Docker网络概述

网络(network)是为了实现容器间或容器与外接进行通信，Docker提供了6种网络模式来解决不同场景下的连接方案，分别是bridge、host、overlay、macvlan、none、network plugin。

如何根据不同的业务场景选择不同的网络

如果使用容器互连时桥接网络是最佳的解决方案。当需要Docker主机隔离时主机网络最佳的解决方案。当需要跨Docker主机实现网络互联时覆盖网络是最佳选择。当您从大流量需要像物理网卡性能工作时Macvlan网络最佳选择，每个主机都具有唯一的MAC地址。第三方网络插件允许您将Docker与专用网络堆栈集成。

bridge网络

bridge模式是默认容器启动默认分配的网络方式，容器使用独立的网络命名空间(namespace)，并连接到docker0虚拟网卡上。

host网络

host模式是容器与Docker主机共享同一网络命名空间(namespace)，Docker主机的网络协议栈、路由表、iptables规则、网卡、IP、端口等等都是共享的。容器跟宿主机都在同一网络视图下。这个模式很好的解决了容器与外界通信地址转换的问题，可以直接使用宿主机的IP进行通信，那么这里的网络流量和压力走的都是宿主机的网卡，性能会比较高。不过这个有风险，因为容器跟宿主机是共享一套网络机制，没有隔离。那么会引起网络资源与宿主机的竞争和冲突关系。规模小的场景，可以使用这种模式。主机网络驱动程序仅适用于Linux主机，不支持Windows及Mac平台。

overlay网络

overlay模式是多个Docker主机之间的分布式网络解决方案。该网络位于特定于主机的网络之上，允许连接到它的容器（包括群集服务容器）安全地进行通信。Docker透明地处理每个数据包与Docker守护程序主机和正确的目标容器之间正确的的路由。

macvlan网络

macvlan跟overlay一样也是跨主机互联的驱动方案。在某些大流量或性能要求较高的场景下，希望直接连接到物理网络，在这种情况下，您可以使用macvlan网络驱动程序为每个容器的虚拟网络接口分配MAC地址，使其看起来像是直接连接到物理网络的物理网络接口。

none网络

none模式用于完全禁用容器上的网络堆栈，容器单独使用一个网络命名空间（namespace），仅创建回环设备，如果需要容器连接其他网络，则需要手动进行网络相关的设置，灵活性最高但也是最复杂。

插件网络

以上五种驱动都是docker原生提供的，如果以上五种不能满足你的要求，除了原生提供，还支持第三方的驱动模式接入。比如常用的 flannel、pipework、weave 和 calico 等等。

Docker network管理命令

显示网络列表

docker network ls

创建网络

docker network create <Option> <NetworkName> 
--config-from 复制其他网络配置
--driver 指定网络模式
--gateway 指定网关
--internal 限制只能内部访问
--ip-range 从子网范围分配容器IP
--ipv6 启用IPv6网络
--subnet 指定网段

配置容器连接到指定的网络

docker network connect <Option> <Network> <Container>

取消容器连接到指定的网络

docker network disconnect <Option> <Network> <Container>

查看网络详情

docker network inspect <Network>

删除网络

docker network rm <Network>

清理未使用的网络

docker network prune

启动容器时指定网络

docker run -it  --network=<Network> <Option> <Image>

采用网络名称进行通讯

docker network create lamp-network
docker run -it  --network lamp-network --network-alias apache centos:latest
docker run -it  --network lamp-network --network-alias php centos:latest
docker run -it  --network lamp-network --network-alias mysql centos:latest