Docker容器网络模型中的四种网络模式有何本质区别？自定义桥接网络与宿主机网络在性能和隔离性上如何权衡？

Docker四种网络模式的本质区别：

• bridge（默认）：容器通过虚拟网桥docker0连接，NAT隔离，需端口映射访问外部。
• host：容器共享宿主机网络栈，无隔离但性能无损（直接使用宿主机IP和端口）。
• none：无网络接口，仅本地loopback，适用于完全离线场景。
• container：复用其他容器的网络命名空间，共享IP和端口。

自定义桥接 vs 宿主机网络：

• 性能：宿主机网络无需NAT和虚拟网桥，网络吞吐提升10%-20%，延迟更低。
• 隔离性：自定义桥接提供独立IP、DNS和端口管理，隔离性更强；宿主机网络完全无隔离，端口冲突风险高。

权衡：高流量低延迟场景（如高频交易）可选宿主机网络；多容器互访需隔离时用自定义桥接，可通过--icc=false增强安全。