Docker子网冲突解决方案及配置说明
问题描述
公司现有子网为 172.19.0.0/24,某研发在使用docker的时候总是会有连不上的情况,排查发现在未配置 Docker 配置文件时,其默认创建的网络可能随机使用 172.17.0.0/16 至 172.31.0.0/16 范围内的子网,存在以下风险:
- Docker 若分配 172.19.0.0/16 子网会覆盖公司的 172.19.0.0/24 网络。
- 导致 IP 地址冲突,引发网络通信异常。
解决方案
通过配置 daemon.json 实现:
- 指定默认网桥子网docker0(bip)
- 限制其他网络的地址池范围(default-address-pools)
1. 修改daemon.json文件
{
"bip": "192.168.8.1/24",
"default-address-pools": [
{
"base": "172.10.0.0/16",
"size": 24
}
]
}2. 关键配置解释
- bip - 默认网桥子网
- 作用:控制 docker0 桥接网络的子网。
- 正确写法:
"bip": "192.168.8.1/24" // 必须指定网关 IP(而非网段)- 错误写法:
"bip": "192.168.8.0/24" // Docker 不会自动分配网关,需显式指定- default-address-pools - 其他网络地址池
- 作用:限制用户自定义网络(bridge、overlay)的子网范围。
- 参数说明:
base: 基础网段(172.10.0.0/16 表示允许分配 172.10.0.0 ~ 172.10.255.0 子网)
size: 每个子网掩码位数(24 表示每个子网为 /24 格式,例如 172.10.5.0/24)3.清理旧网络:若已有冲突网络,需先清理:
docker network prune
WARNING! This will remove all custom networks not used by at least one container.
Are you sure you want to continue? [y/N] y4. 重启 Docker 服务
systemctl restart docker5. 验证配置
- 检查默认网桥:
ip addr show docker0 | grep inet
# 输出示例:inet 192.168.8.1/24- 测试新网络子网分配:
docker network create test-1
docker network create test-2
docker network create test-3
docker network create test-4
docker network create test-5
docker network create test-6
docker network inspect `docker network ls | grep bridge | awk '{print $2}'` | grep Subnet
# 输出示例:
"Subnet": "192.168.8.0/24"
"Subnet": "172.10.0.0/24"
"Subnet": "172.10.1.0/24"
"Subnet": "172.10.2.0/24"
"Subnet": "172.10.3.0/24"
"Subnet": "172.10.4.0/24"
"Subnet": "172.10.5.0/24"注意事项
- 如果是使用docker-compose 去运行容器,建议先创建容器网络,docker-compose 文件里使用创建的容器网络
docker network create -d bridge --subnet "10.22.33.0/24" --gateway "10.22.33.1" srebro
version: '3'
services:
redis:
image: redis:7.4.1
container_name: redis
networks:
- srebro
restart: always
command: redis-server --requirepass srebro.cn --port 6379 --appendonly yes --dbfilename dump.rd --dir /data --timeout 0 --save 900 1 --save 300 10 --save 60 10000
environment:
TZ: 'Asia/Shanghai'
volumes:
- /home/application/Database/redis/data:/data
- /home/application/Database/redis/logs:/logs
- /etc/localtime:/etc/localtime:ro
ports:
- 6379:6379
healthcheck:
test: ["CMD", "redis-cli", "-h", "127.0.0.1", "-p", "6379", "-a", " srebro.cn", "ping"]
interval: 30s
retries: 3
start_period: 30s
timeout: 10s
networks:
srebro:
external: true总结
通过强制指定 bip 和 default-address-pools,Docker 的子网分配将严格限制在以下范围:
- 默认网桥:192.168.8.0/24
- 其他网络:172.10.0.0/24, 172.10.1.0/24, ... , 172.10.255.0/24
彻底避免与公司子网 172.19.0.0/24 的冲突。