在讨论其他网络驱动之前，我们先了解一下docker网络底层用到的技术。

linux网络基础

    docker网络底层采用Linux内核的网络栈。为了实现CNM网络驱动，dockers用到了Linux bridge、network namespace、veth pairs和iptables。

The Linux Bridge

    Linux bridge是一个2层的设备，是物理交换机在Linux内核的虚拟实现。它基于MAC地址转发网络流量。

    Linux bridge在docker网络驱动中被广泛应用，但是和docker 网络驱动中的bridge不同，后者是在Linux bridge更高一层的实现。

Network Namespaces

    network namespace 在内核中拥有一个单独的网络栈，它有自己的接口、路由和防火墙规则。

    它可用于隔离容器container。除非通过docker network做了相关配置，否则Network namespace可以确保在同一主机的两个容器间无法相互通信，即使和主机本身也无法通信。一种典型情况是CNM网络驱动为每一个container使用不同的namespace。另外，容器container也可以共享同一个network namespace，哪怕是主机network namespace的一部分

Virtual Ethernet Devices

    Veth(virtual ethernet device)是Linux网络接口，它用于连接两个network namespace。当创建docker网络时，Docker网络驱动使用veth提供namespace间的显式连接。在container被附加到一个docker网络后，veth的一端被放置入container内，另一端被附加到dockers网络。

iptables

    iptables 作为Linux内核的一部分用于本地的包过滤，类似工作于第三和第四层的防火墙。它在docker的本地网络驱动的被广泛使用。

Host Network Driver

Host网络驱动 和Linux主机的网络配置一样。 --net=host 将关闭docker网络，并且container使用主机OS的网络栈。如果使用其它网络驱动，每个container将被置于自己的network namespace以实现彼此的网络隔离。

使用host驱动，所有的container都处于同一个主机network namespace内，并且使用主机的网络接口和IP协议栈。在这种情况下，所有的container都可以在主机接口上相互通信。因为所有容器使用相同的主机接口，所有两个container不能绑定到同一个TCP端口，这有可能会导致端口争用。

host network driver

示例：

主机网络

 # ip a|grep enp2s0

2: enp2s0: mtu 1500 qdisc pfifo_fast state UP qlen 1000

inet192.168.10.9/24 brd 192.168.10.255 scope global enp2s0

两个container网络

# docker run --name=C1--net=hostbusybox ip a|grep enp2s0

2: enp2s0: mtu 1500 qdisc pfifo_fast qlen 1000

    inet 192.168.10.9/24brd 192.168.10.255 scope global enp2s0

# docker run --name=C2--net=hostbusybox ip a|grep enp2s0

2: enp2s0: mtu 1500 qdisc pfifo_fast qlen 1000

inet 192.168.10.9/24 brd 192.168.10.255 scopeglobal enp2s0

在本例中，当container使用host网络时，主机、C1和C2共用一个接口enp2s0 。

使用host驱动，dockers不再管理容器container的网络栈，比如端口映射或者路由规则。网络流量直接从容器进入主机接口，这也使得host网络成为最简单和延迟最低的网络驱动。

None network driver

1.  None网络驱动和host网络驱动相似，Dockers engine不会在容器container内部创建接口、端口映射或者路由。

2.  和host 驱动不同的是none 驱动为每一个container创建了一个独立的namespace。这保证了container网络与其它container或者主机的隔离。

3.   使用--net=none创建的container和其它容器和主机完全隔离。

4.   容器内部除了lookback接口外再也没有其它接口。

# docker run --name=C3 --net=none busybox ip a     

1: lo: mtu 65536 qdisc noqueue qlen1

    link/loopback00:00:00:00:00:00 brd 00:00:00:00:00:00

    inet 127.0.0.1/8 scopehost lo

       valid_lft foreverpreferred_lft forever

5.  使用--net=none 或者 --net=host 的容器无法连接到其它的dockers网络。