🌐 orbstack网络模型：如何将 Linux 网络服务端口映射到 macOS

OrbStack Machine 网络模型完全解析

关于 OrbStack Machine 网络模型 的完整系统化整理，涵盖 架构、域名、服务暴露、跨环境通信、性能、安全与底层逻辑，便于你全面掌握 OrbStack 的网络能力。

🌐 一、OrbStack 网络核心架构

✅ 底层逻辑
OrbStack 使用 自研虚拟网络栈（非传统 NAT/桥接），特点：

特性 说明

无缝集成 macOS 自动继承系统代理、VPN、DNS、证书信任
高性能 Mac ↔ VM：45 Gbps；VM ↔ VM：115 Gbps（M1）
零配置 DNS 自动解析 .orb.local、.orb.internal 等特殊域名
安全默认 不允许 VM 直连 macOS 的 localhost（防意外）

🔑 设计哲学：
“让开发者忘记虚拟机的存在，网络就像在同一台机器上。”

🏷️ 二、域名与主机名体系（Zero-Config DNS）

域名 解析目标 作用范围 用途

machine-name.orb.local VM 的虚拟 IP（如 198.19.249.204） 仅 macOS 本机 从 Mac 访问 VM 服务
host.orb.internal macOS 的 127.0.0.1 仅 VM 内部 从 VM 连 macOS 服务（如数据库）
docker.orb.internal macOS 上 Docker 容器的映射端口 仅 VM 内部 从 VM 访问 macOS 启动的容器
localhost 本地回环 各自系统内 ❌ VM 不能用它连 macOS （文档明确禁止）

✅ 所有域名由 OrbStack 自动注入 DNS 解析链，无需修改 /etc/hosts。

🚪 三、服务暴露机制（关键！）

核心规则：
只有当服务监听

0.0.0.0

或

::

时，OrbStack 才会自动将该端口透传到 macOS 的相同端口。

服务监听地址 macOS 可访问？ 局域网可访问？ 原理

127.0.0.1:8000 ❌ ❌ 仅 VM 内部 loopback
198.19.x.x:8000 ✅（通过 IP 或 .orb.local） ❌ VM 虚拟 IP，macOS 可路由
0.0.0.0:8000 ✅（localhost:8000） ✅（:8000） OrbStack 自动透传到 macOS

📌 “监听 0.0.0.0” 是对外暴露的唯一开关。

🔌 四、跨环境连接方式速查表

从 → 到 方法 示例

Mac → VM localhost:PORT 或 VMIP 或 vmname.orb.local

curl localhost:8000

VM → Mac host.orb.internal

mysql -h host.orb.internal -u root

VM → VM 对方 VM 的 IP 或 vmname.orb.local

curl 198.19.249.205

VM → Docker (on Mac) docker.orb.internal

curl docker.orb.internal

局域网 → VM 服务 :PORT（前提：服务监听 0.0.0.0）

http://192.168.1.100:80

⚡ 五、性能指标

场景 吞吐量 说明

Mac ↔ VM ≤ 45 Gbps 超越 Thunderbolt，接近内存带宽
VM ↔ VM ≤ 115 Gbps （M1） 同主机多 VM 通信极快
延迟 微秒级 适合高频 RPC、数据库交互
并发连接 高稳定性 支持快速开闭连接

💡 实测：

iperf3

可达 4445 Gbps。

🔒 六、企业级兼容性

1️⃣ VPN 支持
自动继承 macOS 的全量网络配置：
– 分割隧道 (Split Tunnel)
– 自定义 DNS（scutil –dns 中的 resolver）
– 企业证书、IPSec、OpenVPN、Cisco AnyConnect

2️⃣ 代理自动同步
– HTTP/HTTPS/SOCKS 代理自动生效
– 支持认证、端口、排除列表 (Bypass)
– 可通过

orb config set networkproxy

覆盖（用于测试）

3️⃣ 证书信任集成
macOS 钥匙串中“始终信任”的 SSL 证书 → VM 中自动信任。

🛡️ 七、安全与限制

限制 说明

禁止 VM → macOS 的 localhost 避免意外连接 macOS 服务（用 host.orb.internal 替代）
端口冲突 多个 VM 不能同时监听 0.0.0.0:80
防火墙 首次局域网访问可能触发 macOS 防火墙弹窗（需“允许”）
.orb.local 局域网不可用 仅本机 mDNS 解析，对外必须用 Mac IP

🧪 八、验证与调试命令

bash

ip addr show eth0

 # 查看 VM IP

curl http://localhost:8000

 # Mac → VM（需监听 0.0.0.0）

curl http://node-01.orb.local:8000

mysql -h host.orb.internal -u root

 # VM → Mac

curl http://198.19.249.205:80

 # VM → VM

iperf3 -s

(在 VM)，

iperf3 -c 198.19.249.204

(在 Mac)

📌 九、最佳实践总结

场景 推荐做法

Web 开发 服务监听 0.0.0.0 → Mac 用 localhost，手机用 Mac IP
连接 macOS 数据库 从 VM 用 host.orb.internal
多服务 微服务 VM 间用 vmname.orb.local 或 IP
安全测试 用

orb config set networkproxy

临时切换代理
避免 不要多个 VM 同时监听 0.0.0.0:80

❌ 常见误区澄清

误区 ｜ 事实

“VM 有独立局域网 IP” ❌ 198.19.x.x 是虚拟私有地址，局域网不可达
“必须配置端口映射” ❌ 只需监听 0.0.0.0，OrbStack 自动透传
“.orb.local 局域网可用” ❌ 仅本机 mDNS，对外用 Mac IP
“VPN 会断开连接” ❌ 完全兼容，无需额外设置

✅ 终极结论
OrbStack 的网络 = 以 macOS 为“网络出口”， VM 为“服务提供者”。
对外（局域网）看到的是 Mac 的 IP；
对内（Mac/VM）通过 智能域名 无缝通信；
性能、安全、兼容性全部拉满。

🌟 这是目前 macOS 上最接近“无感虚拟化”的网络模型。

💡 黄金法则：
“服务监听 0.0.0.0 → Mac IP 对外服务；
VM 连 Mac → host.orb.internal；
Mac 连 VM → localhost 或 .orb.local。”