¿Cómo funcionan en profundidad las redes de Docker?

Question

Accepted Answer

Docker proporciona varios **controladores de red** (bridge, host, overlay, macvlan, none) para diferentes necesidades de conectividad, además de características como **redes definidas por el usuario** con descubrimiento de servicios basado en DNS. Entender las redes en profundidad es importante para conectar correctamente aplicaciones multi-contenedor y multi-host.

## Controladores de red

```text
BRIDGE (default) → a private internal network on a single host; containers communicate;
  isolated from the host except via published ports. USER-DEFINED bridges add DNS
  (containers reach each other by name) — preferred over the default bridge.
HOST → the container uses the host's network stack directly (no isolation, no port
  mapping needed) — max performance, less isolation.
OVERLAY → spans MULTIPLE hosts → containers on different machines communicate
  (for Docker Swarm / multi-host clusters).
MACVLAN → gives a container its own MAC/IP on the physical network (appears as a
  physical device).
NONE → no networking (fully isolated).
```

## Redes definidas por el usuario y descubrimiento de servicios

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → on a user-defined network, Docker's embedded DNS resolves container NAMES
#   the "api" reaches the database at hostname "db" → automatic service discovery
```

Las redes definidas por el usuario proporcionan **descubrimiento automático de servicios basado en DNS** (los contenedores se alcanzan entre sí por nombre) y mejor aislamiento que el puente predeterminado — el enfoque recomendado para aplicaciones multi-contenedor.

## Aislamiento y segmentación de red

```text
→ Containers can be placed on DIFFERENT networks to isolate them (segmentation):
  e.g. a frontend network and a backend network; only certain containers bridge both
→ Improves security (a container only reaches what it's networked with)
→ Published ports (-p) are the controlled boundary to the outside world
```

## Por qué es importante

Entender las redes de Docker en profundidad es importante para **conectar aplicaciones multi-contenedor y multi-host de manera correcta y segura**, por lo que es un conocimiento práctico valioso más allá de lo básico.

Conocer los **controladores de red** y sus propósitos — **bridge** (comunicación de contenedores en un solo host, siendo preferibles los puentes definidos por el usuario), **host** (usando la red del host directamente para rendimiento, sacrificando aislamiento), **overlay** (abarcando múltiples hosts, esencial para implementaciones en clúster/Swarm donde contenedores en máquinas diferentes deben comunicarse), **macvlan** (dando a los contenedores identidades de red física), y **none** (aislamiento completo) — te permite elegir la red adecuada para cada escenario, desde aplicaciones de un solo host hasta clústeres multi-host.

Entender **redes definidas por el usuario con descubrimiento de servicios basado en DNS** (contenedores alcanzándose automáticamente entre sí por nombre a través del DNS integrado de Docker) es particularmente importante, ya que es el enfoque recomendado para aplicaciones multi-contenedor — habilitando comunicación limpia de servicio a servicio por nombre sin gestionar IPs, y proporcionando mejor aislamiento que el puente predeterminado.

Conocer sobre **aislamiento y segmentación de red** (colocando contenedores en diferentes redes para controlar qué puede comunicarse, p. ej. separando redes frontend y backend, con puertos publicados como límite externo controlado) es valioso para **seguridad** — limitar la accesibilidad de un contenedor reduce la superficie de ataque.

Ya que las aplicaciones reales involucran múltiples contenedores que se comunican (y a veces se extienden por múltiples hosts), y ya que la red correcta y segura (elegir controladores, usar descubrimiento de servicios, segmentar redes) es esencial para conectarlos adecuadamente, entender las redes de Docker en profundidad — los controladores, redes definidas por el usuario con descubrimiento de servicios DNS, y segmentación de red para seguridad — es un conocimiento valioso y prácticamente relevante para construir aplicaciones containerizadas reales, importante tanto para funcionalidad (conectividad) como para seguridad (aislamiento) en implementaciones multi-contenedor y distribuidas.