Docker网络避坑指南核心：默认bridge模式下容器间通信依赖iptables转发，生产环境必改host模式或overlay网络避免NAT性能瓶颈；自定义bridge网络用docker network create -d bridge mynet --subnet=172.20.0.0/16；坑1：docker0网桥冲突，重启docker服务或指定--bridge=br0；坑2：多主机通信用swarm overlay网络，docker network create -d overlay --attachable my-overlay；实战命令：docker run -d --network mynet --ip 172.20.0.10 nginx，确保IP固定绑定。

bridge网络深度解析

docker network ls查看所有网络，默认bridge是docker0，虚拟网桥模式，容器通过veth pair一对一映射到桥上。iptables MASQUERADE实现NAT出公网，FORWARD链允许容器间转发。问题：大流量时NAT瓶颈，解决方案：macvlan直接用宿主机网卡子接口，docker network create -d macvlan -o parent=eth0 macnet。测试：docker run --rm -it --network macnet --ip 192.168.1.100 busybox ping 8.8.8.8。

overlay网络实战多主机

Swarm模式下overlay网络自动VXLAN封装跨主机通信，docker swarm init --advertise-addr 192.168.1.10，join其他节点。创建：docker network create -d overlay myoverlay。容器自动发现服务，服务模式：docker service create --network myoverlay --name web nginx。避坑：防火墙放通2377、7946、4789端口，iptables -A INPUT -p tcp --dport 2377 -j ACCEPT。

自定义网络常见坑

坑：--link已废弃，用网络共享user-defined网络；docker run --network mynet --link db:db已不支持，直接同网络下容器名解析DNS。坑：卷挂载权限，--user 1000:1000匹配容器内用户。坑：宿主机防火墙阻断，ufw disable或iptables -P FORWARD ACCEPT。监控：docker network inspect mynet查看端点、IP分配。

Docker Compose网络配置

docker-compose.yml中networks: default: external: true mynet: driver: overlay。services下networks: - mynet。up时自动创建，坑：version: '3.8'支持overlay，旧版不支持swarm。自定义subnet: networks: mynet: driver: bridge ipam: config: - subnet: 10.0.0.0/24。

性能优化与监控

避免host网络滥用，安全风险高；用none网络隔离单容器。监控工具：docker stats + netstat -i，cAdvisor可视化。坑：容器重启IP漂移，用--ip固定或静态分配。SDN集成：Calico策略网络替换默认，kubectl apply -f calico.yaml后docker network ls见calico。

FAQ

Q: Docker容器无法访问外网？
A: 检查iptables FORWARD链，iptables -L FORWARD -n | grep Docker，确保ACCEPT；或docker network inspect bridge确认gateway。

Q: 多主机容器通信失败？
A: 用overlay网络，确认swarm join成功，docker node ls；防火墙开放4789/udp VXLAN端口。

Q: 如何固定容器IP？
A: docker run --network mynet --ip 172.20.0.10 nginx，自定义网络必须指定subnet范围。

Q: bridge vs macvlan选哪个？
A: bridge NAT隔离好，macvlan性能高直接L2但需规划IP冲突。