docker的四种单主机网络模式

Docker使用Linux桥接，在宿主机虚拟一个Docker容器网桥(docker0)，Docker启动一个容器时会根据Docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信。

Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法通过直接Container-IP访问到容器。如果容器希望外部访问能够访问到，可以通过映射容器端口到宿主主机（端口映射），即docker run创建容器时候通过 -p 或 -P 参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器。

host模式

• 容器和宿主机共享Network namespace

docker不会为容器创建独有的network namespace；

使用宿主机的默认网络命名空间，共享一个网络栈；

表现为容器内和宿主机的IP一致；

这种模式用于网络性能较高的场景，但安全隔离性相对差一些。

none

• 容器有独立的Network namespace，但并没有对其进行任何网络设置，如分配veth pair 和网桥连接，配置IP等

none模式可以说是桥接模式的一种特例，docker会为容器创建独有的network namespace ，但不会为这个命名空间准备虚拟网卡，IP地址，路由等，需要用户自己配置。

container模式

• 容器和另外一个容器共享Network namespace。 kubernetes中的pod就是多个容器共享一个Network namespace

容器共享模式，这种模式是host模式的一种延伸，一组容器共享一个network namespace；

对外表现为他们有共同的IP地址，共享一个网络栈；

kubernetes的pod就是使用的这一模式。

bridge模式

• 默认为该模式

桥接模式，有点类型VM-NAT，dockerd进程启动时会创建一个docker0网桥，容器内的数据通过这个网卡设备与宿主机进行数据传输。
docker会为容器创建独有的network namespace，也会为这个命名空间配置好虚拟网卡，路由，DNS，IP地址与iptables规则（也就是sandbox的内容）
bridge模式是docker的默认网络模式，不写–net参数，就是bridge模式。使用docker run -p时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL查看。