允许所有容器互联

在同一宿主机下，docker容器通过docker网桥进行连接，默认情况下，同一宿主机下的所有容器都可以连接。

但是容器的ip可能随着容器重启而变化，所以docker提供了link选项提供可靠连接。

docker run --link=[CONTAINER]:[ALIAS] [IMAGE] [COMMAND]

在使用这个参数时还可以为容器指定别名，以后利用别名连接容器就更可靠

例如：

docker run -it --name test1 --link=test2:web centos
// 根据centos镜像启动一个名为test1的容器并将连接到test2上的连接起一个别名web。这样在启动test1后，比如使用```ping web```就表示ping test2容器

link原理是在启动时自动添加环境变量（env命令查看）和修改了/etc/hosts文件。

拒绝所有容器间连接

docker守护进程中的默认选项：--icc默认是true，表示允许所有连接，改为false即为拒绝所有连接。

允许特定容器间连接

需要三个配置：

--icc=false
--iptables=true
--link

–iptables=true允许docker将iptables规则添加到系统中。