Linux Docker网络机制解析_Linux容器网络配置说明

Docker网络核心是网络命名空间隔离与虚拟设备协同，通过veth pair、网桥、iptables和netns实现容器互通、上网及被访问。

Linux Docker 的网络机制核心在于 网络命名空间隔离 和 虚拟网络设备协同。它不依赖外部网络硬件，而是通过内核级虚拟化（如 veth pair、网桥、iptables、netns）构建出灵活、可复用的容器网络环境。理解这一点，就能看懂为什么容器能互通、能上网、也能被访问。

bridge 模式：默认隔离通信的基础

这是 Docker 启动容器时自动使用的模式，底层依赖 docker0 虚拟网桥：

• 每个容器启动时，Docker 创建一对 veth pair：一端接入容器（命名为 eth0），另一端挂到 docker0 上（如 vethabc123）
• docker0 自带 IP（如 172.17.0.1/16），作为所有 bridge 容器的默认网关
• 容器间可直接用 172.17.x.x 地址互 ping；但外部无法直连容器 IP，必须靠 -p 端口映射 + iptables DNAT 转发
• 宿主机可通过 docker0 访问容器，容器也可通过 docker0 访问宿主机和外网（经 SNAT）

host 模式：零开销但需谨慎使用

容器直接复用宿主机的网络栈，不创建独立 netns：

• 容器内 ip a 显示的是宿主机所有网卡（ens33、lo 等），没有 eth0 或 veth
• 无需端口映射，容器监听 0.0.0.0:80 就等同于宿主机暴露 80 端口
• 性能最高，适合对延迟敏感或需绑定特权端口（如 22、80）的服务
• 缺点明显：端口冲突风险高、网络无隔离、容器可调用主机网络接口（如重启网卡），建议仅用于监控代理、日志采集等可信工具容器

自定义 bridge 网络：推荐生产使用的升级方案

比默认 bridge 更安全、更可控，支持内建 DNS 和子网划分：

标签： linux docker nginx 防火墙 端口 工具 curl 栈 ai dns 虚拟化 为什么 子网 gate