原文： https://blog.csdn.net/TTSuzuka/article/details/128453319 一、Docker網絡 1、Docker網絡工作原理 當Docker server也就是docker daemon啟動時，會自動創建一個名字是docker0的bridge，每當docker創建一個Container時，會在主機上面創建一個名字是veth*的ethernet 端口，并把這個eth*加入到docker0的bridge，在container中會自動創建一個名字是eth0的ethernet端口，這個eth0和veth*會形成一個類似管道的對，一一對應。 2、為容器創建端口映射 隨機映射端口： docker run -itd ?--name=為容器指定名稱 -P 鏡像名稱 指定映射端口： docker run -itd --name=為容器指定名稱 -p 宿主機端口:容器端口 鏡像名稱 端口映射，底層原理實際是做了一個DNAT轉換。 192.168.80.8:49153 映射到 172.17.0.2:80，192.168.80.8:41111 映射到 172.17.0.3:80 iptables -nL -t nat 二、Docker的網絡模式 1、Docker的網絡模式 Host： 容器不會虛擬出自己的網卡，配置主機的IP等,而是使用宿主機的IP和端口 Container： 創建的容器不會創建自己的網卡，配置自己的IP，而是和一個指定的容器共享IP，端口范圍 None： 該模式關閉了容器的網絡功能。 Bridge： 默認為該模式，此模式會為每一個容器分配，設置IP等，并將容器連接到一個docker0 的虛擬網橋，通過docker 0 網橋以及iptables nat 表配置與宿主機通信 2、查看docker的網絡列表 在安裝Docker 時，它會自動創建三個網絡：bridge（創建容器默認連接到此網絡），none，host #查看docker的網絡列表 docker network ls 或 docker network list 3、指定容器網絡模式 #使用docker' run 創建Docker容器時，可以用--net 或--network 選項指定容器的網絡模式 host模式：使用 --net=host 指定。 none模式：使用 --net=none 指定。 container模式：使用--net=container:NAME/ID指定。 bridge模式：使用 --net=bridge 指定，默認設置，可省略。 三、Docker網絡模式詳解 1、host模式 相當于Vmware中的橋接模式，與宿主機在同一個網絡中，但沒有獨立IP地址。 Docker使用了Linux的Namespaces技術來進行資源隔離，如PID Namespace隔離進程，Mount Namespace隔離文件系統，Network Namespace隔離網絡等。 一個Network Namespace提供了一 份獨立的網絡環境，包括網卡、路由、iptable規則等都與其他的Network Namespace隔離。 一個Docker容器一般會分配一個獨立的NetworkNamespace。但如果啟動容器的時候使用host模式，那么這個容器將不會獲得一個獨立的NetworkNamespace，而是和宿主機共用一個NetworkNamespace。容器將不會虛擬出自己的網卡、配置自己的IP等，而是使用宿主機的IP和端口。 注：容器和宿主機共享網絡命名空間，但沒有獨立IP地址，使用宿主機的IP地址，和宿主機共享端口范圍，例如宿主機使用了80端口，那么容器不能使用80端口。這種模式比較方便，但不安全 2、container模式 container模式： 使用 -net=contatiner:NAME/ID 指定。 這個模式指定新創建的容器和已經存在的一個容器共享一個Network Namespace，而不是和宿主機共享。新創建的容器不會創建自己的網卡、配置自己的IP，而是和一個指定的容器共享IP，端口范圍等。可以在一定程度上節省網絡資源，容器內部依然不會擁有所有端口。 同樣，兩個容器除了網絡方面，其他的如文件系統，進程列表等還是隔離的。 兩個容器的進程可以通過lo網卡設備通信。 注：新創建的B容器和A容器共享命名空間。假如A容器使用了80端口，B容器就不能使用80端口。 3、none 模式 none模式：使用 --net=none 指定 使用none 模式，docker 容器有自己的network Namespace ，但是并不為Docker 容器進行任何網絡配置。也就是說，這個Docker 容器沒有網卡，ip， 路由等信息。 這種網絡模式下，容器只有lo 回環網絡，沒有其他網卡。 這種類型沒有辦法聯網，但是封閉的網絡能很好的保證容器的安全性。 該容器將完全獨立于網絡，用戶可以根據需要為容器添加網卡。此模式擁有所有端口。（none網絡模式配置網絡 特殊情況下才會用到，一般不用。 4、bridge 模式 bridge模式是docker的默認網絡模式，不用--net參數， 就是bridge模式。 相當于Vmware中的nat模式，容器使用獨立network Namespace， 并連接到docker0虛擬網卡I通過docker0網橋以及iptables nat表配置與宿主機通信，此模式會為每. 個容器分配Network Namespace、 設置IP等，并將一一個 主機上的Docker 容器連接到一個虛擬網橋上。 1）當Docker進程啟動時，會在主機上創建一個名為docker0的虛擬網橋，此主機上啟動的Docker容器會連接到這個虛擬網橋上。虛擬網橋的工作方式和物理交換機類似，這樣主機上的所有容器就通過交換機連在了一個二層網絡中。 2）從docker0子網中分配一個IP給容器使用（分配一個和網橋相同網段內的IP，網橋作為網關），并設置docker0的IP地址為容器的默認網關。在主機上創建一對虛擬網卡veth pair設備。veth設備總是成對出現的，它們組成了一個數據的通道，數據從一個設備進入，就會從另一個設備出來。因此，veth設備常用來連接兩個網絡設備。 3）Docker將 veth pair設備的一端放在新創建的容器中，并命名為eth0 (容器的網卡)，另一端放在主機中，以veth*這樣類似的名字命名，并將這個網絡設備加入到docker0 網橋中。可以通過brctl show命令查看。 4）使用docker run -P 時，docker實際 是在iptables做了DNAT規則，實現端口轉發功能。可以使用 iptables -t nat -vnl 查看。 注：每個容器有自己獨立的命名空間。容器之間通過網橋轉發進行通信，成對的網絡設備veth pair。 5、自定義網絡模式 直接使用bridge 模式，是無法指定IP運行docker 的，例如執行以下命令就會報錯 需要先自定義網絡，再指定IP運行docker docker network create --subnet=172.18.0.0/16 --opt "com.docker.network.bridge.name"="docker1" mynetwork #docker1 ：為執行ifconfig -a 命令時顯示的網卡名，如果不使用 --opt 參數指定此名稱，使用 ifconfig -a 查看網卡的網絡信息時，看到的將會是類似 br-110eb56a0b22這樣的名字，這顯然不好記。 #mynetwork：為執行"docker network list" 命令時，顯示的 bridge 網絡模式名稱。 再使用該網段內的地址，創建自定義網絡的容器test6 docker run -itd --name test6 --net mynetwork --ip 172.18.0.10 centos:7 /bin/bash 刪除自定義網絡 刪除網絡模式前，需要先確保使用該網絡模式創建的容器已退出（即已停止）。如果容器仍在運行，則該網絡無法刪除 docker network rm mynetwork