docker容器是如何做到網(wǎng)絡(luò )隔離的

docker容器是如何做到網(wǎng)絡(luò )隔離的？docker可以為容器創(chuàng )建隔離的網(wǎng)絡(luò )環(huán)境，在隔離的網(wǎng)絡(luò )環(huán)境下，容器具有完全獨立的網(wǎng)絡(luò )棧，與宿主機隔離，也可以使容器共享主機或者其他容器的網(wǎng)絡(luò )命名空間，基本可以滿(mǎn)足開(kāi)發(fā)者在各種場(chǎng)景下的需要。

docker容器的網(wǎng)絡(luò )通常有 host模式、container模式、none模式和bridge模式等。

在host網(wǎng)絡(luò )模式

Docker使用了Linux的Namespaces技術(shù)來(lái)進(jìn)行資源隔離，如PID Namespace隔離進(jìn)程，Mount Namespace隔離文件系統，Network Namespace隔離網(wǎng)絡(luò )等。一個(gè)Network Namespace提供了一份獨立的網(wǎng)絡(luò )環(huán)境，包括網(wǎng)卡、路由、Iptable規則等都與其他的Network Namespace隔離。

當我們在容器中執行任何類(lèi)似 ifconfig命令查看網(wǎng)絡(luò )環(huán)境時(shí)，看到的都是宿主機上的信息。而外界訪(fǎng)問(wèn)容器中的應用，則直接使用10.10.101.105:80即可，不用任何NAT轉換，就如直接跑在宿主機中一樣。但是，容器的其他方面，如文件系統、進(jìn)程列表等還是和宿主機隔離的。

在container網(wǎng)絡(luò )模式

新創(chuàng )建的容器不會(huì )創(chuàng )建自己的網(wǎng)卡，配置自己的IP，而是和一個(gè)指定的容器共享IP、端口范圍等。同樣，兩個(gè)容器除了網(wǎng)絡(luò )方面，其他的如文件系統、進(jìn)程列表等還是隔離的。兩個(gè)容器的進(jìn)程可以通過(guò)lo網(wǎng)卡設備通信。

特網(wǎng)科技的容器云產(chǎn)品是通過(guò)docker技術(shù)，在集群服務(wù)器上部署容器服務(wù)實(shí)現，擁有上萬(wàn)Linux鏡像，功能強大、簡(jiǎn)單易用，可輕松作集群服務(wù)，自由搭建私有網(wǎng)絡(luò )。

高性?xún)r(jià)比的容器云產(chǎn)品鏈接 http://wap.friendlycc.com.cn/host/