 为什么需要不同的网络模式

不同的网络模式满足了多种网络需求。例如，某些应用需要高性能网络传输，而另一些则可能需要严格的网络隔离。Docker 提供了多种网络模式，包括 Bridge（桥接）、Host（主机）、None（无）、Container（容器）等模式，以适应这些需求。

2. Bridge（桥接）模式

2.1 原理与特性

Bridge 模式是最常用的 Docker 网络模式。每个 Docker 守护进程都会自动创建一个名为 docker0 的虚拟网桥，类似于物理交换机的工作方式，用于连接 Docker 容器和宿主机网络。

Docker 在每个容器启动时创建一对虚拟网络接口（veth pairs）类似于网线，一端连接到容器网络命名空间，另一端连接到 docker0，形成容器与宿主机之间的通信链路。此外，Docker 使用 iptables 创建 NAT 规则，让容器可以通过宿主机访问外部网络。

2.2 适用场景

当需要容器间通信时
当容器需要与宿主机或外部网络通信时

2.3 配置方法

使用默认的桥接网络时，可以直接省略 --network 参数：

docker run -d --name my_container nginx

使用自定义的桥接网络时：

docker network create my_bridge_network
docker run -d --name my_container --network my_bridge_network nginx

2.4 实战演练

假设我们有两个容器需要互相通信，可以按照以下步骤操作：

创建自定义桥接网络：docker network create my_bridge_network

启动两个容器并连接到该网络：

docker run -d --name container1 --network my_bridge_network busybox sleep 1000
docker run -d --name container2 --network my_bridge_network busybox sleep 1000

在一个容器中 ping 另一个容器的 IP 地址或容器名，验证通信。

3. Host（主机）模式

3.1 原理与特性

在 Host 模式下，容器直接使用宿主机的网络堆栈，意味着容器和宿主机共享相同的网络命名空间。容器不再有独立的 IP 地址，而是使用宿主机的 IP 地址和端口。Host 模式减少了网络隔离，但提高了性能。

3.2 适用场景

高性能网络应用，例如低延迟实时应用
应用需要直接访问宿主机网络接口

3.3 配置方法

在启动容器时添加 --network host 参数：

docker run -d --name my_container --network host nginx

3.4 实战演练

运行一个 Nginx 容器并使用 Host 网络模式：

启动容器：docker run -d --name my_container --network host nginx
通过宿主机的 IP 地址直接访问 Nginx 服务。

注意：Host 模式下端口冲突可能会导致启动失败，建议合理规划端口。

4. None（无）模式

4.1 原理与特性

None 模式下，容器没有网络功能，不会被分配任何网络接口，也无法与其他容器或宿主机通信。这种模式为需要完全网络隔离的应用提供了较高的安全性。

4.2 适用场景

运行不需要网络连接的任务
高度安全的环境，需要严格限制网络访问

4.3 配置方法

启动容器时添加 --network none 参数：

docker run -d --name my_container --network none busybox

4.4 实战演练

启动一个 BusyBox 容器并验证它没有网络连接：

docker exec -it my_container ping google.com

应提示网络不可达。

5. Container（容器）模式

5.1 原理与特性

Container 模式允许新创建的容器共享另一个已存在的容器的网络命名空间。这样两个容器可以像是同一台机器上的进程一样，共享网络接口、IP 地址和端口。

5.2 适用场景

多个服务组件紧密协作，减少网络开销
服务组件间通信需要最小的网络延迟

5.3 配置方法

在启动容器时，添加 --network container:<name|id> 参数，使其共享指定容器的网络：

docker run -d --name my_container --network container:existing_container busybox

5.4 实战演练

创建一个基础容器，然后启动一个新容器与之共享网络：

启动第一个容器：docker run -d --name existing_container nginx

启动第二个容器并共享第一个容器的网络：

docker run -d --name my_container --network container:existing_container busybox

测试两个容器间的通信，验证网络共享效果。

6. 常见问题

6.1 无法访问容器

原因：容器未正确启动、容器内的服务未监听网络、网络配置错误等。
解决方法：检查容器日志、网络配置和防火墙规则。

6.2 端口冲突

原因：尝试在同一端口上启动多个服务。
解决方法：更改服务端口号或选择不同的网络模式。

6.3 DNS 解析问题

原因：DNS 配置不正确导致容器无法解析域名。
解决方法：在 /etc/docker/daemon.json 中设置 DNS，例如：
```
{"dns": ["8.8.8.8", "8.8.4.4"]
}
```
然后重启 Docker 服务。

6.4 网络性能问题

原因：网络延迟高或吞吐量低，可能因网络配置不当或宿主机网络拥塞导致。
解决方法：优化网络配置，减少网络拥塞，或通过 docker stats 和 iftop 等工具检查资源使用情况。

6.5 排查工具

检查容器状态：docker ps -a
查看容器日志：docker logs <container_name>
网络配置检查：docker inspect <container_name>
测试连通性：ping 或 curl 命令。

7. Docker 网络模式与 VMware 虚拟机网络模式的对比

Docker 容器和 VMware 虚拟机在网络模式上有一些相似性，但由于两者的虚拟化机制不同，网络模式的实现和功能侧重点也有所不同。以下是主要的网络模式对比：

7.1 Bridge 模式对比

虽然vmware也有一种网络模式叫bridge, 但是docker的bridge模式和vmware的NAT模式更像

模式	Docker 的 Bridge 模式	VMware 的 NAT 模式
实现方式	使用 `docker0` 虚拟网桥连接容器和宿主机网络；每个容器分配独立 IP 地址，通过 NAT 转发流量。	VMware 的 NAT 模式通过虚拟 NAT 网关和虚拟交换机连接 VM 和宿主机，所有 VM 通过共享宿主机 IP 访问外网。
适用场景	容器间通信，容器访问外网，但宿主机与容器 IP 互不冲突。	需要 VM 与宿主机隔离，但又要保证 VM 能访问外网。
隔离性	中等，容器之间可见；宿主机与容器间有一定隔离。	中等，虚拟机间的隔离性较高，但共享宿主机 IP 出外网。

总结：两者都使用 NAT 技术，但 Docker 的 Bridge 模式可以通过自定义网络来精细控制容器间隔离，适用于微服务环境下的容器化应用。VMware 的 NAT 模式则更适用于较传统的网络隔离场景。

7.2 Host 模式对比

模式	Docker 的 Host 模式	VMware 的 Bridged 模式
实现方式	容器直接共享宿主机的网络命名空间，使用宿主机 IP。	VM 通过虚拟交换机直接连接到宿主机的物理网络接口，获得局域网 IP 地址。
适用场景	需要容器与宿主机密切交互的高性能应用场景。	需要 VM 直接加入局域网，与其他局域网设备通信。
隔离性	较低，容器和宿主机之间没有网络隔离。	较高，VM 使用独立 IP 地址和 MAC 地址，在局域网中被视为独立设备。

总结：Docker Host 模式强调与宿主机的网络性能和通信共享，而 VMware 的 Bridged 模式允许 VM 直接加入物理网络，且拥有独立 IP 地址，在隔离性上更适合传统的独立主机需求。

7.3 None 模式对比

模式	Docker 的 None 模式	VMware 的 Host-Only 模式
实现方式	禁用容器网络，容器完全隔离，无 IP 地址。	VM 通过虚拟网络适配器与其他 VM 或宿主机通信，不能访问外网。
适用场景	适用于无网络需求或安全要求极高的隔离场景。	适用于需要 VM 间隔离和宿主机隔离的网络测试或开发环境。
隔离性	完全隔离，没有网络连接。	较高，仅限于 VM 间通信，无外网访问。

总结：Docker 的 None 模式完全切断网络连接，而 VMware 的 Host-Only 模式则允许 VM 和宿主机之间的有限通信，适用于不同的测试和隔离需求。

7.4 总结

网络需求	Docker 网络模式	VMware 虚拟机网络模式
容器/虚拟机间通信	Bridge 模式，灵活隔离控制	Host-Only 模式，适合隔离
与宿主机共享网络	Host 模式，性能最高	NAT 或 Bridged 模式
完全隔离	None 模式	Host-Only 模式
高性能与外网访问	Host 模式	Bridged 模式

Docker 和 VMware 的网络模式虽然在功能上存在部分重叠，但二者的技术实现和应用场景有所不同。Docker 更强调轻量级隔离和高效网络性能，适合动态扩展的微服务环境；而 VMware 提供更接近物理机的网络隔离，适合需要独立主机的虚拟化环境。根据应用场景和网络需求选择合适的模式，能够充分发挥容器和虚拟机的优势。

8. 参考资料

Docker 官方文档
Docker 网络指南
Docker Overlay network driver

Docker 容器网络模式详解

Docker 容器网络模式详解 1.1 引言 1.1.1 Docker 网络简介 Docker 是一个开源的应用容器引擎，它允许开发者将应用和依赖打包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器采用沙箱机制，彼此…...

编程日记 2024/11/7 22:56:24

吴恩达深度学习笔记：卷积神经网络（Foundations of Convolutional Neural Networks）4.11

目录第四门课卷积神经网络（Convolutional Neural Networks）第四周特殊应用：人脸识别和神经风格转换（Special applications: Face recognition &Neural style transfer）4.11 一维到三维推广（1D and 3…...

编程日记 2024/11/7 22:55:23

小游戏开发，出现了降本增效的技术？

中国经济下行大周期下，要说受影响程度较小的，非游戏行业莫属了。小游戏的快速增长主要得益于其便捷的使用方式和轻量化的特点。小游戏通常无需下载，即点即玩，适合在碎片时间内进行娱乐，这种特性吸引了大量用户。此外…...

编程日记 2024/11/7 22:54:22

（4）Java 编程基础概览：Java中的输入输出操作与代码注释详解

目录 1. 控制台输出操作2. 控制台输入操作代码解释：3. 代码注释3.1 单行注释3.2 多行注释3.3 文档注释3.4 注释的重要性3.5 注意事项在Java编程语言中，输入与输出（I/O）操作扮演着举足轻重的角色。它们允许程序与外界环境进行数据的交互，无论是从用户处获取信息，还是向用户…...

编程日记 2024/11/7 22:53:21

Git使用指南

目录工作机制基本框架:流程图基本命令分支操作远程仓库本地仓库关联远程仓库参考工作机制基本框架: Workspace：开发者工作区，也就是你当前写代码的目录，它一般保持的是最新仓库代码。Index / Stage：暂存区，最早…...

编程日记 2024/11/7 22:52:20

【linux】再谈网络基础（一）

1. 再谈 "协议" 协议是一种 "约定"，在读写数据时, 都是按 "字符串" 的方式来发送接收的. 但是这里我们会遇到一些问题： 如何确保从网上读取的数据是否是完整的，区分缓冲区中的由不同客户端发来的数据 2. 网…...

编程日记 2024/11/7 22:51:19

Unknown at rule @tailwindscss(unknownAtRules)

一、前言整合 tailwindcss 后，发现指令提示警告 Unknown at rule tailwindscss(unknownAtRules)，其实是 vscode 无法识别 tailwindscss 指令，不影响使用，但是对于我这种有编程洁癖的人来说，有点膈应。二、解决方案…...

编程日记 2024/11/7 22:50:18

IDEA - 快速去除 mapper.xml 黄色警告线和背景色----简化版

1.打开设置 2.去掉黄色警告线设置 3.去掉背景色设置 4.示范图...

编程日记 2024/11/7 22:47:15

高级 SQL 技巧详解

文章目录高级 SQL 技巧详解一、引言二、窗口函数1、窗口函数的使用1.1、RANK() 函数示例1.2、常用窗口函数三、公共表表达式（CTE）2、CTE 的使用2.1、CTE 示例四、索引优化3、索引的创建与优化3.1、创建索引3.2、索引类型与注意事项五、事务管理4、事…...

编程日记 2024/11/7 22:46:14

移除元素(java)

给你一个数组 nums 和一个值 val，你需要原地移除所有数值等于 val 的元素。元素的顺序可能发生改变。然后返回 nums 中与 val 不同的元素的数量。假设 nums 中不等于 val 的元素数量为 k，要通过此题，您需要执行以下操作： 更改…...

编程日记 2024/11/7 22:45:14

【Linux】shell脚本：检测文件是否存在，如存在则删除

通常，可以使用[ -f <file> ]来检查文件是否存在，使用rm <file>来删除文件。以下是一个示例脚本，用于检测一个文件是否存在，并在存在时删除它： #!/bin/bash # 定义要检查的文件路径 file_path"/…...

编程日记 2024/11/7 22:43:09

Git代码托管（三）可视化工具操作（1）

常见的可视化操作工具有一、官方网页如码云、gitlab，自带了常见的git操作。以码云为例： 1、创建分支： 进入分支目录，点击新建分支按钮， 在弹出框中输入新分支名称，点击确定即可一键创建分支&…...

编程日记 2024/11/7 22:42:08

How to use ffmpeg to convert video format from .webm to .mp4

The .mp4 container format doesn’t support the VP8 codec, which is commonly used in .webm files. MP4 containers typically use the H.264 codec for video and AAC for audio. You’ll need to re-encode the video using the H.264 codec and re-encode the audio us…...

编程日记 2024/11/7 22:41:07

Docker 容器网络模式详解

1.1 引言

1.1.1 Docker 网络简介

1.1.2 Docker 网络的技术基础

1.1.3 为什么需要不同的网络模式

2. Bridge（桥接）模式

2.1 原理与特性

2.2 适用场景

2.3 配置方法

2.4 实战演练

3. Host（主机）模式

3.1 原理与特性

3.2 适用场景

3.3 配置方法

3.4 实战演练

4. None（无）模式

4.1 原理与特性

4.2 适用场景

4.3 配置方法

4.4 实战演练

5. Container（容器）模式

5.1 原理与特性

5.2 适用场景

5.3 配置方法

5.4 实战演练

6. 常见问题

6.1 无法访问容器

6.2 端口冲突

6.3 DNS 解析问题

6.4 网络性能问题

6.5 排查工具

7. Docker 网络模式与 VMware 虚拟机网络模式的对比

7.1 Bridge 模式对比

7.2 Host 模式对比

7.3 None 模式对比

7.4 总结

8. 参考资料

相关文章：