1. Docker Bridge网络模式初探刚接触Docker时我发现每次启动容器都会自动分配一个IP地址这些容器之间居然能直接互相访问。这背后的魔法就是Bridge网络模式——Docker的默认网络方案。想象一下docker0就像公司内部的交换机所有工位容器通过网线veth pair连接到这个交换机上自然就能互相通信了。安装Docker后执行ifconfig你会看到一个名为docker0的虚拟网桥docker0: flags4163UP,BROADCAST,RUNNING,MULTICAST mtu 1500 inet 172.17.0.1 netmask 255.255.0.0 broadcast 172.17.255.255这个172.17.0.1就是网桥的管理IP后续所有容器的默认网关都会指向它。我做过一个实验启动两个Nginx容器它们的IP分别是172.17.0.2和172.17.0.3这两个容器不需要任何额外配置就能直接互相ping通。小技巧用brctl show命令可以看到哪些虚拟网卡接入了docker0网桥这是排查容器网络问题的利器。2. 深入理解docker0工作原理2.1 veth pair容器网络的脐带每个容器启动时Docker会创建一对veth虚拟网卡就像连体婴儿的脐带一端命名为eth0ifXX放在容器内另一端命名为vethXXXXXX挂在docker0网桥上通过ip addr命令可以看到这种奇妙的对应关系。例如容器内看到50: eth0if51: BROADCAST,MULTICAST,UP mtu 1500宿主机上则对应着51: veth123456if50: BROADCAST,MULTICAST,UP mtu 1500这种成对出现的网卡使得数据能在容器和网桥间流动。实测中发现如果意外删除了宿主机的veth端容器网络会立即中断。2.2 IP分配机制Docker默认使用172.17.0.0/16网段通过以下流程分配IP检查docker0网桥的子网配置从可用地址池中选择未被占用的IP将IP绑定到容器的eth0网卡在宿主机添加对应的veth接口可以通过自定义daemon.json改变默认网段{ bip: 192.168.100.1/24 }3. 容器互联实战指南3.1 基础通信验证启动两个Tomcat容器做测试docker run -d --name t1 -p 8080:8080 tomcat docker run -d --name t2 -p 8081:8080 tomcat验证连通性的几个关键命令# 查看容器IP docker inspect -f {{range.NetworkSettings.Networks}}{{.IPAddress}}{{end}} t1 # 测试容器间通信 docker exec t1 ping 172.17.0.3 # 测试宿主机到容器 ping 172.17.0.23.2 端口映射的奥秘当使用-p 8080:80参数时Docker实际做了三件事在iptables的NAT表中添加DNAT规则创建端口监听设置流量转发策略查看具体的iptables规则iptables -t nat -L DOCKER3.3 跨容器服务发现默认bridge网络有个痛点容器重启后IP会变。解决方案是创建自定义网络docker network create mynet docker run -d --net mynet --name service1 nginx docker run -it --net mynet alpine ping service1在自定义网络中Docker会内置DNS服务支持容器名称解析。4. 常见问题排查手册4.1 网络不通的排查步骤检查容器状态docker ps确认容器正常运行验证网络配置docker inspect 容器ID查看IP地址测试基础连接docker exec -it 容器名 ping 8.8.8.8 docker exec -it 容器名 ping 宿主机IP检查iptables规则特别是FORWARD链是否被错误修改4.2 典型问题案例案例一容器无法访问外网原因宿主机未开启IP转发解决sysctl -w net.ipv4.ip_forward1案例二端口映射失败原因宿主机防火墙阻拦解决firewall-cmd --add-port8080/tcp案例三容器间突然无法通信原因docker0网桥异常解决systemctl restart docker4.3 性能优化建议对于高频通信的容器组使用自定义网络避免在bridge网络中使用大量端口映射需要低延迟的场景考虑host网络模式监控docker0的流量iftop -i docker0在微服务架构中我通常会为每个业务单元创建独立的网络既保证隔离性又维持必要的通信能力。曾经有个项目因为所有服务都用默认bridge网络导致ARP广播风暴后来通过划分多个子网解决了问题。