🔥 Khi anh em bắt đầu triển khai ứng dụng đa tầng bằng Docker, networking là phần cực kỳ quan trọng – nó quyết định cách container giao tiếp với nhau và với thế giới bên ngoài. Nếu hiểu sai, hệ thống sẽ rối như tơ vò, NAT loạn xạ và policy không kiểm soát được.

🌐 Docker Bridge Networking – nền tảng căn bản

• Mặc định khi cài Docker, nó tạo một Linux bridge (docker0). Đây chính là “switch ảo” để các container kết nối.
• veth (virtual ethernet pair) được Docker dùng để nối container vào bridge này. Nó hoạt động như một sợi dây patch giữa container và switch.
• Bridge này kết hợp với iptables để làm gateway L3 và NAT ra ngoài. Ví dụ: container có IP 172.18.0.5, nhưng ra ngoài sẽ hiển thị địa chỉ host là 192.168.2.17.

👉 Điểm hay: container trên cùng bridge sẽ “thấy nhau” trực tiếp ở Layer 2, giống như các VM nằm chung trong một VLAN.
👉 Điểm an toàn: nếu hai container trên khác host mà vô tình cùng IP, cũng không lo conflict – vì chúng bị che giấu sau lớp NAT.

---

🧩 Docker Custom Bridges – VLAN trong thế giới container

• Docker cho phép tạo bridge riêng để tách biệt container, tương tự như VLAN trong mạng LAN.
• Khi tạo một custom bridge, các container kết nối vào nó sẽ cùng subnet, cùng L2 domain và chỉ nói chuyện với nhau, không ảnh hưởng đến các container trên bridge khác.
• Điều này cực kỳ hữu ích khi triển khai multi-tier apps: ví dụ tách frontend và backend trên hai custom bridge khác nhau, chỉ cho phép truy cập qua một policy enforcement point (tường lửa hoặc reverse proxy).

Lệnh tạo custom bridge rất đơn giản:
docker network create -d bridge my_custom_bridge

---

💡 Bài học thực chiến cho DevOps/Automation Engineer

• Bridge mặc định (docker0) phù hợp cho lab, PoC nhỏ.
• Khi triển khai production, nên tạo custom bridge để mô phỏng segmentation giống VLAN → dễ kiểm soát và bảo mật.
• Hãy nhớ: mỗi bridge là một broadcast domain riêng.

​