docker网络模型

今日新闻 2026年05月09日 01:14 11 aa

一、docker网络模型概览

Docker提供了多种网络模式，每种模式都有其特定的用途和适用场景。在安装Docker时，它会自动创建三个默认网络：bridge、host和none。

我们可以使用docker network ls命令查看这些网络：

Bridge模式：默认网络模式，为容器创建独立的网络命名空间，并通过虚拟网桥与宿主机通信
Host模式：容器直接使用宿主机的网络栈，没有网络隔离
None模式：容器没有网络接口，完全隔离
Container模式：重用另一个容器的网络命名空间
Overlay模式：实现跨主机容器通信的网络方案

Docker的网络功能是容器化技术中的重要组成部分，它允许容器之间、容器与主机系统以及外部网络进行通信。理解Docker的网络模式对于构建可靠的容器化应用至关重要。本文将深入探讨Docker的五种核心网络模式，通过原理说明和实际示例来全面掌握Docker网络。

图1. docker网络架构图

二、docker网络

2.1 桥接模式Bridge

原理介绍

Bridge（桥接）模式是Docker的默认网络模式。当创建容器时不指定网络模式，Docker会自动使用bridge模式。

在这种模式下，Docker会创建一个虚拟网桥（通常是docker0），所有使用bridge模式的容器都会连接到这个网桥。Docker会为每个容器分配一个独立的IP地址，并设置适当的网络规则，使得容器之间可以通过IP地址相互通信。

桥接网络的工作原理类似于物理网络交换机：

每个容器获得独立的网络命名空间
容器通过veth pair（虚拟以太网设备对）连接到docker0网桥
Docker通过iptables规则实现NAT，使容器可以访问外部网络

图2. bridge网络模型图

实践示例

创建并运行一个使用bridge网络的容器：

# 运行一个nginx容器（默认使用bridge模式）docker run -d --name web-server nginx# 查看容器的网络信息docker inspect web-server | grep IPAddress# 输出可能类似："IPAddress": "172.17.0.2"# 从主机ping容器ping 172.17.0.2# 创建自定义bridge网络。docker network create my-bridge-network# 运行容器并使用自定义bridge网络docker run -d --name custom-web --network my-bridge-network nginxdocker run -d --name custom-app --network my-bridge-network redis# 在custom-app容器中ping custom-web容器docker exec custom-app ping custom-web

自定义bridge网络的优势：

提供自动DNS解析，容器可以通过容器名称相互访问, Docker 内嵌的 DNS 服务器会自动解析。
更好的隔离性，不同应用的容器可以使用不同的自定义网络，实现网络层面的隔离。

2.2 Host网络模式

原理介绍

Host模式让容器直接使用主机的网络栈，容器不会虚拟出自己的网络设备，而是直接使用主机的IP和端口。

在这种模式下：

容器没有独立的网络命名空间
容器直接使用主机的网络接口
容器服务的端口直接映射到主机端口，不需要-p参数发布端口

这种模式的性能最好，因为没有网络地址转换(NAT)带来的开销，但安全性较低，且容易发生端口冲突。

图3. Host网络模型图

实践示例

# 使用host模式运行nginx容器docker run -d --name nginx-host --network host nginx# 此时nginx监听的80端口直接绑定到主机网络# 可以直接通过主机IP:80访问nginx服务# 查看主机监听的端口，可以看到80端口已被nginx使用netstat -tuln | grep :80# 注意：如果主机上已经有服务占用了80端口，运行上述命令会失败

适用场景：

对网络性能要求极高的应用
需要直接使用主机网络功能的特殊应用
临时测试或演示环境

2.3 Container网络模式

原理介绍

Container模式让新创建的容器共享一个已存在容器的网络命名空间，而不是与主机共享。这两个容器的网络是完全相同的，它们可以看到相同的网络接口、IP地址和端口等。

这种模式适用于：

需要紧密耦合的容器组
一个容器需要直接管理另一个容器的网络
sidecar模式，其中一个容器为另一个容器提供网络服务，Kubernetes 中的 Pod 就是基于这个原理实现的

实践示例

# 首先运行一个容器docker run -d --name network-source nginx# 运行另一个容器，共享第一个容器的网络命名空间docker run -it --network container:network-source --name network-share alpine sh# 在network-share容器中查看网络配置ip addr show# 可以看到与network-source容器完全相同的网络接口和IP地址# 测试网络连通性ping www.baidu.com  # 应该能够正常访问外部网络

实际应用场景：

网络调试工具容器可以共享业务容器的网络空间进行诊断
Sidecar模式中，网络代理容器与应用容器共享网络

2.4 None网络模式

原理介绍

None模式让容器拥有自己的网络命名空间，但不进行任何网络配置。容器内只有一个回环接口(lo)，没有其他网络接口，也无法进行任何网络通信。

这种模式适用于：

需要完全隔离网络的环境
容器只需要处理本地数据，不需要网络功能
用户希望自定义网络配置的情况

图4. None网络模型图

实践示例

# 使用none网络模式运行容器docker run -it --network none --name isolated-container alpine sh# 在容器内查看网络接口ip addr show# 输出将只显示lo（回环）接口，没有eth0等网络接口# 尝试访问外部网络（会失败）ping baidu.com

2.5 网络模式对比总结

网络模式	隔离性	性能	适用场景	跨主机通信
Bridge	中等	良好	默认选择，单机多容器应用	不支持
Host	无	最佳	高性能需求，端口管理简单	支持
None	完全	-	无网络需求，自定义网络配置	不支持
Container	共享	良好	紧密耦合的容器组	取决于被共享容器
Overlay	中等	良好	多主机容器通信，集群环境	支持