如何利用Docker网络接口设置实现容器对外流量精细管控教程

Docker容器流量管控需依赖宿主机内核工具：先用docker inspect和ip link定位容器对应的veth接口，再用tc在veth上配置egress带宽限制，用iptables的physdev模块在FORWARD链实现容器级包过滤，所有规则需手动清理且不随容器销毁自动失效。

不能靠 docker run 加几个参数就搞定容器对外流量的精细管控——Docker 本身不提供原生带宽限速或包级过滤开关。真正起作用的是宿主机 Linux 内核的能力：用 tc 控制出向带宽，用 iptables 在 FORWARD 链上按 veth 接口做精准匹配。关键第一步，永远是找准那个“连着容器的虚拟网卡”。

定位容器对应的 veth 接口

每个桥接网络下的容器，在宿主机上都对应一个以 veth 开头的接口，它就是流量进出的咽喉要道：

• 查容器 IP 和 MAC：docker inspect myapp | grep -A 5 "IPAddress|MacAddress"
• 用 MAC 反查 veth 名字：ip -br link show | grep -B1 'aa:bb:cc:dd:ee:ff' | head -1 | awk '{print $1}'（把实际 MAC 替换进去）
• 确认接口状态：ip link show vethabcd12，看到 state UP 才算找对了

用 tc 限制容器出向带宽

限速只作用于 veth 的宿主机端（比如 vethabcd12），且仅对容器发往外网的流量（egress）生效，这是最稳定、最常用的路径：

• 简单限总带宽到 2 Mbps：tc qdisc add dev vethabcd12 root tbf rate 2mbit burst 32kbit latency 400ms
• 需要保底 + 弹性借用时用 HTB：tc qdisc add dev vethabcd12 root handle 1: htb default 30，再配 class 和 filter
• 修改前务必清旧规则：tc qdisc del dev vethabcd12 root
• 验证是否生效：tc qdisc show dev vethabcd12

用 iptables 实现容器粒度包过滤

所有进出容器的跨网段流量都会经过宿主机的 FORWARD 链，用 physdev 模块就能绑定到具体 veth 接口：

• 禁止该容器访问某 IP 段：iptables -I FORWARD -m physdev --physdev-in vethabcd12 -d 192.168.100.0/24 -j DROP
• 只放行 HTTP/HTTPS：iptables -I FORWARD -m physdev --physdev-in vethabcd12 -p tcp -m multiport --dports 80,443 -j ACCEPT，再加一条 -j DROP 拦其余
• 调试时记录匹配包：iptables -I FORWARD -m physdev --physdev-in vethabcd12 -p icmp -j LOG --log-prefix "ICMP_FROM_CONTAINER: "

注意事项与清理习惯

这些规则都在宿主机内核运行，不随容器销毁自动清除，也不进容器内部：

• 操作需 root 权限，普通用户加 sudo
• 重启容器后 veth 名称会变，旧规则失效，需重新定位+配置
• 批量管理建议写成脚本，把容器名 → veth → tc/iptables 串起来
• 测试完及时清理：tc qdisc del dev vethxxxx root + iptables -D FORWARD ...