Docker 网络全景图：你是否从未关注过Docker的网络模式，Bridge、Host、Overlay 有啥区别？

如果喜欢“防火墙边的陶渊明”的文章，请记得要把我们“设为星标”哦！

Docker网络为何如此重要？

在容器化技术席卷全球的今天，Docker 已经成为开发与运维工作中不可或缺的工具。关于容器的更多介绍，请参考普通人也能用的"分身术"：Docker容器隔离黑科技。如果你在使用NAS设备，Docker 更是拓展设备玩法的必备技能，NAS介绍请参考家庭影院 + 私人网盘 + 文件管家 = NAS？但在日常使用中，很多人只关注了容器的构建与运行，却忽略了 Docker 网络这个支撑容器与外部网络进行通信的重要基础设施。导致经常遇到容器间无法通信、端口冲突或外部网络无法访问容器服务等问题无法解决，其实这一切都与 Docker 网络息息相关！

容器不是孤岛，通信是刚需，如果没有网络连接，容器之间就无法交流——这时，Docker 网络就成了它们沟通的桥梁。灵活多样的网络模式，支持了多种场景，从本地开发（如bridge网络）到生产环境（如overlay网络跨主机通信），Docker 网络提供统一的抽象层。

Docker 网络是支撑容器通信、服务发现、安全隔离和集群扩展的关键基础设施。

五大网络模式

Bridge（桥接模式）

特点：Docker 默认网络，创建一个虚拟网桥（docker0），容器从 172.17.0.1/16 网段中获得独立 IP，网络隔离性强。

适用场景：

• 本地开发、测试环境

• 同一主机上的容器之间通信

• 简单服务组合（如 Nginx + PHP + MySQL）

Host（主机模式）

特点：容器直接使用宿主机的网络命名空间，无隔离，无网络层转发，性能好，但容易出现端口冲突。

适用场景：

• 性能敏感的服务（如负载均衡器、数据采集服务）

• 需要访问宿主机网络资源（如本地网卡）

Overlay（覆盖网络）

特点：通过 VXLAN 实现的跨主机虚拟网络，与服务发现、负载均衡结合良好。

适用场景：

• Docker Swarm、Kubernetes 集群通信

• 微服务架构、多主机部署

Macvlan（MAC 网络模式）

特点：容器被分配真实的物理网络 IP，像一台真实主机，可直接访问外部网络。属于特殊驱动，需要手动创建。

适用场景：

• 容器需要在二层网络中暴露自身（如接收广播/ARP）

• 与旧系统或物理设备通信

None（无网络模式）

特点：容器启动后没有任何网络连接、极端隔离。

适用场景：

• 高安全要求场景

• 需要完全自定义网络配置（如挂载自建网络栈）

Container让两个容器共享同一个网络命名空间（Network Namespace）。它们共享 IP 地址、端口、路由表等网络配置，实际上等同于“两个进程在同一个容器里”的网络效果，由于太过小众，此处不做讨论。

自定义网络

实际上，正式生产环境通常使用基于原生驱动扩展的用户自定义网络。

用户可以通过 docker network create 来创建自定义网络，但本质仍是基于上述原生驱动（尤其是 bridge 和 overlay）的增强版，既然是增强版，那肯定要优于原版：

• 支持DNS自动解析（容器间可直接通过名称通信）。

• 可定制子网、网关、IP地址。

• 更好的隔离性（不同自定义网络默认不互通）。

关键区别对比如下表所示

自定义网络好处多多，如果你还在为容器重启导致IP发生变化影响业务地址而发愁，那不妨放弃默认网络，一定会柳暗花明，豁然开朗！

• 单机测试 → 默认Bridge/None

• 微服务集群 → 自定义Bridge + DNS

• 极致性能 → Host/Macvlan

• 跨主机通信 → Overlay

• 安全隔离 → 自定义网络+防火墙规则

  
  

严重依赖iptables

Docker的网络功能如此强大，仅靠其自身是很难独立实现的，必须有高人相助，没错，它就是我们的老朋友iptables, 更多信息请参考一文看懂iptables，告别小白防火墙配置！

Docker 默认会自动创建和维护iptables规则，无需手动干预，如果你较为关注防火墙规则，肯定会发现启动 Docker 服务后还没开始使用，就出现了一堆新规则。通常使用NAT、Filter表及自定义链来完成相应功能：

• NAT表：处理端口映射（-p参数）和容器出网流量伪装（MASQUERADE）。

• Filter表：控制容器间、容器与外部网络的通信权限（ACCEPT/DROP规则）。

• 自定义链：如DOCKER、DOCKER-ISOLATION等专用链，隔离Docker相关规则。

  
  

Docker 网络虽然在平时不那么“显眼”，但却是容器系统中至关重要的一环。了解并掌握 Docker 的网络模式，不仅能提升你的容器部署能力，也有助于构建更加稳定、高效的服务架构，合理的网络设计能让你的容器如虎添翼。

阅读原文：原文链接