Docker 네트워크는 심층적으로 어떻게 작동합니까?

Question

Accepted Answer

Docker는 다양한 연결 요구를 위한 여러 **네트워크 드라이버**(bridge, host, overlay, macvlan, none)와 DNS 기반 서비스 디스커버리를 갖춘 **사용자 정의 네트워크** 같은 기능을 제공합니다. 네트워킹을 심층적으로 이해하는 것은 멀티 컨테이너 및 멀티 호스트 애플리케이션을 올바르게 연결하는 데 중요합니다.

## 네트워크 드라이버

```text
BRIDGE(기본) → 단일 호스트의 사설 내부 네트워크; container가 통신;
  게시된 포트를 제외하고 호스트로부터 격리됨. 사용자 정의 bridge는 DNS를 추가
  (container가 이름으로 서로에게 도달) — 기본 bridge보다 선호됨.
HOST → container가 호스트의 네트워크 스택을 직접 사용(격리 없음, 포트
  매핑 불필요) — 최대 성능, 적은 격리.
OVERLAY → 여러 호스트에 걸침 → 다른 머신의 container가 통신
  (Docker Swarm / 멀티 호스트 클러스터용).
MACVLAN → container에 물리 네트워크상의 자체 MAC/IP를 부여(물리
  장치처럼 나타남).
NONE → 네트워킹 없음(완전히 격리됨).
```

## 사용자 정의 네트워크와 서비스 디스커버리

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → 사용자 정의 네트워크에서 Docker의 내장 DNS가 container 이름을 해석
#   "api"가 호스트명 "db"로 데이터베이스에 도달 → 자동 서비스 디스커버리
```

사용자 정의 네트워크는 **자동 DNS 기반 서비스 디스커버리**(container가 이름으로 서로에게 도달)와 기본 bridge보다 나은 격리를 제공합니다 — 멀티 컨테이너 앱에 권장되는 접근법입니다.

## 네트워크 격리와 세분화

```text
→ container를 서로 다른 네트워크에 배치하여 격리할 수 있음(세분화):
  예: 프론트엔드 네트워크와 백엔드 네트워크; 특정 container만 둘을 연결
→ 보안을 향상시킴(container는 네트워킹된 것에만 도달)
→ 게시된 포트(-p)는 외부 세계로의 통제된 경계
```

## 왜 중요한가

Docker 네트워킹을 심층적으로 이해하는 것은 **멀티 컨테이너 및 멀티 호스트 애플리케이션을 올바르고 안전하게 연결**하는 데 중요하므로, 기본을 넘어서는 가치 있는 실용 지식입니다.

**네트워크 드라이버**와 그 목적을 아는 것 — **bridge**(단일 호스트 container 통신, 사용자 정의 bridge가 선호됨), **host**(성능을 위해 호스트 네트워크를 직접 사용, 격리를 희생), **overlay**(여러 호스트에 걸침, 다른 머신의 container가 통신해야 하는 클러스터/Swarm 배포에 필수), **macvlan**(container에 물리 네트워크 정체성 부여), **none**(완전 격리) — 은 단일 호스트 앱부터 멀티 호스트 클러스터까지 각 시나리오에 맞는 네트워킹을 선택할 수 있게 합니다.

**DNS 기반 서비스 디스커버리를 갖춘 사용자 정의 네트워크**(container가 Docker의 내장 DNS를 통해 자동으로 이름으로 서로에게 도달)를 이해하는 것은 특히 중요합니다. 그것은 멀티 컨테이너 애플리케이션에 권장되는 접근법이기 때문입니다 — IP를 관리하지 않고도 이름으로 깨끗한 서비스 간 통신을 가능하게 하며, 기본 bridge보다 나은 격리를 제공합니다.

**네트워크 격리와 세분화**(무엇이 통신할 수 있는지 통제하기 위해 container를 서로 다른 네트워크에 배치, 예: 프론트엔드와 백엔드 네트워크 분리, 게시된 포트가 통제된 외부 경계)를 아는 것은 **보안**에 가치가 있습니다 — container의 도달 가능성을 제한하면 공격 표면이 줄어듭니다.

실제 애플리케이션은 통신하는 여러 container를 수반하고(때로는 여러 호스트에 걸침), 올바르고 안전한 네트워킹(드라이버 선택, 서비스 디스커버리 사용, 네트워크 세분화)이 그것들을 적절히 연결하는 데 필수적이므로, Docker 네트워킹을 심층적으로 이해하는 것 — 드라이버, DNS 서비스 디스커버리를 갖춘 사용자 정의 네트워크, 보안을 위한 네트워크 세분화 — 은 실제 컨테이너화 애플리케이션을 빌드하는 데 가치 있고 실질적으로 관련된 지식이며, 멀티 컨테이너 및 분산 배포에서 기능(연결성)과 보안(격리) 모두에 중요합니다.