Docker的默认网络模型 —— 桥接模式(Bridge)
当你不做任何特殊设置时,Docker会使用一种叫做“桥接模式”的网络设置。这就像是给你的容器小房子安装了一个虚拟的桥接网络。这座桥连接着容器和你的电脑(宿主机),还能与外界通信。
-
虚拟网络桥:想象一下,在你的电脑上有一座虚拟的桥(通常叫做
docker0
),所有的容器小房子都通过这座桥与电脑连接。这座桥允许容器之间、容器和电脑之间互相访问和通信。 -
私有内部IP地址:每个容器小房子都会分配到一个私有的内部IP地址。这就像是每个小房子都有自己的门牌号,但这些门牌号只在你的电脑(小区)内有效。这样,容器就可以互相访问,但它们的这些内部IP地址在外网是不可见的。
-
端口映射:如果你想让外界(比如你的朋友或者互联网上的其他人)访问你的容器小房子里的应用(比如一个网站),你需要设置一个“端口映射”。这就像是告诉小区的保安,如果有人要访问特定的服务,就通过电脑的某个门(端口)引导他们到正确的小房子里去。例如,你可以把电脑上的80端口映射到容器的一个Web服务上,这样外界就可以通过访问你电脑的80端口来浏览你容器中的网站了。
-
隔离与安全:虽然容器小房子都连接在同一座桥上,但每个容器都运行在自己的独立环境中。这就像每个小房子都有自己的锁和墙,保证了安全和隔离。但是,通过设置(比如端口映射和网络策略),你可以控制哪些容器可以互相通信以及它们如何与外界交流。
简而言之,Docker的默认网络模型创建了一个虚拟的桥接网络环境,让容器小房子们能够互相通信,同时也能安全地与外界沟通。通过端口映射等设置,你可以灵活地控制访问权限,确保只有允许的通信能够发生。