Docker基础教程（147）docker网络基础之容器互联：别再“孤儿”运行容器了！Docker网络互联：让容器们愉快“串门”的终极指南

深度分析Docker网络基础之容器互联，并附完整示例

引言：从“与世隔绝”到“世界大同”

想象一下，你刚刚docker run了一个崭新的Nginx容器，它就像一个刚出生的婴儿，被安置在一个名为bridge的默认育婴房里。接着，你又运行了一个Tomcat应用容器，它们近在咫尺，却仿佛隔着一堵无形的墙，无法感知对方的存在。

“为什么我的App连不上数据库？”“另一个容器IP是多少？怎么又变了！”——这类问题犹如容器世界的“隔壁噪音”，困扰着无数开发者。

别担心，这正是Docker网络设计要解决的核心问题。今天，我们就来拆掉这堵墙，让容器们不仅能“喊一嗓子”就听到，还能通过“门牌号”（域名）直接“串门拜访”。

第一章：奠基——理解Docker的四大网络“结界”

在玩转互联之前，必须先了解Docker为容器提供的四种原生网络模式。它们决定了容器如何看待自己和外部世界。

1. bridge（桥接模式）：默认的“新手村”

• • 是什么：Docker会创建一个名为docker0的虚拟网桥，所有使用该模式的容器都会被“桥接”到其上。它类似于一个虚拟交换机，为连接的容器分配IP地址。
  • 特性：容器之间、容器与主机之间相互隔离，需要通过端口映射（-p）才能与宿主机外部通信。
  • 适用场景：绝大多数应用程序的默认选择，适合需要一定隔离但又有内部通信需求的场景。

1. host（主机模式）：撤掉“虚拟墙”

• • 是什么：容器直接使用宿主机的网络命名空间，共享其IP和端口。容器跑的服务，就像直接在宿主机上运行一样。
  • 特性：网络性能最好（无NAT损耗），但端口冲突风险高，安全性较低。
  • 适用场景：对网络性能有极致要求的场景，如高性能网络应用。

1. none（无网络模式）：终极“闭关”

• • 是什么：容器内部只有一个回环接口lo，没有任何外部网络连接。
  • 特性：绝对隔离，极度安全。
  • 适用场景：生成离线数据处理容器、进行纯粹的计算任务，或需要完全自定义网络的场景。

1. container（容器模式）：共享“网络身份”

• • 是什么：新容器不与自身创建网络栈，而是与一个已存在的指定容器共享其网络命名空间（IP、端口等）。
  • 特性：两个容器仿佛“连体婴”，网络上是同一个实体。
  • 适用场景：非常小众，例如为某个容器添加一个网络调试工具而不想改变其原有网络配置。

小结：要实现容器互联，我们主战场在bridge模式，并通过自定义网络将其能力发挥到极致。

第二章：破壁——容器互联的三大“神通”

在默认的bridge网络上，容器们虽然在同一网段，但默认并不能通过容器名互相发现。Docker提供了三种方式实现互联。

神通一：古老而直接的“遗产”——--link参数

在早期，Docker使用--link来连接两个容器。

# 先运行一个名为“mysql-container”的数据库容器
docker run -d --name mysql-container -e MYSQL_ROOT_PASSWORD=secret mysql:5.7

# 再运行一个Web容器，并链接到数据库容器
docker run -d --name web-app --link mysql-container:db -p 8080:80 my-web-app

• 原理：--link做了两件事：

1. 1. 在web-app容器的/etc/hosts文件里添加了一条记录：172.17.0.2 db。
   2. 在两个容器之间创建了一个安全隧道，并暴露了一些环境变量给web-app（如DB_PORT_3306_TCP_ADDR）。

• 缺点：官方已不推荐使用。它存在单向性、依赖启动顺序、难以管理大规模链接等问题。了解它，主要是为了读懂老项目。

神通二：现代主流的“正道”——自定义Bridge网络

这是当前官方推荐的最佳实践。它完美解决了默认bridge网络无法通过容器名发现的痛点。

创建自定义网络
自定义网络自带一个内嵌的DNS服务器，负责容器名的解析。

docker network create my-app-net

执行后，你就拥有了一个全新的、隔离的虚拟网络。

将容器连接到该网络
在运行容器时使用--network指定自定义网络。

# 将MySQL容器连接到自定义网络
docker run -d --name mysql-container \
  --network my-app-net \ # 关键参数！
  -e MYSQL_ROOT_PASSWORD=secret \
  mysql:5.7

# 将Web应用容器也连接到同一个自定义网络
docker run -d --name web-app \
  --network my-app-net \ # 关键参数！
  -p 8080:80 \
  my-web-app

• 魔法生效：现在，在web-app容器中，你直接ping mysql-container，或者用mysql-container作为主机名进行连接，一切畅通无阻！Docker的内置DNS会自动将容器名解析为其在my-app-net网络上的IP地址。

神通三：灵活应变的“后招”——连接已运行的容器

如果容器已经运行在默认网络上，如何让它加入新的朋友圈？

# 将已经在运行的“mysql-container”连接到“my-app-net”网络
docker network connect my-app-net mysql-container

# 同样，将“web-app”也连接进来
docker network connect my-app-net web-app

使用docker network disconnect可以将其从网络中移除。

第三章：实战——从零构建一个互联的WordPress博客

光说不练假把式。让我们用一个经典的WordPress + MySQL组合来演示自定义网络的强大威力。

步骤1：创建专属网络

我们为博客系统创建一个独立的网络，命名为wordpress-net。

docker network create wordpress-net

步骤2：启动MySQL数据库

docker run -d \
  --name mysql-db \
  --network wordpress-net \ # 加入专属网络
  -v mysql_data:/var/lib/mysql \ # 数据持久化
  -e MYSQL_ROOT_PASSWORD=supersecretpassword \
  -e MYSQL_DATABASE=wordpress \
  -e MYSQL_USER=wordpress \
  -e MYSQL_PASSWORD=wordpresspassword \
  mysql:5.7

步骤3：启动WordPress

注意，这里我们不需要指定MySQL的IP地址，直接使用容器名mysql-db作为数据库主机。

docker run -d \
  --name wordpress \
  --network wordpress-net \ # 加入同一个专属网络
  -p 80:80 \ # 将容器的80端口映射到宿主机的80端口
  -e WORDPRESS_DB_HOST=mysql-db:3306 \ # 关键！直接用容器名
  -e WORDPRESS_DB_USER=wordpress \
  -e WORDPRESS_DB_PASSWORD=wordpresspassword \
  -e WORDPRESS_DB_NAME=wordpress \
  wordpress:latest

步骤4：验证互联

1. 打开浏览器，访问http://你的服务器IP，你将看到WordPress的著名安装界面。这证明WordPress容器成功通过80端口对外提供服务。
2. 更重要的是，WordPress容器在安装过程中，自动通过mysql-db这个主机名找到了数据库容器并成功创建了所需的表。这一切没有用到任何IP地址！

你可以通过命令进入WordPress容器内部进行验证：

docker exec -it wordpress bash
# 进入容器后，尝试ping数据库容器
ping mysql-db
# 你会看到能成功解析并ping通

第四章：知其所以然——深度理解背后的原理

为什么自定义网络如此神奇？奥秘在于：

1. DNS解析：自定义网络有一个内置的DNS服务器。当容器尝试解析mysql-db时，请求会发往这个DNS服务器，它维护着网络内容器名称和IP的映射关系。
2. IPAM：Docker内置的IP地址管理功能会自动为自定义网络分配子网，并为每个容器分配IP，无需手动干预。
3. 隔离性：自定义网络提供了良好的隔离性。不同自定义网络中的容器默认无法通信，这比所有容器都挤在默认的bridge网络中要安全得多。

结语：让互联成为一种习惯

通过本文的深度分析和实战，你应该已经明白，让Docker容器互联不再是靠运气和硬编码IP的“玄学”，而是通过自定义网络这项强大、简单且可靠的技术。

记住最佳实践：为你的一组相关联的服务创建一个自定义网络，并让所有容器加入其中。这将为你带来服务自动发现、更好的隔离性和更整洁的架构。

从此，你的容器再也不是“孤儿”，它们可以在你精心构建的网络世界里安全、高效地愉快“串门”了！