Docker 容器在运行时，会涉及多个容器相互连接，甚至与宿主机上的应用连接的问题。既然需要产生连接，那么就必然要依赖网络。

网络在Docker的技术体系中，是一个不容易搞清楚的要点。因此，希望您读完本文之后，对 Docker 网络有一个通透的理解。

网络定义

首先，我们花几分钟的时间，回顾网络是什么。

网络不仅仅是计算机术语，在我们的生活中，网络无处不在。

任何一个被称之为网络的事物都是由“终端节点+中心节点”组成。如果多个小的网络联合起来，就组成了大网络。

• 在计算机网络中这个中心节点可被称之为：网桥或交换机或HUB。
• 在快递业网络中这个中心节点可被称之为：转运中心或中心仓
• 在人际关系网络这个中心节点可被称之为：核心人物或有影响力的人
• 在陆地的水网中这个中心节点可被称之为：湖泊或多河交汇处
• 在太阳系网络中这个中心节点可以被成为：太阳

这里有一个概念值得注意，不管是是终端节点还是中心节点，它们都是节点。即它们的“物理属性”是一个层面，而逻辑上的分工又不是一个层面。

节点与节点连接起来，就组成网络。中心节点对（网络）内起着与其他终端节点沟通的作用，对（网络）外起着与外部连接的功能，甚至是连接外部的唯一通道。

其实，只要能够分辨清楚哪些是终端节点，哪些是中心节点，就完全从宏观上把握住了网络。剩下的，就是搞清楚它们之间的数据流向。

Docker 网络

为了了解 Docker 网络，我们先在已经运行 Docker 的主机上运行一条命令

docker network ls

[root@iZ8vb7iZ ~]# docker network ls
NETWORK ID          NAME                      DRIVER              SCOPE
06008f57697f        blogwebsoft9com_default   bridge              local
f13768fd7a20        bridge                    bridge              local
7d6412aa6e40        host                      host                local
e5e6049b8d9f        none                      null                local
29eae24dae84        portainer_default         bridge              local
b286f40bc93d        websoft9com_default       bridge              local

以上显示的就是 Docker 管辖的所有中心节点网卡（先不称之为网络）名称。而容器内部也有网卡，但不会在此命令中列出。

> 网卡也被称之为网络接口

Docker 的网络中，每一个运行中的容器就是网络中的终端节点，这个很好理解。

那么谁是 Docker 网络的中心节点呢？

要正确理解这个问题，先熟悉一个 Docker 网络相关的设计：在安装 Docker 时，Docker 会自动创建三个（虚拟）中心节点网卡，同时宿主机上创建一个名称为 docker0 的（虚拟）中心网卡。

下面分别介绍 Docker 内部的三个网卡：

1. Bridge 网卡（默认）：如果创建容器的时候选择连接此网卡，Docker 会为每一个容器分配、设置IP等，并通过宿主机的 docker0 网卡与外部通信。

sudo docker run -it  phpmyadmin

2. host 网卡：如果创建容器的时候选择连接此网卡，Docker 不会为容器创建网卡和IP地址，而是直接使用宿主机的IP和端口。

sudo docker run -it --net="host" phpmyadmin

3. None 网卡：如果创建容器的时候选择连接此网卡，则以为着 Docker 关闭了容器的网络功能。

如果您读到此处，仍然一知半解，我想可能需要向您澄清一个概念。

网卡、中心节点和网络

网络上绝大部分关于 Docker 网络相关的博客，都没有仔细斟酌网络这个词的用法，不该出现的“网络”的地方错用了这个词，很容易让读者无法理解本质。

所以我们再回顾一次：

• 网卡：用户与外部通信的计算机网络组建，它可以是虚拟的，也可以是物理上存在看得见的网卡。在现在这个软件定义网络的时代，网卡一般都是虚拟的。但不管是哪种形式的网卡，通过ifconfig命令查看，可知其格式基本一致

docker0: flags=4099  mtu 1500
        inet 172.17.0.1  netmask 255.255.0.0  broadcast 172.17.255.255
        inet6 fe80::42:f6ff:fead:46  prefixlen 64  scopeid 0x20
        ether 02:42:f6:ad:00:46  txqueuelen 0  (Ethernet)
        RX packets 2831  bytes 2150398 (2.0 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2406  bytes 682422 (666.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
eth0: flags=4163  mtu 1500
        inet 172.26.72.241  netmask 255.255.240.0  broadcast 172.26.79.255
        inet6 fe80::216:3eff:fe0a:e07c  prefixlen 64  scopeid 0x20
        ether 00:16:3e:0a:e0:7c  txqueuelen 1000  (Ethernet)
        RX packets 1146393  bytes 760158453 (724.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 836693  bytes 355058824 (338.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

• 中心节点：网卡中有一种特殊网卡，我们称之为中心节点网卡或网桥，其他的网卡都与之相连，由它负责内部网卡之间的通信和外部的通信出口中转。

• 网络：多个网卡之间通过某种形式组合起来，可以按设计进行通信，就形成了网络。网络一般采用“中心节点+多个终端节点”的组网模式。

端口

容器中端口与服务器的端口是一个概念。

端口即应用程序在网卡中占用的访问通道。例如：一个容器中安装了 Apache 和 MySQL 两个软件，而这个容器只有一个虚拟网卡，如何保证两个软件都可以被外界访问又互不干扰？

计算机的设计者会给网卡虚拟很多访问通道，并给与从0到65535的数字编号，这个编号就是端口。需要用到网络通道的软件可以配置不同的数字编号，比如：Apache 使用 80 端口，MySQL 使用 3306 端口。

拿一个真实世界的例子可能更有助于理解端口。

比如去一栋办公大楼（只有一个门牌地址），如何保证各种不同的人群安全有序的进出？

一般来说，管理非常规范的办公楼可能会有：员工通道（001号门）、访客通道（002号门）、消防通道（003号门）、物流通道（004号门）等各种不同的门，不同的人群通过不同的通道进出，其中每一个门就相当于一个端口。

外网访问

理解了上面的 Docker 网络模式之后，在设置 Docker 容器被外网访问就变得非常简单。
常见的容器通信常见包括：

• 容器之间通信

• 容器与宿主机通信

• 容器直接与外部网络通信

常见问题

容器互联 -link 有什么作用？

用于在两个容器之间创建一个之间连接的虚拟通道（在 /etc/hosts 文件中增加被连接的容器名称和IP信息），而不必通过网桥连接。

可以直接修改 iptable 实现容器的外网访问控制吗？

可以，但是比较复杂。

创建容器的时候，不指定容器的网卡名称系统会自动命名吗？

会。一般以当前目录文件夹名称+default，例如：blogwebsoft9com_default 这个网卡的名称来源于在blog.websoft9.com目录下基于 docker-compose 创建容器

docker-compose 启动容器（组）会自动创建中心网卡吗？

会

docker run 启动容器会自动创建网卡吗？

不会，默认使用已经存在的 bridge

docker network ls 查看到的网卡与宿主机下 ifconfig 有什么联系？

docker network ls 查看到的网卡也会被显示到宿主机下