Ubuntu容器网络策略详解（从零开始配置Docker网络与安全规则）

一、为什么需要容器网络策略？

默认情况下，Docker 容器可以自由访问外部网络，同时外部也可以通过端口映射访问容器。这种“开放”模式在开发阶段很方便，但在生产环境中却存在安全隐患。通过配置容器网络安全策略，我们可以：

• 限制容器只能访问特定 IP 或端口
• 阻止外部对敏感服务的非法访问
• 隔离不同业务的容器网络
• 配合 Ubuntu防火墙设置实现更精细的控制

二、准备工作：安装 Docker 并运行测试容器

首先确保你的 Ubuntu 系统已安装 Docker。若未安装，请执行以下命令：

sudo apt updatesudo apt install -y docker.iosudo systemctl start dockersudo systemctl enable docker

接着，启动一个简单的 Nginx 容器用于测试：

sudo docker run -d --name web-test -p 8080:80 nginx

此时，你可以在浏览器中访问 http://你的服务器IP:8080 查看 Nginx 欢迎页。

三、使用 UFW 配置 Ubuntu 防火墙限制容器访问

Ubuntu 默认使用 UFW（Uncomplicated Firewall）作为防火墙工具。虽然 Docker 会绕过 UFW 直接操作 iptables，但我们仍可通过一些技巧实现控制。

首先启用 UFW 并设置默认策略：

sudo ufw default deny incomingsudo ufw default allow outgoingsudo ufw allow sshsudo ufw enable

但你会发现，即使启用了 UFW，外部仍能访问 8080 端口。这是因为 Docker 在 iptables 的 FORWARD 链中添加了规则。为解决此问题，我们需要修改 Docker 的行为。

四、强制 Docker 遵守 UFW 规则

编辑或创建 Docker 配置文件：

sudo nano /etc/docker/daemon.json

添加以下内容以禁用 Docker 自动修改 iptables：

{  "iptables": false}

保存后重启 Docker 服务：

sudo systemctl restart docker

现在，重新运行容器（注意：需手动配置端口转发）：

# 先删除旧容器sudo docker rm -f web-test# 手动添加 iptables 规则（仅允许本地访问）sudo iptables -t nat -A DOCKER -p tcp --dport 8080 -j DNAT --to-destination 172.17.0.2:80# 或者通过 UFW 控制（推荐）sudo ufw allow from 192.168.1.0/24 to any port 8080

这样，只有来自 192.168.1.0/24 网段的设备才能访问 8080 端口，实现了基本的Docker网络配置安全策略。

五、进阶：使用 Cilium 或 Calico 实现 Kubernetes 级网络策略

如果你使用的是 Kubernetes，建议采用 Cilium 或 Calico 等 CNI 插件来定义更精细的网络策略。例如，Cilium 支持基于 eBPF 的高性能策略控制，可实现服务间通信的白名单机制。

但对于大多数单机 Docker 用户来说，结合 UFW 和 iptables 已足够满足基本的Ubuntu容器网络策略需求。

六、总结

通过本文，你已经学会了如何在 Ubuntu 上配置容器网络策略，包括：

• 理解容器网络的安全风险
• 使用 UFW 设置基础防火墙规则
• 修改 Docker 配置使其尊重系统防火墙
• 通过 iptables 或 UFW 限制容器端口访问

掌握这些技能后，你不仅能提升系统的安全性，还能更好地应对生产环境中的网络隔离需求。记住，安全不是一次性的配置，而是持续的过程。定期审查你的容器网络安全策略，才能防患于未然。