Docker容器4种网络模式
基于docker run创建docker容器时，可使用--net选项指定容器网络模式，Docker网络模式有：
1)、None模式
不为容器配置任何网络。--network none

# docker run -it --network none busybox:latest
Unable to find image 'busybox:latest' locally
latest: Pulling from library/busybox
ee153a04d683: Pull complete 
Digest: sha256:9f1003c480699be56815db0f8146ad2e22efea85129b5b5983d0e0fb52d9ab70
Status: Downloaded newer image for busybox:latest
/ # 
/ # ifconfig
lo        Link encap:Local Loopback  
      inet addr:127.0.0.1  Mask:255.0.0.0
      UP LOOPBACK RUNNING  MTU:65536  Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0 frame:0
      TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1 
      RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
/ # 

容器内无IP地址，无法连接外网，宿主机未分配IP。
2)、Container模式
与另一正在运行的容器共享Network Namespace。--network=container:containerID
新创建的容器不会有自己的IP、网卡信息， 与指定的容器共享网络环境。容器除了网络方面，其他都是隔离的，如文件系统、进程等。
3)、Host模式
与宿主机共享Network Namespace。--network=host

# docker run -it --network host centos:latest

输入上述命令后发现没啥变化，其实已经进入容器了，因与宿主机公用网络，主机名也和宿主机一样。容器不会有网卡等信息，都使用宿主机IP和端口，如果宿主机开放啥端口，容器内也相应开放，相对而言网络安全性不够。
4)、Bridge桥接模式
Docker的NAT网络模型，是docker默认的网络模式，宿主机会自动给docker容器分配Network Namespace，独立的虚拟IP，docker容器会连接到docker0虚拟网桥上，使之能连接网络。
Docker Bridge桥接网络原型图

宿主机两个网卡：eth0、docker0。docker服务启动会自动创建一个桥接网卡docker0（172.17.0.1），同时出现一个网桥docker0（# brctl show）查看：

[root@docker-qa ~]# brctl show
bridge name     bridge id       STP enabled     interfaces
docker0     8000.024267a34c5d       no          veth008914e9
                                            veth04d070a5
                                            veth209e9cae
                                            veth226cdf5

将所有docker的虚拟网卡连接到docker0网桥上，docker容器启动会按顺序分配IP。
Docker Bridge桥接创建过程：
1) 宿主机创建一对虚拟网卡veth pair设备，veth都是成对出现，用来连接两个网络设备，进行数据传输。
2) veth pair设备一端在容器中，命名eth0，另一端在docker0网桥中， brctl show命令查看。
3) docker0分配一IP给容器，并设置docker0的IP为容器默认网关。
4) 容器与宿主机可通信了。Bridge模式下，同一网桥下的容器可互通，并容器可访问外网。
docker容器与外网能连接，主要关键性作用是Linux内核，Linux内核将容器桥接网卡信号转发到eth0，然后eth0与外网连接，其中需先在Linux系统配置项net.ipv4.ip_forward=1用来配置转发

容器访问外网
容器中的应用要连接外网，可通过-P或-p参数指定端口映射。

-P   docker随机映射： docker run -d -P --name nginxTest nginx
-p   docker指定映射：-p hostPort：containerPort
                 -p ip:hostPort：containerPort
                 -p ip::containerPort    #宿主机任意Port映射容器指定的Port
                 -p hostPort：containerPort：udp

如果宿主机开启iptables规则，端口映射完成后， 会在iptables防火墙规则中后面加入对应端口开放的规则。

#docker run -d --name dbserver test/mysql

创建一Web容器，并将它连接到dbserver容器

#docker run -p 8080:8090 --name myweb --link dbserver:db  mywebtest:latest

此时，docker在两个互联的容器建立一安全隧道，并无需映射端口到宿主机，在docker run dbserver容器时并未使用-P或-p指定端口，从而避免dbserver数据库容器端口暴露在外，增强了安全性。
--link格式为：--link name:alias，name为要连接的容器名称，alias是连接的别名。但docker的后续版本中，会取消docker run中的--link选项。
数据库容器dbserver 与 web容器互联。现在通过docker exec进入到web容器里，查看hosts文件，可发现有数据库容器dbserver解析的IP和主机名信息。且ping通link的别名。