一、Docker网络核心原理：容器与iptables的“共生关系”

Docker容器的网络能力依赖于Linux内核的两大核心技术：虚拟网络设备（veth pair、网桥）和iptables规则链。以默认的bridge模式为例，其底层实现可分为以下环节：

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF是要目标网站的内部系统。（因为他是从内部系统访问的，所有可以通过它攻击外网无法访问的内部系统，也就是把目标网站当中间人）

SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容，加载指定地址的图片，文档，等等。