---

一、Docker 网络实现原理

    Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥（docker0），docker启动一个容器时会根据docker网桥的网段分配给容器一个IP地址，称为Container-IP。

同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过Container-IP访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射)，即 docker run创建容器时候通过-p或-P参数来启用，访问容器的时候就通过 [宿主机IP]:[容器端口] 访问容器。

docker run -P 容器名                    #随机（从32768开始）映射宿主机端口
docker run -p 宿主机端口:容器端口 容器名     #指定映射宿主机端口

二、Docker 的网络模式

1.四种网络模式

（1）Host：容器不会虚拟出自己的网卡，配置主机的IP等,而是使用宿主机的IP和端口。

（2）Container：创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP，端口范围。

（3）None: 该模式关闭了容器的网络功能。

（4）Bridge：默认为该模式，此模式会为每一个容器分配，设置IP等，并将容器连接到一个docker0 的虚拟网桥，通过docker 0 网桥以及iptables nat 表配置与宿主机通信。

自定义：对以上4种模式自定义。

安装Docker时，它会自动创建三个网络，bridge(创建容器默认连接到此网络）、none，host，可以使用以下命令查看

docker network list        #查看网络列表
docker network ls

2.各网络模式详解

（1）Host模式

    相当于VMware 中的桥接模式，与宿主机在同一个网络中，但是没有独立IP地址。

Docker 使用了Linux 的Namespace 技术来进行资源隔离，如PID Namespace隔离进程，Mount Namespace隔离文件系统，Network Namespace 隔离网络等。 一个Network Namespace 提供了一份独立的网络环境，包括网卡，路由，iptable 规则等都与其他Network Namespace 隔离。

一个Docker 容器一般会分配一个独立的Network Namespace，但是如果启动容器的时候使用host 模式，那么这个容器将不会获得一个独立的Network Namespace ，而是和宿主机共用一个Network Namespace 。容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口，此时容器不再拥有隔离的、独立的网络栈。不拥有所有端口资源。
容器和宿主机公用一个IP地址，但使用的端口不能被宿主机占用，也不能相同。

（2）Container模式

这个模式指定新创建的容器和已经存在的一个容器共享一个Network Namespace，而不是和宿主机共享。
新创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP，端口范围等。
可以在一定程度上节省网络资源，容器内部依然不会拥有所有端口。同样，两个容器除了网络方面，其他的如文件系统，进程列表等还是隔离的。
两个容器的进程可以通过lo网卡设备通信。
新建的容器与指定容器共享IP地址，但不能使用相同的端口。

（3）None模式

使用none 模式，docker 容器有自己的network Namespace ，但是并不为Docker 容器进行任何网络配置。也就是说，这个Docker 容器没有网卡，ip， 路由等信息。
这种网络模式下，容器只有lo 回环网络，没有其他网卡。
这种类型没有办法联网，但是封闭的网络能很好的保证容器的安全性，该容器将完全独立于网络，用户可以根据需要为容器添加网卡。此模式拥有所有端口。特殊情况下才会用到，一般不用。
独立于网络，只有回环网卡，无IP路由等信息。

（4）Bridge模式

容器默认网络模式，相当于Vmware中的 nat 模式，容器使用独立network Namespace，并连接到docker0虚拟网卡。通过docker0网桥以及iptables nat表配置与宿主机通信，此模式会为每一个容器分配Network Namespace、设置IP等，并将一个主机上的 Docker 容器连接到一个虚拟网桥上。
当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中。
从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备。veth设备总是成对出现的，它们组成了一个数据的通道，数据从一个设备进入，就会从另一个设备出来。因此，veth设备常用来连接两个网络设备。
容器之间通过veth pair进行访问。
Docker将veth pair 设备的一端放在新创建的容器中，并命名为eth0（容器的网卡），另一端放在主机中， 以veth*这样类似的名字命名，并将这个网络设备加入到docker0网桥中。可以通过 brctl show 命令查看。

使用 docker run -p 时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL 查看。

容器拥有独立的network namespace，且拥有独立的IP、端口、路由等，使用veth pair连接docker0网桥，并以dockero网桥为默认网关。

3.指定容器网络模式

在执行docker run 命令时使用 --net 或 --network 选项

（1）Host：使用 --network=host 指定。

（2）Container：使用 --network=container:另一个容器名或id 指定。

（3）None: 使用 --network=none 指定。

（4）Bridge：默认就是此模式，在上文提到了可以添加 -p 主机端口:容器端口 或 -P 指定。

4.自定义网络模式

引言：直接使用brige模式，是无法指定ip运行docker的，只会根据docker0的网段随机分配ip，如执行以下操作，会报错提示只能在自定义的网络中指定ip地址。

结论：先自定义网络，再指定ip运行docker
（1）自定义网络模式

docker network create --subnet=网段/掩码 --opt "com.docker.network.bridge.name"="docker1" 网络名称

（2）运行容器，指定此网络模式，指定ip


进入容器，先下载net-tools，使用ifconfig查看ip