Docker 使用 Macvlan 网络驱动指南

Macvlan 是 Docker 提供的一种网络驱动，允许容器直接连接到物理网络，每个容器都有自己的 MAC 地址，在网络上表现为一个独立的物理设备。

Macvlan 网络特点

1. 容器直接连接到物理网络
2. 每个容器有独立的 MAC 地址
3. 容器可以获取与主机相同子网的 IP 地址
4. 高性能，接近原生网络性能

创建 Macvlan 网络

基本命令

docker network create -d macvlan \
  --subnet=192.168.1.0/24 \
  --gateway=192.168.1.1 \
  -o parent=eth0 \
  macvlan_net

参数说明

• -d macvlan: 指定使用 macvlan 驱动
• --subnet: 指定子网范围
• --gateway: 指定网关
• -o parent: 指定父接口（物理网卡）

高级配置

使用 VLAN 标记

docker network create -d macvlan \
  --subnet=192.168.1.0/24 \
  --gateway=192.168.1.1 \
  -o parent=eth0.10 \
  macvlan_vlan10

指定 IP 地址范围

docker network create -d macvlan \
  --subnet=192.168.1.0/24 \
  --ip-range=192.168.1.32/27 \
  --gateway=192.168.1.1 \
  -o parent=eth0 \
  macvlan_net_range

使用 Macvlan 网络运行容器

docker run --net=macvlan_net --ip=192.168.1.100 -itd --name=macvlan_container alpine

注意事项

1. 主机通信问题：默认情况下，主机无法直接与 Macvlan 容器通信。解决方案：

   • 创建另一个 Macvlan 接口用于主机通信
   • 使用 --aux-address 保留主机 IP

2. 网络设备限制：某些云服务商或网络设备可能限制 MAC 地址数量

3. 父接口要求：父接口必须处于混杂模式（promiscuous mode）

解决主机通信问题

方法1：创建辅助 Macvlan 接口

ip link add macvlan_host link eth0 type macvlan mode bridge
ip addr add 192.168.1.200/24 dev macvlan_host
ip link set macvlan_host up

方法2：创建网络时保留主机 IP

docker network create -d macvlan \
  --subnet=192.168.1.0/24 \
  --gateway=192.168.1.1 \
  --aux-address="host=192.168.1.2" \
  -o parent=eth0 \
  macvlan_net_host

实际应用场景

1. 需要容器直接暴露在物理网络（如监控设备）
2. 需要容器有独立 MAC 地址（如某些网络认证系统）
3. 高性能网络需求（如网络测试工具容器）

常见问题排查

1. 网络不可达：

   • 检查父接口状态
   • 验证子网和网关配置
   • 检查网络设备是否允许多 MAC 地址

2. MAC 地址冲突：

   • 确保容器 MAC 地址唯一
   • 使用 --mac-address 指定容器 MAC

3. 性能问题：

   • 检查父接口负载
   • 考虑使用 macvlan 的 passthru 模式（需要内核支持）

Macvlan 提供了强大的网络隔离和性能特性，适合需要容器直接参与物理网络通信的场景。