一、Docker 网络实现原理

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。

在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的 Container-IP 直接通信。

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法直接通过 Container-IP 访问到容器。

如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即 docker run 创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

#查看默认的网络模式
docker network list

二、网络模式介绍

1.host模式

容器和宿主机共享网络命名空间，即容器和宿主机使用同一个IP、端口范围(容器与宿主机/同模式的容器不可以相同的端口号)、路由、iptables规则等

docker run --network=host

2.container模式

和指定且已存在的容器共享网络命名空间，即两个使用同一个IP、端口范围(容器与宿主机/同模式的容器不可以相同的端口号)、路由、iptables规则等

docker run --network=container:指定的容器ID|容器名

3.none模式

每个容器都有独立的网络命名空间，但是容器没有eth0网卡、IP、端口等，只有lo网卡。

docker run --network=none

4.bridge模式

docker的默认网络模式。

此模式的每个容器都要独立的网络命名空间，即每个容器都有独立的IP、端口范围(每个容器可以相同的端口号)、路由、iptables规则等。

docker run [--network=bridge]

5.自定义网络

可以自定义创建一个网段、网桥、网络模式，从而可自定义容器IP来创建容器

docker network create --subnet 新网段 --opt "com.docker.network.bridge.name"="新网桥名" 新网络模式名

docker run --network 新网络模式名 --ip 自定义IP

三、Docker网络通信

1.端口映射

在启动容器的时候，如果不指定对应的端口，在容器外是无法通过网络来访问容器内的服务。

端口映射机制将容器内的服务提供给外部网络访问，实质上就是将宿主机的端口映射到容器中，使得外部网络访问宿主机的端口便可访问容器内的服务。

docker run  -d  -P       #使用从32768开始的随机端口映射容器

docker run -p 宿主机端口:容器端点       #指定宿主机端口映射容器

docker run -d --name test1 -P nginx                    #随机映射端口（从32768开始）

docker run -d --name test2 -p 43000:80 nginx        #指定映射端口

docker ps -a

2.容器互联

容器互联是通过容器的名称在容器间建立一条专门的网络通信隧道。

简单点说，就是会在源容器和接收容器之间建立一条隧道，接收容器可以看到源容器指定的信息。

#创建并运行源容器取名web1
docker run -itd -P --name web1 centos:7 /bin/bash    
    
#创建并运行接收容器取名web2，使用--link选项指定连接容器以实现容器互联
docker run -itd -P --name web2 --link web1:web1 centos:7 /bin/bash            
#--link 容器名:连接的别名

# --link web1:web1
web1是指定的目标容器的名称或别名。
web1是目标容器中可以使用的别名，在web2容器中可以通过这个别名访问web1容器。

#进web2 容器， ping web1
docker exec -it web2 bash
ping web1