目录

Docker网络模式

一、Host模式

二、container模式

三、none模式

四、bridge模式

五、Overlay模式

---

Docker网络模式

        安装Docker时会自动创建3个网络，可以使用docker network ls命令列出这些网络。

[root@docker ~]# docker network ls

        我们在使用docker run创建容器时，可以用--net选项指定容器的网络模式。

Docker有以下4种网络模式：

Host模式：使用--net=host指定。

Container模式：使用--net=container:NAME_or_ID指定。

None模式：使用--net=none指定。

Bridge模式：使用--net=bridge指定，默认设置。

一、Host模式

        Docker底层使用了Linux的Namespaces技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace隔离网络等。

        一个Network Namespace提供了一份独立的网络环境，包括网卡、路由、Iptables规则等都与其他的Network Namespace隔离。

        一个Docker容器一般会分配一个独立的Network Namespace。但如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Root Network Namespace。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。出于安全考虑不推荐使用这种网络模式。

        我们在192.168.100.131/24的机器上用Host模式启动一个含有WEB应用的Docker容器，监听TCP 80端口。当我们在容器中执行任何类似ifconfig命令查看网络环境时，看到的都是宿主机上的信息。

        而外界访问容器中的应用，则直接使用192.168.100.131:80即可，不用任何NAT转换，就如直接跑在宿主机中一样。

        但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。

[root@docker ~]# docker run -itd --net=host --name=host busybox

[root@docker ~]# docker exec -it host ifconfig

[root@docker ~]# ifconfig

Ps备注：两者一摸一样，相当于虚拟机的仅主机模式！

二、container模式

        这个模式可以指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。

         新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围等。

        同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过lo网卡设备通信。

        使用--net=container:container_id/container_name，多个容器使用共同的网络看到的ip是一样的。

[root@docker ~]# docker run -itd --name=con1 busybox

[root@docker ~]# docker exec -it con1 ifconfig

[root@docker ~]# docker run -itd --net=container:con1 --name=con2 busybox

[root@docker ~]# docker exec -it con2 ifconfig

  Ps备注：类似于双胞胎，使用相同的网卡信息！

三、none模式

        在这种模式下，Docker容器拥有自己的Network Namespace，但是并不为Docker容器进行任何网络配置。

        也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等。

使用--net=none指定，这种模式下不会配置任何网络。

[root@docker ~]# docker run -itd --name=none --net=none busybox

[root@docker ~]# docker exec -it none ifconfig

四、bridge模式

        bridge模式是Docker默认的网络设置，属于一种NAT网络模型，Docker daemon在启动的时候就会建立一个docker0网桥（通过-b参数可以指定），每个容器使用bridge模式启动时，Docker都会为容器创建一对虚拟网络接口（veth pair）设备，这对接口一端在容器的Network Namespace，另一端在docker0，这样就实现了容器与宿主机之间的通信。

        在bridge模式下，Docker容器与外部网络通信都是通过iptables规则控制的，这也是Docker网络性能低下的一个重要原因。

        使用iptables -vnL -t nat可以查看NAT表，在Chain Docker中可以看到容器桥接的规则。

[root@docker ~]# iptables -vnL -t nat

五、Overlay模式

        这是Docker原生的跨主机多子网的网络模型，当创建一个新的网络时，Docker会在主机上创建一个Network Namespace，Network Namespace内有一个网桥，网桥上有一个vxlan接口，每个网络占用一个vxlan ID，当容器被添加到网络中时，Docker会分配一对veth网卡设备，与bridge模式类似，一端在容器里面，另一端在本地的Network Namespace中。

        容器A、B、C都在主机A上面，而容器D、E则在主机B上面，现在通过Overlay网络模型可以实现容器A、B、D处于同一个子网，而容器C、E则处于另一个子网中。

        Overlay中有一个vxlan ID，值得范围为256~1000，vxlan隧道会把每一个ID相同的网络沙盒连接起来实现一个子网。