Docker 容器的网络策略（Network Policy）配置？

星降

发布时间：2025-07-11 10:17:01

777人浏览过

来源于php中文网

原创

docker网络策略通过限制容器间通信提升安全性。启用需安装calico等插件并配置策略文件，策略基于标签选择器定义入站出站规则，如允许frontend访问backend但反向禁止。验证可通过容器间ping测试。docker compose需结合kubernetes或手动配置插件使用网络策略。常见问题包括策略未生效、通信阻断及策略冲突，需检查插件配置、策略宽松度及策略间一致性。

Docker 容器的网络策略（Network Policy）配置？

Docker 容器的网络策略配置，简单来说，就是控制哪些容器可以互相通信，哪些不能。这就像给你的 Docker 应用加上了一层防火墙，避免不必要的网络暴露和潜在的安全风险。

网络策略（Network Policy）的核心作用是定义容器间的网络访问规则。默认情况下，Docker 容器之间是可以自由通信的，这在很多场景下是没问题的。但当你的应用变得复杂，需要更精细的访问控制时，网络策略就派上用场了。

容器编排工具如 Kubernetes 提供了更强大的网络策略支持，但 Docker 本身也支持基本的网络策略，主要依赖于 Docker Engine 的网络驱动和第三方插件。

如何启用 Docker 网络策略？

首先，你需要确保你的 Docker Engine 启用了网络策略支持。这通常涉及到安装和配置一个网络插件，比如 Calico、Weave Net 或者 Cilium。这些插件提供了实现网络策略所需的功能。

安装完插件后，你需要定义网络策略。策略通常以 YAML 或 JSON 格式编写，描述了哪些容器可以访问哪些其他容器。策略基于标签（Labels）选择器，你可以通过标签来标识容器，并定义策略作用于哪些标签的容器。

举个例子，假设你有两个服务：frontend 和 backend。你希望 frontend 可以访问 backend，但 backend 不能主动访问 frontend。你可以这样定义网络策略（以 Calico 为例）：

apiVersion: projectcalico.org/v3
kind: NetworkPolicy
metadata:
  name: frontend-to-backend
spec:
  selector: app == 'frontend' # 选择器，选择具有 app=frontend 标签的容器
  ingress:
  - action: Allow
    source:
      selector: app == 'backend' # 允许来自 app=backend 标签的容器的访问
  egress:
  - action: Allow
    destination:
      selector: app == 'backend' # 允许访问具有 app=backend 标签的容器
  types:
  - Ingress
  - Egress

这个策略定义了：

DeepL

DeepL是一款强大的在线AI翻译工具，可以翻译31种不同语言的文本，并可以处理PDF、Word、PowerPoint等文档文件

下载

选择所有具有 app=frontend 标签的容器。
允许来自具有 app=backend 标签的容器的入站流量（ingress）。
允许到具有 app=backend 标签的容器的出站流量（egress）。

然后，使用 Calico 的命令行工具 calicoctl 应用这个策略：

calicoctl apply -f frontend-to-backend.yaml

网络策略生效后，如何验证？

验证网络策略是否生效，最简单的方法就是使用 docker exec 命令进入一个容器，然后尝试访问另一个容器。如果策略配置正确，你应该能够看到预期的访问行为：frontend 可以访问 backend，反之则不行。

例如，进入 frontend 容器，尝试 ping backend 容器的 IP 地址，应该可以成功。然后，进入 backend 容器，尝试 ping frontend 容器的 IP 地址，应该失败。

Docker Compose 如何与网络策略配合？

Docker Compose 本身不直接支持网络策略。你需要使用第三方插件，或者将其与 Kubernetes 等容器编排工具集成。

一种方法是使用 Compose 来定义你的应用服务，然后将这些服务部署到 Kubernetes 集群中，利用 Kubernetes 的网络策略功能。

另一种方法是使用 Compose 构建镜像，然后使用 Docker Engine 的网络插件手动配置网络策略。但这需要更多手动操作，不如 Kubernetes 方便。

网络策略的常见问题及解决办法？

策略未生效： 检查网络插件是否正确安装和配置，策略文件是否正确应用。可以使用插件提供的工具来检查策略状态。
容器无法通信： 检查策略是否过于严格，阻止了必要的网络访问。可以逐步放宽策略，直到找到问题所在。
策略冲突： 当多个策略作用于同一个容器时，可能会发生冲突。仔细审查策略，确保它们不会互相矛盾。

网络策略是一个强大的工具，可以提高 Docker 应用的安全性。但配置和管理网络策略需要一定的经验和知识。选择合适的网络插件，并仔细设计策略，才能充分发挥网络策略的作用。

Docker 容器的安全加固措施（AppArmor/SELinux）？

生产环境中 Docker 容器的健康检查如何配置？

Docker 镜像层过多导致体积膨胀怎么优化？

Kubernetes 与 Docker Swarm 在生产环境中的优劣对比？

Docker Compose 多服务依赖启动顺序如何控制？

相关专题

json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章，帮助大家解决问题。

411

2023.08.07

json是什么

JSON是一种轻量级的数据交换格式，具有简洁、易读、跨平台和语言的特点，JSON数据是通过键值对的方式进行组织，其中键是字符串，值可以是字符串、数值、布尔值、数组、对象或者null，在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容，供大家免费下载体验。

532

2023.08.23

jquery怎么操作json

操作的方法有：1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”；3、“$.each(obj, callback)”；4、“$.ajax()”。更多jquery怎么操作json的详细内容，可以访问本专题下面的文章。

309

2023.10.13

go语言处理json数据方法

本专题整合了go语言中处理json数据方法，阅读专题下面的文章了解更多详细内容。

2025.09.10

k8s和docker区别

k8s和docker区别有抽象层次不同、管理范围不同、功能不同、应用程序生命周期管理不同、缩放能力不同、高可用性等等区别。本专题为大家提供k8s和docker区别相关的各种文章、以及下载和课程。

249

2023.07.24

docker进入容器的方法有哪些

docker进入容器的方法：1. Docker exec；2. Docker attach；3. Docker run --interactive --tty；4. Docker ps -a；5. 使用 Docker Compose。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

494

2024.04.08

docker容器无法访问外部网络怎么办

docker 容器无法访问外部网络的原因和解决方法：配置 nat 端口映射以将容器端口映射到主机端口。根据主机兼容性选择正确的网络驱动（如 host 或 overlay）。允许容器端口通过主机的防火墙。配置容器的正确 dns 服务器。选择正确的容器网络模式。排除主机网络问题，如防火墙或连接问题。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

398

2024.04.08