Docker Compose 是 Docker 官方的多容器编排工具,其网络管理是实现多服务互通、隔离、暴露的核心,也是实际使用中最容易踩坑的环节。以下从「核心机制、配置方式、常见问题&解决方案、调试技巧、最佳实践」五个维度,详细讲解 Compose 网络问题,结合实操案例(如之前的 MySQL 部署)让内容更易理解。
一、Compose 网络的核心机制
Docker Compose 基于 Docker 原生网络模型(bridge/host/none/overlay),核心目标是简化多服务间的网络互通,关键规则如下:
1. 自动网络创建(默认行为)
- 执行
docker-compose up时,Compose 会自动创建一个默认桥接网络 (命名规则:<项目目录名>_default,比如项目目录是mysql-docker,则网络名是mysql-docker_default)。 - 所有未显式指定网络的服务,默认加入这个网络;服务停止并执行
docker-compose down时,默认网络会被删除(除非配置external: true)。
2. 服务间的访问规则(核心)
- 同一网络内 :服务可通过「服务名/容器名」直接访问,无需暴露端口到宿主机(比如 MySQL 服务名是
mysql8.0,同网络的 Web 服务可直接用mysql8.0:3306连接)。 - 跨网络:默认隔离,需手动配置网络关联才能互通。
- 容器 ↔ 宿主机 :需通过
ports映射端口(如- "3306:3306"),宿主机通过127.0.0.1:3306访问。
3. 网络驱动(Driver)
Compose 支持 Docker 所有原生网络驱动,常用的有:
| 驱动类型 | 用途 | 特点 |
|---|---|---|
bridge |
单机多服务互通(默认) | 隔离性好,可自定义子网/网关,最常用 |
host |
容器共享宿主机网络 | 无端口隔离,性能高,安全风险大 |
none |
容器无网络 | 仅用于离线任务,无网络访问 |
overlay |
跨节点多服务互通(Swarm 模式) | 适用于集群部署,需 Docker Swarm 支持 |
二、Compose 网络的配置方式(实操)
1. 默认网络(无需配置,自动生效)
最简化的 Compose 示例(无显式网络配置),所有服务自动加入默认网络:
yaml
version: '3.8'
services:
# MySQL 服务
mysql8.0:
image: mysql:8.0.36
environment:
MYSQL_ROOT_PASSWORD: MySql@123456
# Web 服务(可直接访问 mysql8.0:3306)
web:
image: nginx:latest- 启动后执行
docker network ls,能看到<项目名>_default网络; - Web 容器内执行
ping mysql8.0可通,无需暴露 3306 端口到宿主机。
2. 自定义网络(推荐,隔离性更强)
生产环境建议自定义网络(避免默认网络混乱),语法如下(结合之前的 MySQL 例子):
yaml
version: '3.8'
# 自定义网络配置(顶层 networks 节点)
networks:
# 网络名:mysql-network
mysql-network:
driver: bridge # 指定驱动为 bridge(默认)
ipam: # IP 地址管理(可选,自定义子网/网关)
config:
- subnet: 172.20.0.0/16 # 子网(避免和宿主机/其他网络重叠)
gateway: 172.20.0.1 # 网关
services:
mysql8.0:
image: mysql:8.0.36
container_name: mysql8.0
restart: always
ports:
- "3306:3306"
environment:
MYSQL_ROOT_PASSWORD: MySql@123456
# 关联自定义网络
networks:
- mysql-network # 加入 mysql-network 网络关键说明:
subnet需避免和宿主机网段(如 192.168.0.0/24)、其他 Docker 网络重叠,否则会导致网络不通;- 多个服务只需在
networks中关联同一网络,即可互通。
3. 外部网络(多 Compose 项目互通)
若需让多个 Compose 项目的服务互通(比如 A 项目的 Web 访问 B 项目的 MySQL),可使用 external: true 引用已存在的网络:
yaml
# 项目 A 的 compose.yml(MySQL 所在项目)
version: '3.8'
networks:
shared-network: # 共享网络
driver: bridge
services:
mysql8.0:
image: mysql:8.0.36
networks:
- shared-network
yaml
# 项目 B 的 compose.yml(Web 所在项目)
version: '3.8'
networks:
shared-network:
external: true # 引用已存在的 shared-network(项目 A 创建的)
services:
web:
image: nginx:latest
networks:
- shared-network # 加入共享网络,可访问 mysql8.0:33064. 网络模式(network_mode)
强制指定容器的网络模式(覆盖默认 bridge 模式),常用场景:
yaml
version: '3.8'
services:
# 共享宿主机网络(无端口隔离,容器端口=宿主机端口)
mysql8.0:
image: mysql:8.0.36
network_mode: host # 宿主网络模式
environment:
MYSQL_ROOT_PASSWORD: MySql@123456
# 无需 ports 映射,直接用宿主机IP:3306 访问
# 无网络(仅离线任务)
offline-task:
image: busybox
network_mode: none
command: ["echo", "无网络任务"]注意 :network_mode: host 时,ports 配置会失效,且容器无独立 IP,安全风险较高(生产环境慎用)。
三、Compose 网络常见问题 & 解决方案
问题 1:服务间无法访问(如 Web 连不上 MySQL)
典型报错 :Connection refused / Could not resolve host: mysql8.0
常见原因 & 解决:
-
不在同一网络 :检查服务的
networks配置,确保都加入同一网络(如mysql-network); -
服务名/容器名写错 :Compose 中服务名是「唯一域名」,比如服务名是
mysql,不能用mysql8.0访问; -
容器未启动/启动失败 :执行
docker-compose ps查看状态,确保 MySQL 容器是Up状态; -
容器内服务未监听 0.0.0.0 :比如 MySQL 绑定了
127.0.0.1,仅容器内可访问,需修改配置让服务监听0.0.0.0(MySQL 8.0 默认监听 0.0.0.0,无需手动改); -
防火墙/SELinux 限制 (CentOS 7/8):
bash# 临时关闭防火墙 systemctl stop firewalld # 关闭 SELinux setenforce 0
问题 2:宿主机无法访问容器端口(如 3306)
典型报错 :Can't connect to MySQL server on '127.0.0.1:3306'
常见原因 & 解决:
- ports 映射错误 :检查
ports格式(宿主机端口:容器端口),比如- "3306:3306"是正确的,- "3306"会随机映射宿主机端口; - 端口被占用 :宿主机 3306 被其他进程占用,执行
netstat -tulpn | grep 3306查看,修改宿主机端口(如- "3307:3306"); - network_mode: host 导致冲突:宿主机已有 MySQL 占用 3306,需停止宿主机 MySQL 或修改容器端口;
- 安全组未开放端口(云服务器):在云控制台(阿里云/腾讯云)开放 3306 端口。
问题 3:网络冲突(subnet 重叠)
典型报错 :Error response from daemon: Pool overlaps with other one on this address space
原因 :自定义网络的 subnet 与宿主机/其他 Docker 网络重叠(比如宿主机是 172.20.0.0/16,自定义网络也用这个子网)。
解决 :修改 subnet 为未占用的网段,比如:
yaml
networks:
mysql-network:
driver: bridge
ipam:
config:
- subnet: 172.21.0.0/16 # 从 172.20.0.0 改为 172.21.0.0
gateway: 172.21.0.1问题 4:容器获取不到 IP/网络不通
典型现象 :容器启动后 ifconfig 无 IP,ping 不通任何地址。
常见原因 & 解决:
-
Docker 网络驱动异常 :重启 Docker 服务:
bashsystemctl restart docker -
iptables 规则被篡改 :重置 Docker iptables 规则:
bashdocker network prune # 清理无用网络 iptables -F && iptables -X # 清空 iptables 规则 systemctl restart docker -
SELinux 限制 (CentOS):永久关闭 SELinux:
bashsed -i 's/^SELINUX=enforcing$/SELINUX=disabled/' /etc/selinux/config reboot # 重启生效
问题 5:多 Compose 项目互通失败
原因 :未配置外部网络,默认网络隔离。
解决:参考「外部网络」配置,让多个项目的服务加入同一共享网络。
四、Compose 网络调试技巧(必学)
遇到网络问题时,通过以下命令快速定位:
1. 查看 Compose 创建的网络
bash
docker network ls # 列出所有网络(含 Compose 创建的)
# 示例输出:mysql-docker_mysql-network(项目名_网络名)2. 查看网络详情(IP、关联容器、子网等)
bash
docker network inspect <网络名> # 替换为实际网络名
# 关键信息:Containers(关联的容器)、IPAM(子网/网关)、Driver(驱动)3. 进入容器测试网络连通性
bash
# 进入容器(替换为服务名)
docker-compose exec mysql8.0 /bin/bash
# 1. ping 测试(检查域名解析)
ping web # 同网络的 Web 服务名
# 2. telnet 测试端口(检查服务是否监听)
telnet mysql8.0 3306
# 3. 查看容器 IP
ifconfig # 或 ip addr
# 4. 测试宿主机连通性(容器内 ping 宿主机)
ping 172.17.0.1 # 宿主机在 Docker 桥接网络的默认 IP4. 查看容器网络配置
bash
docker inspect <容器名> | grep -i "IPAddress\|Network"
# 输出容器 IP、所属网络等信息5. 测试端口连通性(宿主机/容器内)
bash
# 宿主机测试容器端口
nc -zv 127.0.0.1 3306 # 通则输出 "succeeded!"
# 容器内测试外部端口
nc -zv baidu.com 80五、生产环境网络最佳实践
- 优先用自定义 bridge 网络:避免默认网络混乱,提升隔离性;
- 不暴露不必要的端口 :生产环境尽量不用
ports映射,让服务通过自定义网络内网互通(如 Web 访问 MySQL 无需暴露 3306 到宿主机); - 避免使用 host 网络模式:失去端口隔离,易导致端口冲突和安全风险;
- 固定子网/网关 :自定义网络时指定
subnet和gateway,避免 IP 冲突; - 网络隔离:不同业务(如电商、支付)用不同自定义网络,避免互通风险;
- 跨节点部署用 overlay 网络:基于 Docker Swarm 搭建 overlay 网络,实现多节点服务互通;
- 定期清理无用网络 :执行
docker network prune清理未使用的网络,避免资源浪费。
总结
Docker Compose 网络的核心是「桥接网络(bridge)+ 服务名解析 + 端口映射」,绝大多数问题源于「网络隔离、端口冲突、配置错误、系统限制(防火墙/SELinux)」。掌握「自定义网络配置、调试命令、最佳实践」,即可解决 99% 的网络问题。
结合之前的 MySQL 部署场景,只需确保:
- MySQL 服务加入自定义网络;
- 无需暴露端口时不配置
ports; - 宿主机访问时正确映射端口并开放防火墙;
- 子网不与宿主机重叠。
就能稳定实现服务互通。