網路和虛擬機器常見問題
目錄
如何限制容器的網際網路訪問?
Docker Desktop 沒有內建機制,但您可以使用主機上的程序級防火牆。將規則應用於 `com.docker.vpnkit` 使用者空間程序,以控制其連線位置(DNS 允許列表、資料包過濾器)以及可以使用哪些埠/協議。
對於企業環境,請考慮使用氣隙容器,它們提供容器的網路訪問控制。
我能否將防火牆規則應用於容器網路流量?
是的。Docker Desktop 使用使用者空間程序 (`com.docker.vpnkit`) 進行網路連線,該程序繼承了啟動它的使用者的約束,例如防火牆規則、VPN 設定和 HTTP 代理屬性。
適用於 Hyper-V 的 Windows 版 Docker Desktop 是否允許使用者建立其他虛擬機器?
否。`DockerDesktopVM` 名稱在服務中是硬編碼的,因此您不能使用 Docker Desktop 建立或操作其他虛擬機器。
Docker Desktop 如何透過 Hyper-V 和 WSL 2 實現網路隔離?
Docker Desktop 對 WSL 2(在 `docker-desktop` 分發版中)和 Hyper-V(在 `DockerDesktopVM` 中)使用相同的虛擬機器程序。主機/虛擬機器通訊使用 `AF_VSOCK` 管理程式套接字(共享記憶體),而不是網路交換機或介面。所有主機網路都使用 `com.docker.vpnkit.exe` 和 `com.docker.backend.exe` 程序的標準 TCP/IP 套接字執行。
有關更多資訊,請參閱Docker Desktop 網路工作原理揭秘。