Comment fonctionnent les réseaux Docker en profondeur ?

Question

Accepted Answer

Docker fournit plusieurs **pilotes réseau** (bridge, host, overlay, macvlan, none) pour différents besoins de connectivité, ainsi que des fonctionnalités comme les **réseaux définis par l'utilisateur** avec découverte de services basée sur DNS. Comprendre la mise en réseau en profondeur est important pour connecter correctement les applications multi-conteneurs et multi-hôtes.

## Pilotes réseau

```text
BRIDGE (default) → a private internal network on a single host; containers communicate;
  isolated from the host except via published ports. USER-DEFINED bridges add DNS
  (containers reach each other by name) — preferred over the default bridge.
HOST → the container uses the host's network stack directly (no isolation, no port
  mapping needed) — max performance, less isolation.
OVERLAY → spans MULTIPLE hosts → containers on different machines communicate
  (for Docker Swarm / multi-host clusters).
MACVLAN → gives a container its own MAC/IP on the physical network (appears as a
  physical device).
NONE → no networking (fully isolated).
```

## Réseaux définis par l'utilisateur et découverte de services

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → on a user-defined network, Docker's embedded DNS resolves container NAMES
#   the "api" reaches the database at hostname "db" → automatic service discovery
```

Les réseaux définis par l'utilisateur fournissent une **découverte automatique de services basée sur DNS** (les conteneurs se joignent les uns les autres par nom) et une meilleure isolation que le bridge par défaut — l'approche recommandée pour les applications multi-conteneurs.

## Isolation réseau et segmentation

```text
→ Containers can be placed on DIFFERENT networks to isolate them (segmentation):
  e.g. a frontend network and a backend network; only certain containers bridge both
→ Improves security (a container only reaches what it's networked with)
→ Published ports (-p) are the controlled boundary to the outside world
```

## Pourquoi c'est important

Comprendre la mise en réseau Docker en profondeur est important pour **connecter correctement et de manière sécurisée les applications multi-conteneurs et multi-hôtes**, c'est pourquoi c'est une connaissance pratique précieuse au-delà des bases.

Connaître les **pilotes réseau** et leurs objectifs — **bridge** (communication entre conteneurs sur un seul hôte, les bridges définis par l'utilisateur étant préférés), **host** (utilisant directement le réseau de l'hôte pour la performance, sacrifiant l'isolation), **overlay** (s'étendant sur plusieurs hôtes, essentiel pour les déploiements en cluster/Swarm où les conteneurs sur différentes machines doivent communiquer), **macvlan** (donnant aux conteneurs des identités de réseau physique), et **none** (isolation complète) — vous permet de choisir la mise en réseau appropriée pour chaque scénario, des applications sur un seul hôte aux clusters multi-hôtes.

Comprendre les **réseaux définis par l'utilisateur avec découverte de services basée sur DNS** (les conteneurs se joignant automatiquement les uns les autres par nom via le DNS intégré de Docker) est particulièrement important, car c'est l'approche recommandée pour les applications multi-conteneurs — permettant une communication service-à-service propre par nom sans gestion des adresses IP, et fournissant une meilleure isolation que le bridge par défaut.

Connaître l'**isolation réseau et la segmentation** (placer les conteneurs sur des réseaux différents pour contrôler ce qui peut communiquer, par exemple séparer les réseaux frontend et backend, avec les ports publiés comme frontière externe contrôlée) est précieux pour la **sécurité** — limiter la réachabilité d'un conteneur réduit la surface d'attaque.

Puisque les applications réelles impliquent plusieurs conteneurs communicants (et s'étendent parfois sur plusieurs hôtes), et puisque la mise en réseau correcte et sécurisée (choisir les pilotes, utiliser la découverte de services, segmenter les réseaux) est essentielle pour les connecter correctement, comprendre la mise en réseau Docker en profondeur — les pilotes, les réseaux définis par l'utilisateur avec découverte de services DNS, et la segmentation réseau pour la sécurité — est une connaissance précieuse et pratiquement pertinente pour construire des applications containérisées réelles, importante pour la fonctionnalité (connectivité) et la sécurité (isolation) dans les déploiements multi-conteneurs et distribués.