容器网络概述

本主题概述了 Windows 容器的网络堆栈,并包含指向有关创建、配置和管理容器网络的其他指南的链接。

Windows Server 容器是一种轻型的操作系统虚拟化方法,用于将应用程序或服务与在同一个容器主机上运行的其他服务分离。 Windows 容器的作用类似于虚拟机。 启用后,每个容器都有单独的操作系统、进程、文件系统、注册表和 IP 地址的视图,可以连接到虚拟网络。

Windows 容器与容器主机以及该主机上运行的所有容器共享内核。 由于共享内核空间,这些容器需要相同的内核版本和配置。 容器通过进程和命名空间隔离技术来提供应用程序隔离。

重要

Windows 容器不提供恶意安全边界,且不用于隔离不受信任的代码。

使用 Windows 容器,可以部署 Hyper-V 主机,然后在其中的 VM 主机上创建一个或多个虚拟机。 在 VM 主机内,创建容器,网络访问通过虚拟机内部运行的虚拟交换机进行。 可以使用存储在存储库中的可重用映像将操作系统和服务部署到容器中。 每个容器都有一个连接到虚拟交换机的虚拟网络适配器,用于转发入站和出站流量。 可以将容器终结点附加到本地主机网络(如 NAT)、物理网络或通过 SDN 堆栈创建的覆盖虚拟网络。

若要在同一主机上的容器之间强制隔离,请为每个 Windows Server 和 Hyper-V 容器创建一个网络隔离舱。 Windows Server 容器使用主机 vNIC 连接到虚拟交换机。 Hyper-V 容器使用合成 VM NIC(不公开到实用工具 VM)连接到虚拟交换机。