Как работают Docker сети подробно?

Question

Accepted Answer

Docker предоставляет несколько **сетевых драйверов** (bridge, host, overlay, macvlan, none) для различных потребностей подключения, а также функции, такие как **определенные пользователем сети** с DNS-основанным обнаружением сервисов. Понимание сетей в глубину важно для правильного подключения многоконтейнерных и многохостовых приложений.

## Сетевые драйверы

```text
BRIDGE (default) → a private internal network on a single host; containers communicate;
  isolated from the host except via published ports. USER-DEFINED bridges add DNS
  (containers reach each other by name) — preferred over the default bridge.
HOST → the container uses the host's network stack directly (no isolation, no port
  mapping needed) — max performance, less isolation.
OVERLAY → spans MULTIPLE hosts → containers on different machines communicate
  (for Docker Swarm / multi-host clusters).
MACVLAN → gives a container its own MAC/IP on the physical network (appears as a
  physical device).
NONE → no networking (fully isolated).
```

## Определенные пользователем сети и обнаружение сервисов

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → on a user-defined network, Docker's embedded DNS resolves container NAMES
#   the "api" reaches the database at hostname "db" → automatic service discovery
```

Определенные пользователем сети обеспечивают **автоматическое DNS-основанное обнаружение сервисов** (контейнеры достигают друг друга по имени) и лучшую изоляцию, чем мост по умолчанию — это рекомендуемый подход для многоконтейнерных приложений.

## Изоляция и сегментация сети

```text
→ Containers can be placed on DIFFERENT networks to isolate them (segmentation):
  e.g. a frontend network and a backend network; only certain containers bridge both
→ Improves security (a container only reaches what it's networked with)
→ Published ports (-p) are the controlled boundary to the outside world
```

## Почему это важно

Понимание Docker сетей в глубину важно для **правильного и безопасного подключения многоконтейнерных и многохостовых приложений**, поэтому это ценное практическое знание, выходящее за рамки основ.

Знание **сетевых драйверов** и их назначения — **bridge** (связь контейнеров на одном хосте, при этом определенные пользователем мосты предпочтительны), **host** (использование сети хоста напрямую для производительности, жертвуя изоляцией), **overlay** (охватывающие несколько хостов, необходимые для развертываний в кластере/Swarm, где контейнеры на разных машинах должны взаимодействовать), **macvlan** (предоставляющие контейнерам физические идентификаторы сети) и **none** (полная изоляция) — позволяет вам выбрать правильную сетевую архитектуру для каждого сценария, от приложений на одном хосте до многохостовых кластеров.

Понимание **определенных пользователем сетей с DNS-основанным обнаружением сервисов** (контейнеры автоматически достигают друг друга по имени через встроенный DNS Docker) особенно важно, так как это рекомендуемый подход для многоконтейнерных приложений — обеспечивающий чистое взаимодействие между сервисами по имени без управления IP-адресами и обеспечивающий лучшую изоляцию, чем мост по умолчанию.

Знание о **изоляции и сегментации сети** (размещение контейнеров в разных сетях для контроля того, что может взаимодействовать, например разделение сетей frontend и backend с опубликованными портами как контролируемой внешней границей) ценно для **безопасности** — ограничение доступности контейнера снижает поверхность атаки.

Поскольку реальные приложения включают несколько взаимодействующих контейнеров (и иногда охватывают несколько хостов), а правильная, безопасная сеть (выбор драйверов, использование обнаружения сервисов, сегментация сетей) необходима для их правильного подключения, понимание Docker сетей в глубину — драйверов, определенных пользователем сетей с DNS обнаружением сервисов и сегментации сетей для безопасности — это ценное, практически-релевантное знание для построения реальных контейнеризированных приложений, важное как для функциональности (подключение), так и для безопасности (изоляция) в многоконтейнерных и распределенных развертываниях.