كيف تعمل شبكات Docker بعمق؟

Question

Accepted Answer

يوفر Docker عدة **برامج تشغيل شبكة** (bridge, host, overlay, macvlan, none) لاحتياجات الاتصال المختلفة، بالإضافة إلى ميزات مثل **الشبكات المعرّفة من قبل المستخدم** مع اكتشاف الخدمات القائم على DNS. يعتبر فهم الشبكات بعمق أمراً مهماً لربط تطبيقات متعددة الحاويات والمضيفين بشكل صحيح.

## برامج تشغيل الشبكة

```text
BRIDGE (default) → a private internal network on a single host; containers communicate;
  isolated from the host except via published ports. USER-DEFINED bridges add DNS
  (containers reach each other by name) — preferred over the default bridge.
HOST → the container uses the host's network stack directly (no isolation, no port
  mapping needed) — max performance, less isolation.
OVERLAY → spans MULTIPLE hosts → containers on different machines communicate
  (for Docker Swarm / multi-host clusters).
MACVLAN → gives a container its own MAC/IP on the physical network (appears as a
  physical device).
NONE → no networking (fully isolated).
```

## الشبكات المعرّفة من قبل المستخدم واكتشاف الخدمات

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → on a user-defined network, Docker's embedded DNS resolves container NAMES
#   the "api" reaches the database at hostname "db" → automatic service discovery
```

توفر الشبكات المعرّفة من قبل المستخدم **اكتشاف خدمات تلقائي قائم على DNS** (الحاويات تصل إلى بعضها البعض باستخدام الأسماء) وعزلة أفضل من جسر البيانات الافتراضي — وهي الطريقة الموصى بها لتطبيقات متعددة الحاويات.

## عزل الشبكة والتجزئة

```text
→ Containers can be placed on DIFFERENT networks to isolate them (segmentation):
  e.g. a frontend network and a backend network; only certain containers bridge both
→ Improves security (a container only reaches what it's networked with)
→ Published ports (-p) are the controlled boundary to the outside world
```

## لماذا يهمك

فهم شبكات Docker بعمق مهم لـ **ربط تطبيقات متعددة الحاويات والمضيفين بشكل صحيح وآمن**، لذلك فهي معرفة عملية قيمة تتجاوز الأساسيات.

معرفة **برامج تشغيل الشبكة** وأغراضها — **bridge** (اتصال الحاويات على مضيف واحد، مع تفضيل الجسور المعرّفة من قبل المستخدم)، **host** (استخدام شبكة المضيف مباشرة للأداء، مع التضحية بالعزل)، **overlay** (يمتد عبر عدة مضيفين، ضروري لنشر Swarm/المجموعات حيث يجب أن تتواصل الحاويات على أجهزة مختلفة)، **macvlan** (إعطاء الحاويات هويات الشبكة الفيزيائية)، و **none** (العزل الكامل) — يتيح لك اختيار الشبكة المناسبة لكل سيناريو، من التطبيقات على مضيف واحد إلى مجموعات متعددة المضيفين.

فهم **الشبكات المعرّفة من قبل المستخدم مع اكتشاف الخدمات القائم على DNS** (الحاويات تصل تلقائياً إلى بعضها البعض باستخدام الأسماء عبر نظام DNS المدمج في Docker) مهم بشكل خاص، حيث أنها الطريقة الموصى بها لتطبيقات متعددة الحاويات — مما يتيح اتصالاً نظيفاً من خدمة إلى خدمة باستخدام الأسماء دون إدارة عناوين IP، مع توفير عزل أفضل من جسر البيانات الافتراضي.

معرفة **عزل الشبكة والتجزئة** (وضع الحاويات على شبكات مختلفة للتحكم فيما يمكن أن يتواصل، على سبيل المثال فصل شبكات الواجهة الأمامية والخلفية، مع نشر المنافذ كحد خارجي محكوم) ذات قيمة لـ **الأمان** — تحديد وصول الحاوية يقلل السطح الهجومي.

بما أن التطبيقات الحقيقية تتضمن عدة حاويات متصلة (وأحياناً تمتد عبر عدة مضيفين)، وبما أن الشبكات الصحيحة والآمنة (اختيار برامج التشغيل، استخدام اكتشاف الخدمات، تجزئة الشبكات) ضرورية لربطها بشكل صحيح، فإن فهم شبكات Docker بعمق — برامج التشغيل، الشبكات المعرّفة من قبل المستخدم مع اكتشاف خدمات DNS، وتجزئة الشبكة من أجل الأمان — معرفة قيمة وعملية لبناء تطبيقات حاويات حقيقية، مهمة لكل من الوظيفة (الاتصال) والأمان (العزل) في نشرات متعددة الحاويات والموزعة.