如何利用Docker网络接口设置实现容器对外流量精细管控教程

作者：袖梨 2026-06-18

Docker容器流量管控需依赖宿主机内核工具：先用docker inspect和ip link定位容器对应的veth接口，再用tc在veth上配置egress带宽限制，用iptables的physdev模块在FORWARD链实现容器级包过滤，所有规则需手动清理且不随容器销毁自动失效。

不能靠 docker run 加几个参数就搞定容器对外流量的精细管控——Docker 本身不提供原生带宽限速或包级过滤开关。真正起作用的是宿主机 Linux 内核的能力：用 tc 控制出向带宽，用 iptables 在 FORWARD 链上按 veth 接口做精准匹配。关键第一步，永远是找准那个“连着容器的虚拟网卡”。

定位容器对应的 veth 接口

每个桥接网络下的容器，在宿主机上都对应一个以 veth 开头的接口，它就是流量进出的咽喉要道：

查容器 IP 和 MAC：docker inspect myapp | grep -A 5 "IPAddress|MacAddress"
用 MAC 反查 veth 名字：ip -br link show | grep -B1 'aa:bb:cc:dd:ee:ff' | head -1 | awk '{print $1}'（把实际 MAC 替换进去）
确认接口状态：ip link show vethabcd12，看到 state UP 才算找对了

用 tc 限制容器出向带宽

限速只作用于 veth 的宿主机端（比如 vethabcd12），且仅对容器发往外网的流量（egress）生效，这是最稳定、最常用的路径：

简单限总带宽到 2 Mbps：tc qdisc add dev vethabcd12 root tbf rate 2mbit burst 32kbit latency 400ms
需要保底 + 弹性借用时用 HTB：tc qdisc add dev vethabcd12 root handle 1: htb default 30，再配 class 和 filter
修改前务必清旧规则：tc qdisc del dev vethabcd12 root
验证是否生效：tc qdisc show dev vethabcd12

用 iptables 实现容器粒度包过滤

所有进出容器的跨网段流量都会经过宿主机的 FORWARD 链，用 physdev 模块就能绑定到具体 veth 接口：

禁止该容器访问某 IP 段：iptables -I FORWARD -m physdev --physdev-in vethabcd12 -d 192.168.100.0/24 -j DROP
只放行 HTTP/HTTPS：iptables -I FORWARD -m physdev --physdev-in vethabcd12 -p tcp -m multiport --dports 80,443 -j ACCEPT，再加一条 -j DROP 拦其余
调试时记录匹配包：iptables -I FORWARD -m physdev --physdev-in vethabcd12 -p icmp -j LOG --log-prefix "ICMP_FROM_CONTAINER: "