文章目录
Docker 网桥(Docker bridge network)是 Docker 默认的一种网络模式,它允许 Docker 容器之间通过一个虚拟的交换机进行通信。Docker 网桥网络为容器提供了一个隔离的网络环境,使得容器之间可以互相通信,同时也能与外部网络进行交互。
示意图
Docker 网桥的工作原理
-
创建虚拟网桥
- 当 Docker 守护进程启动时,它会在宿主机上创建一个名为
docker0的虚拟网桥(也称为虚拟交换机)。这个虚拟网桥类似于一个物理交换机,用于连接容器的网络接口。 docker0网桥通常具有一个私有的 IP 地址范围,如172.17.0.0/16或者192.168.2.0/24,具体取决于 Docker 的配置。
- 当 Docker 守护进程启动时,它会在宿主机上创建一个名为
-
容器网络接口
- 当一个新的容器启动时,Docker 会在
docker0网桥上创建一个虚拟网络接口(veth pair),其中一端连接到网桥,另一端连接到容器的网络命名空间。 - 容器会被分配一个从
docker0子网中挑选出的唯一 IP 地址。
- 当一个新的容器启动时,Docker 会在
-
NAT(网络地址转换)
- Docker 使用 NAT 技术来实现容器与外部网络的通信。当容器发送数据包到外部网络时,数据包的源 IP 地址会被转换成宿主机的 IP 地址。同样,当外部网络的数据包发送给容器时,数据包的目的 IP 地址会被转换成容器的 IP 地址。
- 这样做可以保护容器的 IP 地址不被外界直接看到,同时也允许容器通过宿主机的 IP 地址访问外部网络。
-
端口映射
- 使用
-p或--publish参数可以在宿主机上打开一个端口并将其映射到容器内的某个端口。例如,docker run -p 8080:80 nginx将把容器的 80 端口映射到宿主机的 8080 端口,使得可以从外部通过宿主机的 8080 端口访问容器的 80 端口服务。
- 使用
Docker 网桥的优势
- 隔离性:容器之间可以通过私有 IP 地址进行通信,而不影响宿主机上的其他网络服务。
- 易于管理:默认的 Docker 网桥网络提供了简单的网络管理方式,适合快速搭建和测试环境。
- 安全性:NAT 机制增加了额外的安全层,保护容器不受直接的外部网络攻击。
Docker 网桥的局限性
- IP 地址范围有限:默认的 IP 地址池是有限的,如果大量容器同时运行,可能会耗尽可用的 IP 地址。
- 性能瓶颈:NAT 转换可能会引入一定的延迟,尤其是在高流量场景下。
自定义网桥网络
除了默认的 bridge 网络外,用户还可以创建自定义的网桥网络。这可以通过 docker network create 命令来实现,允许更精细的网络控制,例如指定不同的子网、网关地址等。
例如,创建一个自定义网桥网络:
sh
docker network create --driver bridge my-custom-net然后可以将容器连接到这个自定义网络:
sh
docker run --name my-container --net=my-custom-net -d my-image总结来说,Docker 网桥网络提供了一个简单有效的方式来管理容器间的网络通信,同时也是 Docker 默认推荐的网络模式。然而,在某些场景下,可能需要更复杂的网络配置,这时可以考虑使用自定义网络或者其他网络插件。