Docker网络完全指南：从bridge到macvlan

为什么需要理解Docker网络？#

Docker容器默认是隔离的，但实际应用中容器之间、容器与外部之间需要通信。理解Docker网络可以帮助你：

容器互联 - 让多个服务协同工作
端口映射 - 从外部访问容器服务
网络隔离 - 不同环境使用不同网络
性能优化 - 选择合适的网络模式
故障排查 - 快速定位网络问题

Docker网络模式总览#

Docker提供5种网络驱动：

模式	隔离性	性能	使用场景
bridge	✅ 隔离	⭐⭐⭐	默认模式，大多数应用
host	❌ 无隔离	⭐⭐⭐⭐⭐	高性能需求、网络监控
none	✅ 完全隔离	⭐⭐⭐⭐	高安全要求、自定义网络
macvlan	✅ 物理网络隔离	⭐⭐⭐⭐	需要独立IP的场景
overlay	✅ 跨主机通信	⭐⭐⭐	Swarm集群、微服务

1. Bridge网络（默认模式）#

工作原理#

Bridge是Docker的默认网络模式。每个容器连接到docker0虚拟网桥，通过NAT访问外部网络。

1
┌─────────────────────────────────────────┐
2
│          宿主机                          │
3
│  ┌──────────────────────────────────┐  │
4
│  │         docker0 (172.17.0.1)     │  │
5
│  │        (虚拟网桥)                 │  │
6
│  └──────┬─────────────────────┬─────┘  │
7
│         │                     │         │
8
│    ┌────▼────┐          ┌────▼────┐   │
9
│    │ 容器1   │          │ 容器2   │   │
10
│    │172.17.0.2│         │172.17.0.3│  │
11
│    └─────────┘          └─────────┘   │
12
└─────────────────────────────────────────┘

基本操作#

1
# 查看默认bridge网络
2
docker network ls
3

4
# 查看网络详细信息
5
docker network inspect bridge
6

7
# 创建自定义bridge网络
8
docker network create my-network
9

10
# 使用自定义网络运行容器
11
docker run -d --name web1 --network my-network nginx
12

13
# 连接容器到网络
14
docker network connect my-network web2
15

16
# 断开网络连接
17
docker network disconnect my-network web2
18

19
# 删除网络
20
docker network rm my-network

容器间通信#

同一网络内的容器可以通过容器名互相访问：

1
# 创建自定义网络
2
docker network create app-network
3

4
# 启动数据库容器
5
docker run -d \
6
  --name db \
7
  --network app-network \
8
  -e POSTGRES_PASSWORD=password \
9
  postgres:14
10

11
# 启动应用容器
12
docker run -d \
13
  --name app \
14
  --network app-network \
15
  -e DB_HOST=db \
16
  -e DB_PORT=5432 \
17
  my-app:latest
18

19
# 在app容器中可以直接用"db"访问数据库
20
docker exec app ping -c 3 db

DNS解析： Docker内置DNS服务器，容器名会自动解析到对应的IP地址。

端口映射#

1
# 映射单个端口
2
docker run -d -p 8080:80 nginx
3

4
# 映射多个端口
5
docker run -d \
6
  -p 80:80 \
7
  -p 443:443 \
8
  nginx
9

10
# 映射到随机端口
11
docker run -d -p 80 nginx
12

13
# 绑定特定IP
14
docker run -d -p 127.0.0.1:8080:80 nginx
15

16
# 查看端口映射
17
docker port container_name

2. Host网络模式#

工作原理#

Host模式让容器直接使用宿主机的网络栈，没有网络隔离。

1
┌─────────────────────────────────────────┐
2
│          宿主机网络栈                    │
3
│  ┌──────────────────────────────────┐  │
4
│  │         容器（共享网络）          │  │
5
│  └──────────────────────────────────┘  │
6
└─────────────────────────────────────────┘

使用场景#

✅ 适合：

网络性能敏感应用
需要查看真实网络流量
监控工具（如Prometheus node exporter）
端口范围大的应用（避免映射大量端口）

❌ 不适合：

需要端口隔离的场景
多个实例使用相同端口

实战示例#

1
# 运行Prometheus监控
2
docker run -d \
3
  --name prometheus \
4
  --network host \
5
  -v /path/to/prometheus.yml:/etc/prometheus/prometheus.yml \
6
  prom/prometheus
7

8
# 容器直接使用宿主机端口，无需-p映射
9
# 访问 http://宿主机IP:9090

性能对比：

1
# Bridge模式（经过NAT转换）
2
docker run --rm --network bridge alpine wget -O /dev/null http://example.com
3

4
# Host模式（直接使用宿主机网络）
5
docker run --rm --network host alpine wget -O /dev/null http://example.com

Host模式通常有更低的延迟和更高的吞吐量。

3. None网络模式#

工作原理#

None模式不给容器配置任何网络，只有loopback接口。

使用场景#

✅ 适合：

高安全要求（完全网络隔离）
自定义网络配置
批处理任务（不需要网络）

❌ 不适合：

需要访问外部网络的应用

实战示例#

1
# 运行完全隔离的容器
2
docker run -d \
3
  --name isolated-container \
4
  --network none \
5
  alpine sleep 1000
6

7
# 验证网络配置
8
docker exec isolated-container ip addr
9
# 只能看到lo接口

4. Macvlan网络模式#

工作原理#

Macvlan给每个容器分配一个独立的虚拟MAC地址，使其看起来像网络中的独立设备。

1
┌─────────────────────────────────────────┐
2
│          物理网络 (192.168.1.0/24)      │
3
│  ┌──────────────────────────────────┐  │
4
│  │  宿主机 (192.168.1.100)          │  │
5
│  └──────┬─────────────────────┬─────┘  │
6
│         │                     │         │
7
│    ┌────▼────┐          ┌────▼────┐   │
8
│    │ 容器1   │          │ 容器2   │   │
9
│    │192.168.1.201│      │192.168.1.202││
10
│    └─────────┘          └─────────┘   │
11
└─────────────────────────────────────────┘

使用场景#

✅ 适合：

NAS环境（需要独立IP访问服务）
网络监控工具
需要与物理设备同网的场景
家庭实验室环境

❌ 不适合：

资源受限环境（每个容器占用一个虚拟接口）
云服务器（通常不支持）

实战示例：NAS环境部署#

场景：NAS上部署多个服务，每个有独立IP#

网络信息：

物理网络：192.168.1.0/24
宿主机IP：192.168.1.100
网关：192.168.1.1
网络接口：eth0

步骤1：创建macvlan网络#

1
# 查看宿主机网络接口
2
ip addr show
3

4
# 创建macvlan网络
5
docker network create -d macvlan \
6
  --subnet=192.168.1.0/24 \
7
  --gateway=192.168.1.1 \
8
  -o parent=eth0 \
9
  -o macvlan_mode=bridge \
10
  my-macvlan-net

参数说明：

-d macvlan - 使用macvlan驱动
--subnet - 子网段
--gateway - 网关地址
-o parent=eth0 - 物理网络接口
-o macvlan_mode=bridge - macvlan模式（bridge/vepa/private/pass-through）

步骤2：运行容器并指定IP#

1
# 运行Nginx容器（指定IP）
2
docker run -d \
3
  --name nginx1 \
4
  --network my-macvlan-net \
5
  --ip 192.168.1.201 \
6
  nginx:alpine
7

8
# 运行另一个Nginx容器
9
docker run -d \
10
  --name nginx2 \
11
  --network my-macvlan-net \
12
  --ip 192.168.1.202 \
13
  nginx:alpine
14

15
# 验证网络连接
16
docker exec nginx1 ip addr show eth0
17
# 应该显示 192.168.1.201

现在可以直接通过IP访问容器：

http://192.168.1.201 → nginx1
http://192.168.1.202 → nginx2

步骤3：解决宿主机与容器通信问题#

⚠️ 重要提示： macvlan网络中，宿主机无法直接访问容器IP（除非使用特殊配置）。

解决方案1：添加辅助IP

1
# 给宿主机添加同网段的辅助IP
2
sudo ip addr add 192.168.1.100/32 dev eth0

解决方案2：使用IPvlan模式

1
# ipvlan模式下宿主机可以与容器通信
2
docker network create -d ipvlan \
3
  --subnet=192.168.1.0/24 \
4
  --gateway=192.168.1.1 \
5
  -o parent=eth0 \
6
  -o ipvlan_mode=l2 \
7
  my-ipvlan-net

Macvlan实战：家庭服务器#

在家庭NAS上部署多个服务，每个服务独立IP：

1
version: '3.8'
2

3
services:
4
  # Web服务器
5
  web:
6
    image: nginx:alpine
7
    container_name: home-web
8
    networks:
9
      macvlan_net:
10
        ipv4_address: 192.168.1.201
11
    restart: unless-stopped
12

13
  # 文件服务器
14
  fileserver:
15
    image: filebrowser/filebrowser
16
    container_name: home-fileserver
17
    networks:
18
      macvlan_net:
19
        ipv4_address: 192.168.1.202
20
    volumes:
21
      - /data:/srv
22
    restart: unless-stopped
23

24
  # 代码服务器
25
  codeserver:
26
    image: codercom/code-server:latest
27
    container_name: home-codeserver
28
    networks:
29
      macvlan_net:
30
        ipv4_address: 192.168.1.203
31
    environment:
32
      - PASSWORD=your_password
33
    volumes:
34
      - /projects:/home/coder/project
35
    restart: unless-stopped
36

37
networks:
38
  macvlan_net:
39
    driver: macvlan
40
    driver_opts:
41
      parent: eth0
42
    ipam:
43
      config:
44
        - subnet: 192.168.1.0/24
45
          gateway: 192.168.1.1

5. Overlay网络（进阶）#

工作原理#

Overlay网络用于跨主机的容器通信，主要用于Docker Swarm集群。

1
# 在Swarm模式下创建overlay网络
2
docker network create -d overlay my-overlay
3

4
# 在服务中使用overlay网络
5
docker service create \
6
  --network my-overlay \
7
  --name my-service \
8
  nginx

使用场景：

Swarm集群服务
微服务架构
跨主机容器通信

网络故障排查#

常用诊断命令#

1
# 查看容器网络配置
2
docker exec container_name ip addr
3

4
# 测试容器间连通性
5
docker exec container1 ping -c 3 container2
6

7
# 查看容器DNS配置
8
docker exec container_name cat /etc/resolv.conf
9

10
# 抓包分析
11
docker exec container_name tcpdump -i eth0
12

13
# 查看网络接口
14
docker network inspect bridge | grep Containers

常见问题#

Q1: 容器无法访问外网#

1
# 检查NAT转发
2
sudo iptables -t nat -L -n -v
3

4
# 启用IP转发
5
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
6
sudo sysctl -p

Q2: 容器间无法通信#

1
# 确认容器在同一网络
2
docker inspect container1 | grep NetworkMode
3
docker inspect container2 | grep NetworkMode
4

5
# 检查防火墙规则
6
sudo iptables -L -n

Q3: 端口映射不生效#

1
# 检查端口监听
2
sudo netstat -tulpn | grep :8080
3

4
# 查看容器是否监听正确端口
5
docker exec container_name netstat -tulpn

网络最佳实践#

1. 使用自定义网络#

1
# ✅ 推荐：使用自定义网络
2
docker network create app-network
3
docker run --network app-network my-app
4

5
# ❌ 不推荐：使用默认bridge网络
6
docker run my-app

2. 网络命名规范#

1
# 项目名-环境-网络类型
2
docker network create blog-prod-backend
3
docker network create blog-dev-backend
4
docker network create monitoring-prometheus

3. 网络隔离#

1
# 前端网络（可访问外网）
2
docker network create frontend-net
3

4
# 后端网络（完全隔离）
5
docker network create backend-net --internal
6

7
# 数据库网络（严格隔离）
8
docker network create db-net --internal

4. 使用Docker Compose自动管理网络#

1
version: '3.8'
2

3
services:
4
  web:
5
    image: nginx
6
    networks:
7
      - frontend
8

9
  api:
10
    image: my-api
11
    networks:
12
      - frontend
13
      - backend
14

15
  db:
16
    image: postgres
17
    networks:
18
      - backend
19

20
networks:
21
  frontend:
22
  backend:
23
    internal: true  # 隔离网络

性能优化建议#

1. 减少网络层#

1
# 高性能场景使用host模式
2
docker run --network host high-perf-app

2. 使用IPv6（如果支持）#

1
# 创建支持IPv6的网络
2
docker network create -d bridge \
3
  --ipv6 \
4
  --subnet=2001:db8:1::/64 \
5
  my-ipv6-network

3. 调整MTU（巨型帧）#

1
# 创建网络时指定MTU
2
docker network create \
3
  -o com.docker.network.driver.mtu=9000 \
4
  jumbo-frame-net

总结#

Docker网络选择决策树：

1
需要跨主机通信？
2
├─ 是 → Overlay网络（Swarm集群）
3
└─ 否 → 需要独立IP？
4
    ├─ 是 → Macvlan（NAS场景）
5
    └─ 否 → 需要高性能？
6
        ├─ 是 → Host网络
7
        └─ 否 → Bridge网络（默认选择）

关键要点：

✅ Bridge：默认选择，适合大多数场景
✅ Host：高性能需求，监控工具
✅ Macvlan：NAS环境，需要独立IP
✅ None：高安全要求，完全隔离
✅ Overlay：Swarm集群，跨主机通信

下一步学习：

Docker数据持久化（Volume vs Bind Mount）
Docker安全加固
容器监控和日志管理

实战建议： 在你的NAS上尝试配置macvlan网络，让每个服务都有独立IP，感受一下像物理服务器一样的部署体验！

系列文章：

音乐

音乐

Docker网络完全指南：从bridge到macvlan

为什么需要理解Docker网络？#

Docker网络模式总览#

1. Bridge网络（默认模式）#

工作原理#

基本操作#

容器间通信#

端口映射#

2. Host网络模式#

工作原理#

使用场景#

实战示例#

3. None网络模式#

工作原理#

使用场景#

实战示例#

4. Macvlan网络模式#

工作原理#

使用场景#

实战示例：NAS环境部署#

场景：NAS上部署多个服务，每个有独立IP#

步骤1：创建macvlan网络#

步骤2：运行容器并指定IP#

步骤3：解决宿主机与容器通信问题#

Macvlan实战：家庭服务器#

5. Overlay网络（进阶）#

工作原理#

网络故障排查#

常用诊断命令#

常见问题#

Q1: 容器无法访问外网#

Q2: 容器间无法通信#

Q3: 端口映射不生效#

网络最佳实践#

1. 使用自定义网络#

2. 网络命名规范#

3. 网络隔离#

4. 使用Docker Compose自动管理网络#

性能优化建议#

1. 减少网络层#

2. 使用IPv6（如果支持）#

3. 调整MTU（巨型帧）#

总结#

支持与分享

评论区

音乐

目录