Docker 已经改变了我们开发、分发和运行应用程序的方式。虽然许多人熟悉将应用程序容器化，但在 Docker 中进行网络设置对于新手和有经验的开发者来说仍然可能感到困惑。本指南旨在帮助理解 Docker 的网络功能，提供适合各个层级的见解。

Docker网络允许容器间、容器与主机系统间以及容器与外部网络间的通信。理解Docker网络的处理方式对于构建可扩展和高效的程序至关重要。

默认情况下，Docker 使用 桥接 网络驱动程序，为每个容器创建一个隔离的网络环境。不过，Docker 还提供了多种网络驱动和选项，以适应不同应用的需求。

Docker 提供了多种网络插件，每种都适用于不同的场景。

• 默认网络 用于单个容器。
• 运行在同一桥接网络上的容器可以通过IP地址或容器名称互相通信。
• 适用于单主机上的应用。

# 创建一个新的桥网络  
docker network create my-bridge-network

• 容器共享主机的网络栈。
• 容器和主机之间没有网络隔离性。
• 通过减少网络开销来提高性能。

    # 使用主机网络（主机网络指使用主机的网络堆栈）运行容器
    docker run --network host my-image

注：在中文中，常用术语“overlay网络”来描述此类网络。通常保留英文形式并加以解释或直接使用。

• 用于群服务和多主机网络。
• 允许运行在不同Docker主机之间的容器进行安全地通信。
• 需要像Consul或etcd这样的键值存储系统来进行协调。

# 创建一个覆盖网络（命令示例：docker network create -d overlay my-overlay-network）

• 为每个容器分配一个MAC地址，使其在网络中看起来像一个物理设备。
• 容器可以直接连接到物理网络上。
• 对于那些需要直接网络访问的旧应用程序非常有用。

# 创建一个名为 my-macvlan-network（示例：my-macvlan-network）的 macvlan 网络  
如下命令：
docker network create -d macvlan \  
  --subnet=192.168.1.0/24 \  
  --gateway=192.168.1.1 \  
  -o parent=eth0 my-macvlan-network

调整 Docker 网络能够更好地掌控容器间的通信和网络规则。

用户自定义的桥接网络提供更好的隔离，并支持高级网络特性，如服务发现。

    # 创建一个自定义的桥网络  
    docker network create my-custom-network  

    # 在自定义网络上启动容器  
    docker run -d --name container1 --network my-custom-network my-image  
    docker run -d --name container2 --network my-custom-network my-image

容器可以连接到多个网络段，从而实现不同网络段之间的通信，跨越不同的网络段。

# 将名为 additional-network 的网络附加到名为 container1 的容器上 (additional-network 和 container1 是网络和容器的占位符名称)
docker network connect additional-network container1

更深入地了解Docker网络会发现一些能提供更多控制和灵活性的概念。

网络空间是指在Linux或容器技术文档中常用的术语，通常用于描述特定的技术上下文。

每个 Docker 容器都在自己的网络空间中运行，使网络环境独立，这有助于排查问题和自定义网络设置。

    # 查看容器的网络命名空间
    # docker inspect 命令用于获取 Docker 容器的元数据，这里我们使用它来查看容器的网络命名空间。
    docker inspect -f '{{ .NetworkSettings.SandboxKey }}' container_name
    # （比如，替换 'container_name' 为实际的容器名）

Docker的IPAM（IP地址管理）驱动程序负责网络的IP地址分配，可以使用自定义的IPAM驱动程序来满足特定的网络需求。

# 创建一个指定子网和网关的网络
docker network create --subnet=172.20.0.0/16 --gateway=172.20.0.1 my-net

• 使端口对连接的容器可用：使端口对连接的容器可用。
• 将容器端口发布到主机：将容器端口映射到主机，从而可以被外部访问。

    # 运行命令将容器的80端口映射到主机的8080端口

• 使用自定义网络：避免使用默认的桥接网络以获得更好的隔离和名称解析能力。
• 利用DNS：Docker提供了内置的DNS服务，用于用户自定义网络中的容器名称解析。
• 监控网络性能：使用诸如docker stats和网络插件之类的工具来监控并优化性能。
• 保护您的网络安全：实施网络策略并使用带有加密功能的覆盖网络以确保安全通信。
• 清理未使用的网络：定期清理未使用的网络以避免网络混乱。

    # 删除这个不用的网络
    docker network rm my-unused-network

Docker网络功能强大无比，当正确理解和使用时，可以大幅提高容器化应用的扩展性和性能。无论你是刚开始接触还是希望优化复杂的部署，掌握Docker网络将为你开启无限可能的大门。

请记住，有效地使用Docker网络的关键在于理解应用程序的需求所在，并选择合适的工具和配置来满足这些需求。

在我的网站上可以找到更多深入的指南 my website。
关注我在 Twitter 获取有关 AI、DevOps 和技术的最新动态。
通过 LinkedIn 与我联系，我们可以聊天或合作。