Come funzionano le reti Docker in profondità?

Question

Accepted Answer

Docker fornisce diversi **network driver** (bridge, host, overlay, macvlan, none) per diverse esigenze di connettività, oltre a funzionalità come **reti definite dall'utente** con service discovery basato su DNS. Comprendere il networking in profondità è importante per connettere correttamente applicazioni multi-container e multi-host.

## Network driver

```text
BRIDGE (default) → a private internal network on a single host; containers communicate;
  isolated from the host except via published ports. USER-DEFINED bridges add DNS
  (containers reach each other by name) — preferred over the default bridge.
HOST → the container uses the host's network stack directly (no isolation, no port
  mapping needed) — max performance, less isolation.
OVERLAY → spans MULTIPLE hosts → containers on different machines communicate
  (for Docker Swarm / multi-host clusters).
MACVLAN → gives a container its own MAC/IP on the physical network (appears as a
  physical device).
NONE → no networking (fully isolated).
```

## Reti definite dall'utente e service discovery

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → on a user-defined network, Docker's embedded DNS resolves container NAMES
#   the "api" reaches the database at hostname "db" → automatic service discovery
```

Le reti definite dall'utente forniscono **service discovery automatico basato su DNS** (i container si raggiungono reciprocamente per nome) e un migliore isolamento rispetto al bridge predefinito — l'approccio consigliato per app multi-container.

## Isolamento e segmentazione della rete

```text
→ Containers can be placed on DIFFERENT networks to isolate them (segmentation):
  e.g. a frontend network and a backend network; only certain containers bridge both
→ Improves security (a container only reaches what it's networked with)
→ Published ports (-p) are the controlled boundary to the outside world
```

## Perché è importante

Comprendere il networking Docker in profondità è importante per **connettere correttamente e in modo sicuro applicazioni multi-container e multi-host**, quindi è una conoscenza pratica preziosa oltre le basi.

Conoscere i **network driver** e i loro scopi — **bridge** (comunicazione container su singolo host, con bridge definiti dall'utente preferiti), **host** (utilizzo diretto della rete host per le prestazioni, sacrificando l'isolamento), **overlay** (estensione su più host, essenziale per distribuzioni cluster/Swarm dove i container su macchine diverse devono comunicare), **macvlan** (assegnazione di identità di rete fisica ai container), e **none** (isolamento completo) — ti permette di scegliere il networking giusto per ogni scenario, da app single-host a cluster multi-host.

Comprendere le **reti definite dall'utente con service discovery basato su DNS** (i container si raggiungono automaticamente per nome tramite il DNS integrato di Docker) è particolarmente importante, poiché è l'approccio consigliato per applicazioni multi-container — abilitando una comunicazione pulita da servizio a servizio per nome senza gestire gli IP, e fornendo un migliore isolamento rispetto al bridge predefinito.

Conoscere l'**isolamento e la segmentazione della rete** (posizionamento dei container su reti diverse per controllare quali possono comunicare, ad esempio separando le reti frontend e backend, con porte pubblicate come confine esterno controllato) è prezioso per la **sicurezza** — limitare la raggiungibilità di un container riduce la superficie di attacco.

Poiché le applicazioni reali comportano più container che comunicano (e talvolta si estendono su più host), e poiché il networking corretto e sicuro (scelta dei driver, uso del service discovery, segmentazione delle reti) è essenziale per connetterli correttamente, comprendere il networking Docker in profondità — i driver, le reti definite dall'utente con service discovery DNS, e la segmentazione della rete per la sicurezza — è una conoscenza pratica e rilevante per costruire applicazioni containerizzate reali, importante sia per la funzionalità (connettività) che per la sicurezza (isolamento) in distribuzioni multi-container e distribuite.