Docker容器网络模型中的四种网络模式有何本质区别？自定义桥接网络与宿主机网络在性能和隔离性上如何权衡？

Docker四种网络模式的本质区别：

• bridge（默认桥接）：容器通过虚拟网桥（如docker0）隔离通信，需要端口映射访问宿主机外部。
• host：容器直接共享宿主机的网络命名空间，使用宿主机IP和端口，无网络隔离。
• none：不配置任何网络接口，只有本地环回地址，完全隔离。
• container：复用指定容器的网络命名空间，共享其IP和端口。

自定义桥接 vs 宿主机网络的权衡：

• 性能：宿主机网络性能最优（无NAT/网桥开销），延迟更低；自定义桥接有轻微转发损耗。
• 隔离性：自定义桥接提供独立网络栈、DNS和端口管理，隔离性强；宿主机网络零隔离，易引发端口冲突。
• 适用场景：追求极限性能且不需网络隔离时用host模式；多容器协作需安全隔离时选自定义桥接（可通过--icc=false禁用非安全互联）。