Como funcionam as redes do Docker em profundidade?

Question

Accepted Answer

Docker fornece vários **drivers de rede** (bridge, host, overlay, macvlan, none) para diferentes necessidades de conectividade, além de recursos como **redes definidas pelo usuário** com descoberta de serviços baseada em DNS. Compreender a rede em profundidade é importante para conectar aplicações multi-container e multi-host corretamente.

## Drivers de rede

```text
BRIDGE (default) → a private internal network on a single host; containers communicate;
  isolated from the host except via published ports. USER-DEFINED bridges add DNS
  (containers reach each other by name) — preferred over the default bridge.
HOST → the container uses the host's network stack directly (no isolation, no port
  mapping needed) — max performance, less isolation.
OVERLAY → spans MULTIPLE hosts → containers on different machines communicate
  (for Docker Swarm / multi-host clusters).
MACVLAN → gives a container its own MAC/IP on the physical network (appears as a
  physical device).
NONE → no networking (fully isolated).
```

## Redes definidas pelo usuário e descoberta de serviços

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → on a user-defined network, Docker's embedded DNS resolves container NAMES
#   the "api" reaches the database at hostname "db" → automatic service discovery
```

Redes definidas pelo usuário fornecem **descoberta de serviços automática baseada em DNS** (containers alcançam um ao outro pelo nome) e melhor isolamento do que a bridge padrão — a abordagem recomendada para aplicações multi-container.

## Isolamento e segmentação de rede

```text
→ Containers can be placed on DIFFERENT networks to isolate them (segmentation):
  e.g. a frontend network and a backend network; only certain containers bridge both
→ Improves security (a container only reaches what it's networked with)
→ Published ports (-p) are the controlled boundary to the outside world
```

## Por que isso importa

Compreender a rede do Docker em profundidade é importante para **conectar aplicações multi-container e multi-host corretamente e com segurança**, portanto é um conhecimento prático valioso além dos conceitos básicos.

Conhecer os **drivers de rede** e seus propósitos — **bridge** (comunicação entre containers em um único host, com bridges definidas pelo usuário sendo preferidas), **host** (usando a rede do host diretamente para desempenho, sacrificando isolamento), **overlay** (abrangendo múltiplos hosts, essencial para implantações em cluster/Swarm onde containers em máquinas diferentes devem se comunicar), **macvlan** (dando aos containers identidades de rede física) e **none** (isolamento total) — permite escolher a rede correta para cada cenário, de aplicações single-host a clusters multi-host.

Compreender **redes definidas pelo usuário com descoberta de serviços baseada em DNS** (containers alcançando automaticamente um ao outro pelo nome via DNS incorporado do Docker) é particularmente importante, pois é a abordagem recomendada para aplicações multi-container — habilitando comunicação limpa entre serviços pelo nome sem gerenciar IPs, e fornecendo melhor isolamento do que a bridge padrão.

Saber sobre **isolamento e segmentação de rede** (colocando containers em redes diferentes para controlar o que pode se comunicar, por exemplo, separando redes de frontend e backend, com portas publicadas como limite externo controlado) é valioso para **segurança** — limitar a alcançabilidade de um container reduz a superfície de ataque.

Como aplicações reais envolvem múltiplos containers comunicantes (e às vezes abrangem múltiplos hosts), e como a rede correta e segura (escolher drivers, usar descoberta de serviços, segmentar redes) é essencial para conectá-los adequadamente, compreender a rede do Docker em profundidade — os drivers, redes definidas pelo usuário com descoberta de serviços DNS e segmentação de rede para segurança — é um conhecimento valioso e praticamente relevante para construir aplicações containerizadas reais, importante tanto para funcionalidade (conectividade) quanto para segurança (isolamento) em implantações multi-container e distribuídas.