一、Docker网络的基本原理

1. 网络命名空间（Network Namespace）

• Docker为每个容器创建独立的网络命名空间，相当于一个独立的网络栈（有自己的IP、端口、路由表等）。
• 容器内部的端口（如MySQL的3306）仅在该容器的网络命名空间内可见。

2. 容器间通信机制

• 当多个容器连接到同一Docker网络时，它们处于同一个二层网络中，可以通过IP或容器名直接通信。
• Docker内置DNS服务器（默认127.0.0.11）会将容器名解析为对应的内部IP地址。

二、端口映射的本质作用

1. 端口映射的目的

• 端口映射（-p 主机端口:容器端口）的唯一作用是让容器外部（如宿主机或其他网络）能访问容器内的服务。
• 容器内部之间的通信不需要端口映射，因为它们共享同一个网络命名空间。

2. 示例说明

• 假设MySQL容器内部端口为3306，通过-p 3307:3306映射到宿主机：
  • 容器外部访问：需通过宿主机IP:3307（流量路径：宿主机3307 → Docker守护进程 → 容器3306）。
  • 同一网络的容器访问：直接通过容器名:3306（如mysql:3306），流量不经过宿主机。

三、容器间通信的流程

1. 网络数据包路径

• 当Seata容器访问MySQL容器时：

  Seata容器 → Docker网络 → MySQL容器
  

• 整个过程在Docker网络内部完成，无需经过宿主机的网络栈。

2. 容器名解析

• Docker会为每个容器创建DNS记录，例如：

  # 在Seata容器内执行
  nslookup mysql
  # 返回MySQL容器的内部IP（如172.18.0.2）
  

• 应用程序通过容器名（如jdbc:mysql://mysql:3306）访问时，会自动解析为内部IP。

四、验证方法

1. 网络连通性测试

# 进入Seata容器
docker exec -it <seata-container> sh

# 测试ping（验证网络可达性）
ping mysql

# 测试端口连通性
nc -vz mysql 3306

2. 查看容器网络配置

# 查看容器IP
docker inspect <mysql-container> | grep IPAddress

# 查看容器连接的网络
docker inspect <seata-container> | grep NetworkMode

五、与主机端口映射的对比

六、总结

Docker设计允许同一网络下的容器通过内部端口直接通信，这是其网络模型的核心优势之一：

1. 隔离性：容器间通过网络命名空间隔离，无需暴露内部端口到宿主机。
2. 高效性：容器间通信不经过宿主机网络栈，减少了网络转发开销。
3. 安全性：内部端口不暴露到外部，降低了安全风险。

因此，在容器化部署中，推荐通过Docker网络实现服务间通信，而非依赖主机端口映射。