一、四种网络模式

在这里插入图片描述

二、网络实现原理

1、docker使用linux桥接，在宿主机虚拟一个docker容器网桥，docker启动一个容器时会根据docker网桥的网段分配给容器一个IP地址，称为Container-IP，同时Docker网桥是每个容器的默认网关。因为在同一宿主机内的容器都接入同一个网桥，这样容器之间就能够通过容器的Container-IP直接通信

2、Docker网桥是宿主机虚拟出来的，并不是真实存在的网络设备，外部网络是无法寻址到的，这也意味着外部网络无法通过直接Container-IP访问到容器。如果容器希望外部能够访问，可以通过映射容器端口到宿主主机（端口映射），即docker run创建容器时候通过 -p（小）或 -P（大）参数来启用，访问容器的时候就通过[宿主机IP]:[容器端口]访问容器

3、HOST模式

3.1、如果启动容器的时候使用host模式，那么这个容器将不会获得一个独立的Network Namespace，而是和宿主机共用一个Network Namespace，容器将不会虚拟出自己的网卡，配置自己的IP等，而是使用宿主机的IP和端口。

3.2、使用host模式的容器可以直接使用宿主机的IP地址与外界通信，容器内部的服务端口也可以使用宿主机的端口，不需要进行NAT，host最大的优势就是网络性能比较好，但是docker host上已经使用的端口就不能再用了，网络的隔离性不好

4、container模式

4.1、创建的容器不会创建自己的网卡，配置自己的IP，而是和一个指定的容器共享IP、端口范围

4.2、这个模式指定新创建的容器和已经存在的一个容器共享一个 Network Namespace，而不是和宿主机共享。同样，两个容器除了网络方面，其他的如文件系统、进程列表等还是隔离的。两个容器的进程可以通过 lo 网卡设备通信

5、none模式

5.1、该模式关闭了容器的网络功能

5.2、使用none模式，Docker容器拥有自己的Network Namespace，但是，并不为Docker容器进行任何网络配置。也就是说，这个Docker容器没有网卡、IP、路由等信息。需要我们自己为Docker容器添加网卡、配置IP等

5.3、这种网络模式下容器只有lo回环网络，没有其他网卡。none模式可以在容器创建时通过–network=none来指定。这种类型的网络没有办法联网，封闭的网络能很好的保证容器的安全性

5.4、单机没网，安全性很高，可以安全的储存数据，不会被攻击

6、bridge模式

6.1、此模式会为每一个容器分配、设置IP等，并将容器连接到一个docker0虚拟网桥，通过docker0网桥以及iptables nat表配置与宿主之间的关联

6.2、当Docker进程启动时，会在主机上创建一个名为docker0的虚拟网桥，此主机上启动的Docker容器会连接到这个虚拟网桥上。虚拟网桥的工作方式和物理交换机类似，这样主机上的所有容器就通过交换机连在了一个二层网络中

6.3、从docker0子网中分配一个IP给容器使用，并设置docker0的IP地址为容器的默认网关。在主机上创建一对虚拟网卡veth pair设备，Docker将veth pair设备的一端放在新创建的容器中，并命名为eth0（容器的网卡），另一端放在主机中，以vethxxx这样类似的名字命名，并将这个网络设备加入到docker0网桥中。可以通过brctl show命令查看

6.4、bridge模式是docker的默认网络模式，不写–net参数，就是bridge模式。使用docker run -p时，docker实际是在iptables做了DNAT规则，实现端口转发功能。可以使用iptables -t nat -vnL查看

三、数据卷

宿主机和容器是两个不同的名称空间，如果想进行连接需要用ssh，exec和attch也类似于ssh这种方式登录，在企业中ssh这种登陆方式会比较危险，安全漏洞很大，尽量减少ssh这种，杜绝了频繁使用exec，因此使用数据卷的方式把容器内部的文件目录挂载到宿主机指定目录下进行修改，当容器里的文件频繁需要修改时不需要登陆进去，直接使用数据卷方式在宿主机指定的目录下进行修改即可。方便又安全。

原理：将容器内部的配置文件目录，挂载到宿主机指定目录下。

1、特性
1.1、数据卷可以在容器之间共享和重用
1.2、对数据卷的修改会立马生效
1.3、对数据卷的更新，不会影响到镜像
1.4、数据卷默认，会一直存在，即使容器删除

2、作用①修改配置文件例如：nginx