Dockerネットワークはどのように機能するのか（詳細解説）

Question

Accepted Answer

Dockerは、異なる接続ニーズに対応するための複数の**ネットワークドライバー**（bridge、host、overlay、macvlan、none）を提供し、**ユーザー定義ネットワーク**とDNSベースのサービスディスカバリー機能を備えています。マルチコンテナおよびマルチホストアプリケーションを正しく接続するには、ネットワークを深く理解することが重要です。

## ネットワークドライバー

```text
BRIDGE (default) → a private internal network on a single host; containers communicate;
  isolated from the host except via published ports. USER-DEFINED bridges add DNS
  (containers reach each other by name) — preferred over the default bridge.
HOST → the container uses the host's network stack directly (no isolation, no port
  mapping needed) — max performance, less isolation.
OVERLAY → spans MULTIPLE hosts → containers on different machines communicate
  (for Docker Swarm / multi-host clusters).
MACVLAN → gives a container its own MAC/IP on the physical network (appears as a
  physical device).
NONE → no networking (fully isolated).
```

## ユーザー定義ネットワークとサービスディスカバリー

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → on a user-defined network, Docker's embedded DNS resolves container NAMES
#   the "api" reaches the database at hostname "db" → automatic service discovery
```

ユーザー定義ネットワークは、**自動的なDNSベースのサービスディスカバリー**（コンテナは名前で相互に到達可能）を提供し、デフォルトブリッジよりも優れた分離を実現します。これはマルチコンテナアプリの推奨アプローチです。

## ネットワークの分離とセグメンテーション

```text
→ Containers can be placed on DIFFERENT networks to isolate them (segmentation):
  e.g. a frontend network and a backend network; only certain containers bridge both
→ Improves security (a container only reaches what it's networked with)
→ Published ports (-p) are the controlled boundary to the outside world
```

## なぜ重要なのか

Dockerネットワークを深く理解することは、**マルチコンテナおよびマルチホストアプリケーションを正しく安全に接続する**ために重要であり、基本的な知識を超えた実践的な価値があります。

各**ネットワークドライバー**とその目的を知ることが重要です。すなわち、**bridge**（単一ホスト内のコンテナ通信で、ユーザー定義ブリッジが推奨）、**host**（パフォーマンスのためにホストネットワークを直接使用し、分離を犠牲にする）、**overlay**（複数ホストにまたがり、Swarmデプロイメントで異なるマシン上のコンテナが通信する必要があるときに必須）、**macvlan**（コンテナに物理ネットワークのアイデンティティを付与）、**none**（完全な分離）です。これらにより、単一ホストアプリからマルチホストクラスターまで、各シナリオに適したネットワーク構成を選択できます。

**DNSベースのサービスディスカバリーを備えたユーザー定義ネットワーク**（Dockerの組込DNSを通じてコンテナが自動的に名前で相互に到達可能）を理解することは特に重要です。これがマルチコンテナアプリケーションの推奨アプローチであり、IPを管理することなく名前によるサービス間通信をクリーンに実現でき、デフォルトブリッジよりも優れた分離を提供します。

**ネットワークの分離とセグメンテーション**（コンテナを異なるネットワークに配置して通信を制御する。例えばフロントエンドネットワークとバックエンドネットワークを分離し、公開ポートを制御された外部境界とする）について知ることは、**セキュリティ**のために価値があります。コンテナのリーチ可能性を制限することで、攻撃面を減らします。

実際のアプリケーションは複数の通信するコンテナを含み（時には複数ホストにまたがる）、正しく安全なネットワーク（ドライバー選択、サービスディスカバリー使用、ネットワークセグメンテーション）は正しく接続するために必須であるため、Dockerネットワークを深く理解することは重要です。すなわち、ドライバー、DNSサービスディスカバリーを備えたユーザー定義ネットワーク、セキュリティのためのネットワークセグメンテーションを理解することは、実際のコンテナ化アプリケーション構築に対して実践的に関連性のある知識であり、マルチコンテナおよび分散デプロイメントにおける機能性（接続性）とセキュリティ（分離）の両方にとって重要です。