Docker 网桥（Docker bridge network）是 Docker 默认的一种网络模式，它允许 Docker 容器之间通过一个虚拟的交换机进行通信。Docker 网桥网络为容器提供了一个隔离的网络环境，使得容器之间可以互相通信，同时也能与外部网络进行交互。

示意图

Docker 网桥的工作原理

1. 创建虚拟网桥

   • 当 Docker 守护进程启动时，它会在宿主机上创建一个名为 docker0 的虚拟网桥（也称为虚拟交换机）。这个虚拟网桥类似于一个物理交换机，用于连接容器的网络接口。
   • docker0 网桥通常具有一个私有的 IP 地址范围，如 172.17.0.0/16 或者 192.168.2.0/24，具体取决于 Docker 的配置。

2. 容器网络接口

   • 当一个新的容器启动时，Docker 会在 docker0 网桥上创建一个虚拟网络接口（veth pair），其中一端连接到网桥，另一端连接到容器的网络命名空间。
   • 容器会被分配一个从 docker0 子网中挑选出的唯一 IP 地址。

3. NAT（网络地址转换）

   • Docker 使用 NAT 技术来实现容器与外部网络的通信。当容器发送数据包到外部网络时，数据包的源 IP 地址会被转换成宿主机的 IP 地址。同样，当外部网络的数据包发送给容器时，数据包的目的 IP 地址会被转换成容器的 IP 地址。
   • 这样做可以保护容器的 IP 地址不被外界直接看到，同时也允许容器通过宿主机的 IP 地址访问外部网络。

4. 端口映射

   • 使用 -p 或 --publish 参数可以在宿主机上打开一个端口并将其映射到容器内的某个端口。例如，docker run -p 8080:80 nginx 将把容器的 80 端口映射到宿主机的 8080 端口，使得可以从外部通过宿主机的 8080 端口访问容器的 80 端口服务。

Docker 网桥的优势

• 隔离性：容器之间可以通过私有 IP 地址进行通信，而不影响宿主机上的其他网络服务。
• 易于管理：默认的 Docker 网桥网络提供了简单的网络管理方式，适合快速搭建和测试环境。
• 安全性：NAT 机制增加了额外的安全层，保护容器不受直接的外部网络攻击。

Docker 网桥的局限性

• IP 地址范围有限：默认的 IP 地址池是有限的，如果大量容器同时运行，可能会耗尽可用的 IP 地址。
• 性能瓶颈：NAT 转换可能会引入一定的延迟，尤其是在高流量场景下。

自定义网桥网络

除了默认的 bridge 网络外，用户还可以创建自定义的网桥网络。这可以通过 docker network create 命令来实现，允许更精细的网络控制，例如指定不同的子网、网关地址等。

例如，创建一个自定义网桥网络：

docker network create --driver bridge my-custom-net

然后可以将容器连接到这个自定义网络：

docker run --name my-container --net=my-custom-net -d my-image

总结来说，Docker 网桥网络提供了一个简单有效的方式来管理容器间的网络通信，同时也是 Docker 默认推荐的网络模式。然而，在某些场景下，可能需要更复杂的网络配置，这时可以考虑使用自定义网络或者其他网络插件。