Docker network hoạt động sâu hơn như thế nào?

Question

Accepted Answer

Docker cung cấp một số **network driver** (bridge, host, overlay, macvlan, none) cho các nhu cầu kết nối khác nhau, cùng với các tính năng như **network do người dùng định nghĩa** với service discovery dựa trên DNS. Hiểu networking sâu là quan trọng để kết nối các ứng dụng đa container và đa host đúng cách.

## Các network driver

```text
BRIDGE (mặc định) → một network nội bộ riêng trên một host đơn lẻ; các container giao tiếp;
  cô lập khỏi host trừ qua các cổng được publish. Bridge DO NGƯỜI DÙNG ĐỊNH NGHĨA thêm DNS
  (các container đến nhau theo tên) — ưu tiên hơn bridge mặc định.
HOST → container dùng network stack của host trực tiếp (không cô lập, không cần port
  mapping) — hiệu năng tối đa, ít cô lập hơn.
OVERLAY → trải rộng NHIỀU host → các container trên các máy khác nhau giao tiếp
  (cho Docker Swarm / cụm đa host).
MACVLAN → cho một container MAC/IP riêng trên network vật lý (xuất hiện như một
  thiết bị vật lý).
NONE → không có networking (cô lập hoàn toàn).
```

## Network do người dùng định nghĩa và service discovery

```bash
docker network create app-net
docker run -d --name db --network app-net postgres
docker run -d --name api --network app-net myapi
# → trên một network do người dùng định nghĩa, DNS nhúng của Docker phân giải TÊN container
#   "api" đến database tại hostname "db" → service discovery tự động
```

Network do người dùng định nghĩa cung cấp **service discovery tự động dựa trên DNS** (các container đến nhau theo tên) và cô lập tốt hơn bridge mặc định — cách tiếp cận được khuyến nghị cho các ứng dụng đa container.

## Cô lập và phân đoạn network

```text
→ Các container có thể được đặt trên các network KHÁC NHAU để cô lập chúng (phân đoạn):
  ví dụ một network frontend và một network backend; chỉ một số container bắc cầu cả hai
→ Cải thiện bảo mật (một container chỉ đến được cái nó được kết nối network cùng)
→ Các cổng được publish (-p) là ranh giới được kiểm soát ra thế giới bên ngoài
```

## Tại sao điều này quan trọng

Hiểu Docker networking sâu là quan trọng để **kết nối các ứng dụng đa container và đa host đúng cách và an toàn**, vì vậy đó là kiến thức thực tế có giá trị vượt ra ngoài các kiến thức cơ bản.

Biết các **network driver** và mục đích của chúng — **bridge** (giao tiếp container trên một host đơn, với bridge do người dùng định nghĩa được ưu tiên), **host** (dùng network host trực tiếp cho hiệu năng, hy sinh cô lập), **overlay** (trải rộng nhiều host, thiết yếu cho các triển khai cụm/Swarm nơi các container trên các máy khác nhau phải giao tiếp), **macvlan** (cho các container danh tính network vật lý), và **none** (cô lập hoàn toàn) — cho phép bạn chọn networking đúng cho mỗi kịch bản, từ các ứng dụng host đơn đến các cụm đa host.

Hiểu **network do người dùng định nghĩa với service discovery dựa trên DNS** (các container tự động đến nhau theo tên qua DNS nhúng của Docker) là đặc biệt quan trọng, vì đó là cách tiếp cận được khuyến nghị cho các ứng dụng đa container — cho phép giao tiếp dịch vụ-tới-dịch vụ sạch sẽ theo tên mà không cần quản lý IP, và cung cấp cô lập tốt hơn bridge mặc định.

Biết về **cô lập và phân đoạn network** (đặt các container trên các network khác nhau để kiểm soát cái gì có thể giao tiếp, ví dụ tách các network frontend và backend, với các cổng được publish làm ranh giới bên ngoài được kiểm soát) là có giá trị cho **bảo mật** — giới hạn khả năng tiếp cận của một container giảm bề mặt tấn công.

Vì các ứng dụng thực tế liên quan đến nhiều container giao tiếp (và đôi khi trải rộng nhiều host), và vì networking đúng, an toàn (chọn driver, dùng service discovery, phân đoạn network) là thiết yếu để kết nối chúng đúng cách, hiểu Docker networking sâu — các driver, network do người dùng định nghĩa với DNS service discovery, và phân đoạn network cho bảo mật — là kiến thức có giá trị, liên quan thực tế để xây dựng các ứng dụng container hóa thực sự, quan trọng cho cả chức năng (kết nối) và bảo mật (cô lập) trong các triển khai đa container và phân tán.