编辑“︁Docker网络安全”︁

= Docker网络安全 =

Docker网络安全是指在使用Docker容器时，保护容器之间以及容器与外部网络之间的通信安全的一系列措施和实践。Docker提供了多种网络驱动和配置选项，允许用户控制容器如何相互通信以及如何与外部世界交互。理解Docker网络安全对于构建安全、可靠的容器化应用至关重要。

== 概述 ==
Docker网络安全的核心目标是确保容器之间的通信是受控的、隔离的，并且不会被未授权的实体访问。Docker默认提供了几种网络模式（如`bridge`、`host`、`none`等），每种模式有不同的安全特性。此外，用户可以通过配置防火墙规则、加密通信、使用网络策略等方式增强安全性。

=== Docker网络模式 ===
Docker支持以下主要网络模式：
* '''bridge'''：默认模式，容器通过虚拟网桥连接到宿主机网络。
* '''host'''：容器直接使用宿主机的网络栈，没有隔离。
* '''none'''：容器没有网络接口，完全隔离。
* '''overlay'''：用于跨多个Docker主机的容器通信（如Swarm集群）。
* '''macvlan'''：为容器分配MAC地址，使其在物理网络中表现为独立设备。

== 常见安全问题与解决方案 ==

=== 1. 容器间通信的安全 ===
默认情况下，同一Docker网络中的容器可以自由通信。这可能带来安全隐患，尤其是在多租户环境中。

'''解决方案：'''
* 使用`--icc=false`禁用容器间通信（Inter-Container Communication）。
* 通过自定义网络和防火墙规则限制通信。

<syntaxhighlight lang="bash">
# 创建自定义网络
docker network create --driver bridge secure_network

# 运行容器并附加到自定义网络
docker run -d --name container1 --network secure_network nginx
docker run -d --name container2 --network secure_network nginx
</syntaxhighlight>

=== 2. 暴露端口的风险 ===
容器通过`-p`参数暴露端口时，可能会意外暴露敏感服务。

'''解决方案：'''
* 仅暴露必要的端口。
* 使用`--publish`限制访问来源（如`-p 127.0.0.1:8080:80`仅允许本地访问）。

<syntaxhighlight lang="bash">
# 仅允许本地访问容器的80端口
docker run -d -p 127.0.0.1:8080:80 nginx
</syntaxhighlight>

=== 3. 网络隔离不足 ===
默认的`bridge`网络可能无法提供足够的隔离。

'''解决方案：'''
* 使用用户自定义网络（User-Defined Networks）。
* 为不同应用或租户创建独立的网络。

<mermaid>
graph LR
    subgraph Network A
        A1[Container 1]
        A2[Container 2]
    end
    subgraph Network B
        B1[Container 3]
        B2[Container 4]
    end
    A1 --> A2
    B1 --> B2
    A1 -.-> B1
    style A1 stroke:#f00,stroke-width:2px
    style B1 stroke:#f00,stroke-width:2px
    linkStyle 2 stroke:#f00,stroke-width:2px
</mermaid>

=== 4. 数据加密 ===
容器间通信可能以明文形式传输数据。

'''解决方案：'''
* 使用TLS加密通信（如配置HTTPS）。
* 在Swarm模式下启用自动TLS。

<syntaxhighlight lang="bash">
# 在Swarm集群中启用TLS
docker swarm init --advertise-addr <MANAGER_IP>
</syntaxhighlight>

== 实际案例 ==

=== 案例1：保护数据库容器 ===
假设有一个PostgreSQL容器，需要限制访问来源。

<syntaxhighlight lang="bash">
# 创建专用网络
docker network create db_network

# 运行PostgreSQL容器，仅允许特定容器访问
docker run -d --name postgres \
    --network db_network \
    -e POSTGRES_PASSWORD=secret \
    postgres

# 运行应用容器，连接到同一网络
docker run -d --name webapp \
    --network db_network \
    -e DB_HOST=postgres \
    my-webapp
</syntaxhighlight>

=== 案例2：多租户环境隔离 ===
在共享主机上为不同客户运行容器，需要网络隔离。

<syntaxhighlight lang="bash">
# 为客户A创建网络
docker network create client_a_network

# 为客户B创建网络
docker network create client_b_network

# 运行客户A的容器
docker run -d --name client_a_app --network client_a_network nginx

# 运行客户B的容器
docker run -d --name client_b_app --network client_b_network nginx
</syntaxhighlight>

== 高级主题 ==

=== 网络策略与防火墙 ===
可以使用`iptables`或`nftables`进一步限制容器网络流量。

<syntaxhighlight lang="bash">
# 阻止容器访问特定IP
iptables -A DOCKER-USER -d 8.8.8.8 -j DROP
</syntaxhighlight>

=== 安全组与云集成 ===
在AWS、Azure等云平台上，可以结合安全组（Security Groups）和Docker网络策略。

=== 监控与审计 ===
使用工具如`tcpdump`或`Wireshark`监控容器网络流量。

<syntaxhighlight lang="bash">
# 监控容器网络接口
docker run --rm --net=container:<CONTAINER_ID> nicolaka/netshoot tcpdump -i eth0
</syntaxhighlight>

== 总结 ==
Docker网络安全是容器化架构中不可忽视的部分。通过合理配置网络模式、限制通信、加密数据和使用隔离策略，可以显著提高容器环境的安全性。初学者应从基础网络模式开始，逐步学习高级安全特性，而高级用户应关注细粒度控制和集成现有安全基础设施。

{{Docker学习路径结构}}

[[Category:集成部署]]
[[Category:Docker]]
[[Category:Docker网络]]