Docker網路原理

疯一样的狼人發表於2024-03-24

　　本文主要講解 Docker 的網路原理。在此之前，最好對網路名稱空間、Veth 裝置對、網橋、路由、netfilter 與 iptables 等Linux基礎網路知識有所瞭解，詳見《Docker的Linux網路基礎》。

一、Docker 的網路原理

1. Docker 的網路模式

　　標準的 Docker 支援 4 種網路模式，可以在使用 docker run 命令啟動容器的時候透過 --net 引數指定容器的網路模式：

（1）bridge：--net=bridge，Docker 預設的網路模式，新建的容器將擁有獨立的網路名稱空間，並連線到 Docker 的網橋 docker0 中。

（2）container：--net=container:NAME_or_ID，新建的容器將與指定容器使用同一個網路名稱空間，共享網路棧，可以直接透過 lo 環回介面進行通訊，但其他資源還是相互隔離的。

（3）host：--net=host，新建的容器將與宿主機使用同一個網路名稱空間，但其他資源還是隔離的。容器程序可以跟主機其它 root 程序一樣開啟低範圍的埠，如果進一步的使用 --privileged=true，容器會被允許直接配置主機的網路堆疊。

（4）none：--net=none，新建的容器將擁有獨立的網路名稱空間，但不進行網路配置，後續需要手動配置。

2. Docker 啟動後的系統情況

（1）建立了 docker0 網橋並分配了 IP 地址

　　Docker Daemon 首次啟動時會建立一個虛擬網橋，預設的名稱是 docker0，然後按照 RPC1918 的模型在私有網路空間中給這個網橋分配一個子網。Docker Daemon 會在幾個備選地址段裡給 docker0 選一個地址，通常是以 172 開頭的一個地址。

（2）新增了 iptables 規則

　　第 6 條：從 docker0 發出的包可以被中轉給 docker0 本身，即連線在 docker0 網橋上的不同容器之間的通訊是允許的。

　　第 3 條：如果接收到發給 docker0 網橋的資料包屬於以前已經建立好的連線，那麼允許直接透過，這樣接收到的資料包自然又走回 docker0 並中轉到相應的容器。

　　第 5 條：從 docker0 發出的包，如果需要轉發到非 docker0 本地 IP 地址的裝置，則是允許的，這樣 docker0 裝置發出的包就可以根據路由規則中轉到宿主機的網路卡裝置，從而訪問外面的網路了。

　　第 1 條：若本地 docker0 網段發出的資料包不是發往 docker0 的，而是發往主機之外的裝置的，則都需要進行動態地址修改 (MASQUERADE) ，將源地址從容器的地址修改為宿主機網路卡的 IP 地址，之後就可以傳送給外面的網路了。

（3）Linux 的 ip_forward 功能開啟

二、bridge 網路模式

　　在 bridge 模式下，針對由 Docker 建的每一個容器，都會建立一個虛擬乙太網裝置 —— Veth 裝置對，其中一端關聯到網橋 docker0 上，另一端使用 Linux 的網路名稱空間技術對映到容器內的 eth0 裝置，然後在網橋的地址段內給 eth0 介面分配一個沒有使用過的 IP 地址。

　　Docker 的 bridge 模式的網路模型如下：