关于docker:Docker容器网络概述

凋谢容器端口

当应用 docker create 或者 docker run 创立并运行一个容器的时候，默认不会凋谢容器端口。
能够应用 --publish 或者 -p 选项来凋谢容器的端口，这时 Docker 就会创立一条防火墙规定，将宿主机的端口和容器的端口关联起来，宿主机的这个端口接管和收回的所有数据都会被转发到容器的端口中，这样的话外界或者宿主机上的其余容器和过程就能够通过宿主机的端口拜访容器的端口。
将容器的端口凋谢其实是一种不平安的行为，如果只是想让同一台宿主机之间的容器能够通过网络互相通信的话，不须要凋谢它们的端口，只须要借助 Docker 网络（Docker Network）即可。

Docker 网络（Docker Network）

Docker 能够创立各种类型的虚构网络，例如能够是 bridge 网络，也能够是 overlay 网络等等。
能够通过 docker network 创立、查看以后宿主机上的 Docker Network，让一个容器退出 Docker Network 等等。
一个容器能够退出多个 Docker Network。

容器在 Docker 网络中的 IP 地址和 hostname

默认状况下，当一个容器退出了一个 Docker Network 之后，Docker 会主动调配给这个容器一个 IP 地址。也能够在容器退出 Docker Network 的时候，指定一个 ip 地址给它。
容器的 hostname 默认是该容器的 ID。也能够在容器退出 Docker Network 的时候指定一个 hostname 给它。

DNS 服务

默认状况下，Docker 会通过 bind mount 的形式把宿主机的 \etc\resolv.conf 挂载到每一个容器中去。因而，每一个容器的 DNS 配置都和宿主机的是一样的。
如果容器退出的是用户通过 docker network create 创立进去的自定义网络，那么容器将会应用的 Docker 内置的 DNS 服务器，内置的 DNS 服务器将会把内部 IP 地址的查找转发给宿主机上配置的 DNS 服务器。
也能够在 docker create 或者 docker run 的时候指定容器的 DNS 配置。
须要留神的是：容器并不会共享宿主机上的 \etc\hosts 文件，能够在运行 docker run 时指定要退出容器的 \etc\hosts 文件中的内容。

Docker Network Drivers

Docker 反对以下不同类型的 Docker Network：

代理服务器

能够给 Docker Client 或者 Docekr Daemon 设置代理服务器（proxy server）。

包过滤

当把某一个容器的端口凋谢了之后，为了平安起见个别会须要对这个端口的数据包进行过滤。在 Linux 中，Docker 是通过 iptables 规定来进行包过滤的。
Docker 会在 iptables 中插入两条 iptables chain，别离叫做 DOCKER-USER 和DOCKER，并且会保障所有的网络包都会先通过这两个 chain 的查看，它们都属于 FORWARD chain 的一部分。
所有容器的 iptables 规定都会被主动退出到 DOCKER chain 中。
不要手动增加或批改或删除DOCKER chain 中的内容，然而能够向DOCKER-USER chain 中增加规定，这些规定会比DOCKER chain 中的规定优先级更高。事实上，Docker 总会保障在FORWARD chain 中，DOCKER-USER chain 的优先级是最高的，其次就是DOCKER chain，其余的 iptables chain 中的规定，不论是手动增加的，还是防火墙增加的，优先级都不会比它们两个高。

防火墙

如果运行 Docker 的零碎应用了 firewalld 并且开启了 --iptables，Docker 就会主动创立一个名为docker 的firewalld zone，并把所有由 Docker 创立的网络接口（例如 docker0）放入到这个 zone 外面。
Debian 和 Ubuntu 自带的防火墙ufw 应用的是 iptables 外面的 INPUT 和OUTPUT chain，而 Docker 会在 nat 表中解决容器的网络流量，因而 Docker 容器的流量实际上并不会通过 ufw 的过滤。

参考资料

https://docs.docker.com/network/