【网络设置】Docker 自定义网络深度解析：从踩坑到工程实践

在实际开发中，Docker Compose 网络配置看似简单，但尤其在 GPU + AI 项目、多服务容器环境下，很容易踩坑。本篇文章将结合真实案例，讲解 Docker 网络的底层逻辑、常见问题及工程实践方案。

一、为什么要关注 Docker 网络

1.1 常见问题

很多开发者在启动容器时会遇到各种错误，例如：

invalid pool request: Pool overlaps with other one on this address space
failed to create network
宿主机端口被占用
容器间无法互通

这些问题的根本原因，往往是 网络配置不合理 或 子网冲突。

1.2 为什么 GPU/AI 项目更容易踩坑？

容器数量多，网络复杂
端口使用频繁，容易冲突
Docker Compose 项目经常迭代，历史网络遗留问题多
容器网络可能与宿主机 VPN 或公司内网冲突

因此，在这类项目中，提前理解 Docker 网络原理并合理规划网络，不仅可以避免启动失败，还能保证服务稳定运行。

二、Docker 网络基础回顾

2.1 网络模式

模式	特点	适用场景
bridge	默认，容器通过 NAT 访问外网	多容器互通，单机项目
host	容器共享宿主机网络	高性能网络 / 端口占用少
overlay / macvlan	多主机通信	Swarm/K8s 集群

注意：network_mode 和 networks 互斥，不能同时存在。

2. IPAM（IP 地址管理）

Docker 允许自定义网络的 子网和网关：

复制代码

ipam:
  config:
    - subnet: 10.233.3.0/24
      gateway: 10.233.3.1

subnet：定义容器 IP 范围
gateway：容器默认网关

子网必须对齐： /16 子网必须以 .0.0 开头，/24 子网必须以 .x.0 开头

三、实战踩坑案例

3.1 非私有网段

复制代码

subnet: 172.33.0.0/16
gateway: 172.33.0.1

问题：
- 172.33.0.0/16 不在 RFC1918 私网范围
- 易和公司 VPN / 内网路由冲突
- 容器可能无法访问外网
教训：永远选择 RFC1918 私网：
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16

3.2 子网不对齐

复制代码

subnet: 172.33.2.0/16

问题：
- /16 子网必须以 .0.0 对齐
- Docker 会直接拒绝或出现未知异常
解决：
复制代码
```
subnet: 172.33.0.0/16
```
或者用 /24 精准划分子网：
复制代码
```
subnet: 172.33.2.0/24
gateway: 172.33.2.1
```

3.3子网冲突

(1) 报错

python 复制代码

failed to create network scale_dub_mq_net: Pool overlaps with other one on this address space

机器上已经存在一个 Docker 网络覆盖了同一地址空间，例如：

172.28.0.0/16
任何在 172.28.0.0/16 内的子网都会被判定为冲突，包括 172.28.2.0/24

(2) 解决

排查命令：

复制代码

docker network ls
docker network inspect <network_id>

解决方案
- 换一个不冲突的网段（推荐 10.x 系列）
- 删除不再使用的网络：
  
  docker network rm <network_id>

3.4 端口冲突

(1) 报错

报错示例：

Bind for 0.0.0.0:8000 failed: port is already allocated
原因：
- 宿主机已有进程占用该端口
- 另一个 Docker 容器占用

(2) 解决

排查命令：

复制代码

lsof -i :8000
ss -lntp | grep 8000
docker ps

解决方案：
- 停掉占用端口的进程
- 或者修改 ports 映射：
  复制代码
```
ports:
  - "18000:8000"
```

四、工程实践推荐配置

4.1 安全、稳妥的子网选择

复制代码

subnet: 10.233.3.0/24
gateway: 10.233.3.1

理由：
- RFC1918 私网
- 与 Docker 默认网络不冲突
- 与 VPN / 内网几乎不冲突
- 生产级可靠

4.2 Docker Compose 网络配置示例

复制代码

networks:
  test_net:
    driver: bridge
    name: test_net
    ipam:
      config:
        - subnet: 10.233.3.0/24
          gateway: 10.233.3.1

4.3 固定 IP 容器示例

复制代码

services:
  container:
    networks:
      test_net:
        ipv4_address: 10.233.3.10

4.4 实用命令总结

场景	命令
查看 Docker 网络	`docker network ls`
查看网络详细信息	`docker network inspect <network>`
查看端口占用	`lsof -i :<port>` / `ss -lntp`
删除废弃网络	`docker network rm <network_id>`

五、工程建议总结

永远选择私网地址段
子网掩码必须对齐
避免和已有 Docker 网络冲突
一次规划，多项目复用
端口冲突一定要提前排查

多服务、多 Compose 项目时，提前规划网络和端口可以避免后续维护灾难。

六、结语

Docker 网络配置，看似基础，实际上是多容器工程稳定运行的核心。

通过本文案例，你可以理解 Docker 子网原理、避开常见踩坑、建立生产级网络规划、避免端口与子网冲突