docker有幾種網路模式

在docker中，一共有四種網路模式，分別是host模式容器共享宿主機的ip和連接埠號碼、container模式共享容器ip位址和連接埠、none模式容器沒有網路卡等資訊、bridge模式容器直接可以互相通訊。

本教學操作環境：linux7.3系統、docker-1.13.1版、Dell G3電腦。

docker有幾種網路模式

Docker使用Linux橋接器（參考《Linux虛擬網路技術》），在宿主機器虛擬一個Docker容器網橋(docker0)，Docker啟動一個容器時會根據Docker網橋的網段指派給容器一個IP位址，稱為Container-IP，同時Docker網橋是每個容器的預設閘道。因為在同一台宿主機內的容器都連接到同一個網橋，這樣容器之間就能夠透過容器的Container-IP直接通訊。

Docker網橋是宿主機虛擬出來的，並不是真實存在的網路設備，外部網路是無法尋址到的，這也意味著外部網路無法透過直接Container-IP存取到容器。如果容器希望外部存取能夠存取到，可以透過映射容器連接埠到宿主主機（連接埠對映），即docker run建立容器時候透過-p 或-P 參數來啟用，存取容器的時候就透過[宿主機IP]: [容器連接埠]存取容器。

四類網路模式

host模式

如果啟動容器的時候使用host模式，那麼這個容器將不會取得獨立的Network Namespace，而是和宿主機器共用一個Network Namespace。容器將不會虛擬出自己的網路卡，配置自己的IP等，而是使用宿主機器的IP和連接埠。但是，容器的其他方面，如檔案系統、進程清單等還是和宿主機隔離的。

使用host模式的容器可以直接使用宿主機的IP位址與外界通信，容器內部的服務端口也可以使用宿主機的端口，不需要進行NAT，host最大的優勢就是網路效能比較好，但是docker host上已經使用的連接埠就不能再用了，網路的隔離性不好。

Host模式如下圖所示：

#container模式

這個模式指定新建立的容器和已經存在的一個容器共用一個Network Namespace，而不是和宿主機共用。新建立的容器不會建立自己的網路卡，配置自己的 IP，而是和一個指定的容器共用 IP、連接埠範圍等。同樣，兩個容器除了網路方面，其他的如檔案系統、進程列表等還是隔離的。兩個容器的進程可以透過 lo 網路卡設備通訊。

Container模式示意圖：

none模式

使用none模式，Docker容器擁有自己的Network Namespace ，但是，並非為Docker容器進行任何網路配置。也就是說，這個Docker容器沒有網路卡、IP、路由等資訊。需要我們自己為Docker容器新增網卡、設定IP等。

這種網路模式下容器只有lo回環網絡，沒有其他網卡。 none模式可以在容器建立時透過--network=none來指定。這種類型的網路沒有辦法連網，封閉的網路能很好的保證容器的安全性。

None模式示意圖:

bridge模式

當Docker進程啟動時，會在主機上創建一個名為docker0的虛擬橋，此主機上啟動的Docker容器會連接到這個虛擬網橋。虛擬網橋的工作方式和實體交換器類似，這樣主機上的所有容器就透過交換器連在了一個二層網路中。

從docker0子網路中指派一個IP給容器使用，並設定docker0的IP位址為容器的預設閘道。在主機上建立一對虛擬網卡veth pair設備，Docker將veth pair設備的一端放在新建立的容器中，並命名為eth0（容器的網卡），另一端放在主機中，以vethxxx這樣類似的名字命名，並將這個網路設備加入docker0網橋。可以透過brctl show指令查看。

bridge模式是docker的預設網路模式，不寫--net參數，就是bridge模式。使用docker run -p時，docker實際上是在iptables做了DNAT規則，實現連接埠轉送功能。可以使用iptables -t nat -vnL查看。

bridge模式如下圖所示：

推薦學習：《docker影片教學》

以上是docker有幾種網路模式的詳細內容。更多資訊請關注PHP中文網其他相關文章！