当我们项目中使用多个容器时，我们就会面临容器间的通信问题，如哪些容器能够互相通信？哪些需要隔离？如何使用容器名称通信等。而 Docker 网络就是用来解决容器间通信问题的。

一、常用命令

# 查看所有网络
docker network ls
# 创建网络，默认为 bridge 类型
docker network create <网络名称>
# 删除一个或者多个网络
docker network rm <网络ID/名称>
# 删除所有未使用的网络
docker network prune
# 查看网络详细信息
docker network inspect <网络ID/名称>

# 连接容器到网络
docker network \
connect <网络ID/名称> <容器ID/名称>
# 从网络中删除容器
docker network \
disconnect <网络ID/名称> <容器ID/名称>

二、默认网络

Docker 会默认创建三个网络：

• bridge 网络：网络驱动类型为 bridge，即 bridge 网络模式，该模式会为每个容器创建虚拟网卡并分配 IP，该网络也是启动容器时默认使用的网络。
• host 网络：网络驱动类型为 host，即 host 网络模式，该模式会让容器共享宿主机的网络配置，与宿主机公用 IP 与端口号。
• none 网络：网络驱动类型为 null，即 none 网络模式。该模式下容器无网络配置，即禁用网络功能。

三、bridge 网络模式

docker 默认的网络模式，其会为容器创建独立的网络命名空间，每个容器都具有独立的网卡、IP 地址等，这些容器都将连接到一个 docker0 的虚拟网桥上。

docker0 是 默认的 bridge 网络在宿主机上创建的一个虚拟网桥，主要用于连接到 bridge 网络的容器与宿主机、容器与容器之间的网络通信。

我们查看下宿主机的网络配置信息：

下面我们启动一个容器，并查看下他的网络信息：

# 启动一个容器
docker run -d -p 80:80 \
--name liwy-nginx nginx
# 查看容器详情
docker inspect liwy-nginx | tail -n 21

通过上面的信息，我们可以看到，启动的容器默认使用的就是 bridge 网络，而且为容器分配了一个 IP：172.17.0.2，而他的网关就是宿主机中的 docker0：172.17.0.1。

此时我们进入容器内看下该容器的网络信息：

这里我们看到容器的网络配置中有一个（ 10: eth0@if11 ）的网络接口，其 IP 的确是 172.17.02。

然后我们再到宿主机上查看下网络配置：

此时我们会发现多了一个 veth 开头的网络接口（ 11: veth319446e@if10 ），这个虚拟网络接口用来和上面启动的容器进行通信的。

观察容器中的 eth0 网络接口与宿主机的 veth 网络接口，我们可以发现这两个接口是相互对应的：如 11:veth319446e@if10 就表示宿主机的 11:veth 与容器的 10:eth0 对应。

也就是说 docker0 网桥在宿主机上会给每个容器创建一个 veth 开头的虚拟网络接口，在容器内，会为每个容器会创建 eth0 的虚拟网络接口，使用 veth-pair 技术，每个 veth 会匹配容器内部的 eth0，两两配对，实现通信。如下图：

默认情况下，容器在创建时会连接到这个默认桥接网络 docker0，它的默认的网段为 172.17.0.0/16，它的IP地址是 172.17.0.1。而连接到 docker0 的容器，会为其分配一个IP，如上容器IP为 172.17.0.2。

但是容器 IP 不是固定的，如果我们停掉一个已启动的容器，那么他的 IP 就会收回，然后再启动另外一个新的容器，此时之前收回的 IP 就会分配给新的容器。所以在实际生产环境中，容器之间通常不能直接使用 IP 访问，而是使用容器名称来访问，但是默认的 bridge 网络并不支持使用容器名称访问，后面我们会使用自定义网络的方式来解决这个问题。

三、host 网络模式

该模式下，容器与宿主机使用同一网络命名空间，容器也不会虚拟出自己的网卡而是与宿主机共享网络配置，使用的是宿主机的 IP 和端口。

我们启动一个使用 host 网络的容器，并查看下他的网络配置：

# 启动容器并连接到 host 网络
# 使用 host 网络时就不用设置端口映射了，
# 因为其使用的就是宿主机的端口。
docker run -d --network host \
--name liwy-nginx-host nginx

# 查看容器的网络配置信息
docker inspect \
liwy-nginx-host | tail -n 21

可以看到该模式下，容器并没有被分配 IP，然后我们在到容器中查看的网络配置：

我们发现这里容器的网络配置与宿主机的网络配置是完全一样的，其实它就是共享了宿主机的网络配置。

四、none 模式

该模式容器有独立的网络命名空间，但并没有对容器进行任何网络设置，如分配网卡、IP 等。也就是说禁用了网络功能，不能进行网络通信。

# 启动容器并连接到 none 网络
docker run -d --network none \
--name liwy-nginx-none nginx

五、共享容器网络

我们还可以通过使用 --network container:<容器名称/ID> 的方式来指定一个已有的容器，并与其共享网络配置。

此时我们的容器不会创建自己的虚拟网卡和 IP ，而是和指定的容器共享 IP、端口等。

# 启动容器并指定与 liwy-nginx 共享网络
docker run -d \
--network container:liwy-nginx \
--name liwy-nginx-2 nginx

这里如果停掉容器 liwy-nginx，那么容器 liwy-nginx-2 的网络也没有了，因为容器 liwy-nginx-2 是依赖容器 liwy-nginx 的。

六、自定义 bridge 网络

1. 创建网络

我们还可以创建自定义的网络，并将多个容器连接到同一网络。连接到自定义网络后，容器可以使用 IP 地址或容器名称相互通信。

# 创建一个网络
docker network create liwy-net

我们创建的新网络，其默认也是 bridge 模式，但是它是一个新的桥接网络，和 docker0 是独立开的，他们可以有不同的配置和属性。我们到宿主机上看下网络信息：

这里可以看到，我们创建新的 bridge 网络后，会在宿主机中创建一个新的 br-ef6852c0e194 网桥，他的网段与 docker0 是不同的，之后我们加入到这个新网络的容器也将会和这个新的网桥进行通信。

2. 连接容器到网络

这里我们创建两个容器，liwy-nginx-1 和 liwy-nginx-2，并将其加入到我们刚才创建的自定义网络中：

# 运行容器1并加入到我们创建的网络
docker run -d --network liwy-net \
--name liwy-nginx-1 nginx

# 运行容器2并加入到我们创建的网络
docker run -d --network liwy-net \
--name liwy-nginx-2 nginx

如果容器已经存在了，可以使用 docker network connect 命令加入到网络：

# docker network connect <网络ID/名称> <容器ID/名称>
docker network connect \
liwy-net liwy-nginx-1

然后我们查看 liwy-nginx-1 和 liwy-nginx-2 容器的网络信息：

可以看到 liwy-nginx-1 容器的 IP 是 172.18.0.2，liwy-nginx-2 容器的 IP 是 172.18.0.3 。

3. 测试容器间通信

默认的网络（bridge）只能通过 IP 来进行容器间的访问，不能使用容器名访问。而我们创建的自定义网络，Docker 会启用内置的 DNS 服务，允许容器使用服务名称来相互访问。

现在我们进入到 liwy-nginx-1 ，先通过IP确认下能ping的通 liwy-nginx-2，然后我们在使用容器名称试一下：

每个 bridge 模式的网络，由于使用的网络段不同，所以不在同一网络中的容器无法实现通信，从而实现了网络间的隔离。

备注：

容器内安装ip命令：apt update && apt install -y iproute2

容器内安装ping命令：apt update && apt install -y inetutils-ping