使用 macvlan 网络

一些应用程序，特别是传统的应用程序或监控网络流量的应用程序，期望直接连接到物理网络。在这种情况下，你可以使用 macvlan 网络驱动为每个容器的虚拟网络接口分配一个MAC地址，使其看起来像一个直接连接到物理网络的物理网络接口。在这种情况下，你需要在你的Docker主机上指定一个物理接口来用于 macvlan，以及 macvlan的子网和网关。你甚至可以用不同的物理网络接口来隔离你的 macvlan 网络。请牢记以下事项：

• 由于IP地址耗尽或 "VLAN扩散"（即在你的网络中拥有不适当的大量唯一MAC地址的情况），你的网络很容易在无意中被破坏。

• 你的网络设备需要能够处理 "混杂模式"，即一个物理接口可以被分配多个MAC地址。

• 如果你的应用程序可以使用 bridge（在单个Docker主机上）或 overlay（在多个Docker主机上通信）来工作，从长远来看，这些解决方案可能更好。

创建一个 macvlan 网络

当你创建一个 macvlan 网络时，它可以是 bridge 模式或 802.1q 中继桥接模式。

• 在桥接模式下，macvlan 流量通过宿主机上的物理设备走掉。

• 在 802.1q 中继桥接模式下，流量会通过 Docker 即时创建的 802.1q 子接口。这允许你在一个更细的层次上控制路由和过滤。

bridge 模式（桥接模式）

要创建一个 macvlan 网络，并与给定的物理网络接口进行桥接，需要在 docker network create 命令中使用 --driver macvlan 。你还需要指定父接口，也就是流量将从Docker主机上的物理接口通过。

$ docker network create -d macvlan \--subnet=172.16.86.0/24 \--gateway=172.16.86.1 \-o parent=eth0 pub_net

如果你需要在 macvlan 网络中排除IP地址，例如当一个给定的IP地址已经被其他用户使用时，使用 --aux-addresses：

$ docker network create -d macvlan \--subnet=192.168.32.0/24 \--ip-range=192.168.32.128/25 \--gateway=192.168.32.254 \--aux-address="my-router=192.168.32.129" \-o parent=eth0 macnet32

802.1q 中继桥接模式

如果你指定一个包含点号（.）的 父接口 名称，比如 eth0.50，Docker会将其解释为 eth0 的一个子接口，并自动创建该子接口。

$ docker network create -d macvlan \--subnet=192.168.50.0/24 \--gateway=192.168.50.1 \-o parent=eth0.50 macvlan50

用 ipvlan 而不是 macvlan

上面的例子用的依然是三层桥接。你可以用 ipvlan ，通过指定 -o ipvlan_mode=l2 来获得一个二层桥接。

$ docker network create -d ipvlan \--subnet=192.168.210.0/24 \--subnet=192.168.212.0/24 \--gateway=192.168.210.254 \--gateway=192.168.212.254 \-o ipvlan_mode=l2 -o parent=eth0 ipvlan210

使用IPv6

如果你已经 配置 Docker daemon 使用 IPv6，那么可以使用 IPv4/IPv6 macvlan 双栈网络。

$ docker network create -d macvlan \--subnet=192.168.216.0/24 --subnet=192.168.218.0/24 \--gateway=192.168.216.1 --gateway=192.168.218.1 \--subnet=2001:db8:abc8::/64 --gateway=2001:db8:abc8::10 \-o parent=eth0.218 \-o macvlan_mode=bridge macvlan216

下一步

• 通关 macvlan 网络教程
• 学习 容器层面看网络
• 学习 bridge 网络
• 学习 overlay 网络
• 学习 host 网络
• 学习 Macvlan 网络