如何修改 Docker 容器的 MTU

最后修改:2025年6月2日

by Johnson Fabowale

1. 概述

Docker 是一个将应用程序及其依赖打包为轻量级容器的平台。这些容器通过虚拟以太网接口进行通信,其 MTU(Maximum Transmission Unit,最大传输单元)值继承自底层的 Docker 网络或宿主机系统。当容器之间、容器与宿主机之间 MTU 不一致时,可能会导致丢包、连接失败或性能下降等问题。

本文将介绍几种修改 Docker 容器 MTU 的方法,包括通过 Docker 守护进程设置全局 MTU、在自定义桥接网络中配置 MTU,以及在容器运行时手动修改 MTU。

2. 理解 MTU 与 Docker 网络

MTU 是指一个数据链路层帧可以承载的最大数据量(不包括帧头和校验信息),单位为字节。默认以太网 MTU 为 1500 字节。如果网络路径中某段的 MTU 小于发送方设定的值,而发送方又设置了 DF(Don’t Fragment)标志,则数据包会被丢弃,从而导致通信失败。

Docker 容器默认使用 Linux 桥接网络,其 MTU 继承自宿主机的物理接口或 Docker 网络配置。若宿主机通过 VPN 或其他隧道技术连接外部网络,通常会使用较小的 MTU(如 1400 或 1450),此时若容器 MTU 仍为 1500,则容易出现丢包问题。

3. 修改 Docker 容器的 MTU

3.1. 通过 Docker 守护进程配置 MTU

这是最常用、最推荐的方式之一,适用于所有使用默认 bridge 网络的容器。

修改 Docker 守护进程配置文件(通常是 /etc/docker/daemon.json),添加 mtu 配置项:

{
  "mtu": 1400
}

保存后重启 Docker 服务:

$ sudo systemctl restart docker

✅ 注意:

  • 此设置仅对新创建的容器生效
  • 已存在的容器仍使用创建时的 MTU,需删除后重新创建才能生效

该方式确保所有连接到默认 bridge 网络的容器使用统一的 MTU 值,避免不一致带来的问题。

3.2. 在自定义 Docker 网络中设置 MTU

如果你希望对不同容器使用不同的 MTU 值,可以通过创建自定义桥接网络来实现。

使用 --opt 参数指定 MTU:

$ docker network create \
  --driver=bridge \
  --opt com.docker.network.driver.mtu=1400 \
  custom-net

验证容器的 MTU 设置:

$ docker run --rm --net custom-net alpine ip link show eth0
3: eth0@if7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 qdisc noqueue state UP mode DEFAULT group default

✅ 输出中 mtu 1400 表示设置成功。

3.3. 在容器运行时修改 MTU

这种方式适用于临时调试或排查问题,但不具备持久性。

启动容器时添加 --cap-add=NET_ADMIN 权限:

$ docker run -it --rm --cap-add=NET_ADMIN alpine /bin/sh

在容器内部执行命令修改 MTU:

$ ip link set dev eth0 mtu 1400

⚠️ 注意:

  • 该设置只在当前容器运行期间有效
  • 容器停止后设置丢失,不适合用于生产环境

4. 验证 MTU 设置

无论你是通过守护进程配置还是自定义网络设置了 MTU,都需要验证是否生效。

使用 ip link 命令查看容器接口的 MTU:

$ docker run --rm alpine ip link show eth0

输出示例:

3: eth0@if7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1400 ...

✅ 输出中的 mtu 1400 表示设置生效。

⚠️ 如果发现 MTU 不一致,可能是因为:

  • 容器连接的网络未正确设置
  • 宿主机的 MTU 配置冲突
  • 使用了覆盖网络(overlay)但未统一配置

建议定期检查,特别是在不同环境(如本地、云平台、VPN)中部署时。

5. 检测宿主机与容器之间的 MTU 不匹配

MTU 不匹配可能导致:

  • HTTP 请求变慢
  • TLS 握手失败
  • TCP 重传增多
  • 连接超时

你可以使用带 DF 标志的 ping 命令测试路径 MTU:

$ ping -c 4 -s 1472 -M do <目标IP>

解释:

  • -s 1472:表示 ICMP payload 为 1472 字节
  • 加上 28 字节的 IP 和 ICMP 头部,总大小为 1500 字节(默认 MTU)
  • -M do:设置 DF 标志,禁止分片

如果 ping 失败,说明路径中某段 MTU 小于 1500,可逐步减小 payload 测试最大可用 MTU。

✅ 推荐工具:

  • tcpdump:抓包分析丢包情况
  • iftop:查看实时流量
  • ethtool:查看物理网卡 MTU

6. 最佳实践总结

全局设置 MTU 保持一致性
在 Docker 守护进程配置中设置 MTU,使所有默认网络容器使用统一值,避免因 MTU 不一致导致丢包,尤其在使用 VPN 或 overlay 网络时非常关键。

使用自定义网络进行精细化控制
当你需要不同容器使用不同 MTU(如内部通信 vs 外部接口),使用自定义网络可以灵活配置,互不干扰。

避免在生产环境中使用运行时修改
虽然运行时修改方便调试,但不具备持久性,容器重启后丢失,容易造成配置混乱,不适用于生产。

定期验证 MTU 配置
使用 ip link, ping -M do, tcpdump 等工具检查 MTU 是否生效,特别是在不同部署环境(如本地、云平台、VPN)中切换时。

确保容器 MTU 与宿主机和网络基础设施匹配
容器的 MTU 不应大于宿主机物理接口的 MTU,否则容易导致丢包。在使用隧道或 overlay 网络时,应将 MTU 设置为路径中最小值,以保证通信稳定。

7. 小结

合理设置 Docker 容器的 MTU 是保障网络通信稳定性的关键。你可以根据实际需求选择以下方式:

  • ✅ 全局设置:修改 Docker 守护进程配置
  • ✅ 精细控制:使用自定义网络配置不同 MTU
  • ⚠️ 临时调试:运行时修改,仅限测试使用

合理规划和验证 MTU 配置,有助于避免因网络问题导致的性能下降或服务异常。尤其是在使用隧道、overlay 网络或跨环境部署时,更应重视 MTU 的一致性。

原始标题:How to Change a Docker Container’s MTU

« 上一篇: 如何压缩 Docker 镜像
» 下一篇: 优化 Python Docker 镜像构建:跳过不必要的包重装