Docker Network, 제대로 이해하기 (2)

📌  Docker Series

Docker Engine, 제대로 이해하기 (1) -  docker engine deep dive

Docker Engine, 제대로 이해하기 (2) - namespace, cgroup

Docker Network, 제대로 이해하기 (1) - libnetwork

> Docker Network, 제대로 이해하기 (2) - bridge, host, none drivers

Docker, 제대로 사용하기 - Commands

 

 

안녕하세요.

오늘은 Docker Network를 Deep Dive하고자 합니다.

지난 Docker 시리즈로 Docker Engine에 대해 다루고 3부로 진행하려 했던 Network에 해당됩니다.

내용도 많고 가벼운 주제가 아니라 시리즈를 따로 구성했습니다 〰️

 

 

해당 포스팅은 네트워크에 대한 기본적인 내용을 충분히 익혔다는 가정하에 작성했습니다.

또한, 모든 그림은 직접 그린 것으로, 사용시 출처 표시 부탁드립니다 🙏🏻.

 

---------------    INDEX     --------------

[ 1부 ]

CNM

Libnetwork

Driver

 

[ 2부 ]

Drivers

- Bridge

- Host

- None

 

[ 3부 ]

- Overlay

- Macvlan

----------------------------------------------

 

Drivers

Docker의 drivers에는 Bridge, Overlay, Host, Macvlan, Ipvlan, None으로 총 6개가 있습니다. 

 

각 드라이버를 잠깐 훑어보자면 아래와 같습니다.

해당 내용은 Docker의 공식문서 내용을 번역한 것입니다.

 

✔️  Driver 요약

User-defined bridge networks : 같은 호스트 상에서 여러 컨테이너의 통신이 필요할 때

None networks : 최소한의 네트워크 환경만을 생성하고 싶을 때

Host networks : 컨테이너로 분리되길 원하지만, 네트워크 스택은 분리되지 않길 원할 때 (호스트 네트워크를 같이 쓰길 원할 때)

Overlay networks : 다른 호스트 상에서 실행되는 컨테이너가 통신해야 할 때나, 스웜 서비스로 여러 앱이 실행되어야 할 때

Macvlan networks : VM 환경에서부터 마이그레이션 해야하거나, 네트워크 상에서 고유한 MAC 주소를 가진 물리적인 호스트처럼 보여야 할 때

 

 

이번 포스팅에서는 세 가지만 다룰 건데요.

Docker를 설치하면 기본적으로 bridge, host, none 이렇게 세 개의 네트워크가 지정되어 있습니다.

 

$ docker network ls
NETWORK ID     NAME       DRIVER    SCOPE
e3538e12295b   bridge     bridge    local
18883d2dc038   host       host      local
21c84259960a   none       null      local

 

 

위 세 개의 네트워크를 그림으로 표현하면 아래와 같아요.

아래 내용을 읽고 다시 보면 더 도움이 될 듯 하네요.

 

 

 

 

Bridge모드는 브리지를 통해 연결된 컨테이너들이 보이고,

Host 모드는 호스트와 네트워크를 공유하는 컨테이너,

None 모드는 도커 호스트와 격리되어 네트워크가 존재하지 않는 컨테이너를 확인할 수 있어요.

 

이 세 개를 우선 확인해보고 다른 것들을 순차적으로 확인해보도록 하겠습니다.

 

 

 

Bridge

도커 네트워크의 가장 간단한 유형이 single-host bridge network입니다.

어떤 의미를 갖는지 단어를 쪼개서 보면 아래와 같습니다.

 

Signle-host는 단일 도커 호스트에만 존재하며 동일한 호스트에 있는 컨테이너만 연결할 수 있음을 알려줍니다.

Bridge는 802.1d 브리지(레이어 2 스위치)의 구현임을 알려줍니다.

 

즉, 단일 호스트 상의 브리지 역할을 하는 드라이버라는 뜻을 갖는데요.

하나의 호스트에서 실행되는 격리된 컨테이너들의 통신을 위해 네트워크를 연결하는 방법입니다.

참고로, 다중 호스트에서는 overlay 드라이버를 사용해야 합니다.

 

Bridge는 지난 포스팅의 docker0가 기본 Bridge Network이기 때문에 한 번 다뤘었는데요.

Bridge에 대해 다시 한 번 요약하자면 다음과 같습니다.

 

 

Bridge Network

: Docker 브리지는 컨테이너 간 통신을 할 수 있게 하는 소프트웨어 브리지인 동시에,

서로 다른 브리지 네트워크와의 격리를 하기도 합니다.

 

 

이번엔 docker에서 기본으로 제공하는 docker0가 아닌 사용자가 정의하는 bridge Network에 대해 알아보겠습니다.

 

 

✔️ User-defined Bridge

사용자 정의 브리지 네트워크는 같은 호스트 상에서 여러 컨테이너의 통신이 필요할 때 사용합니다.

docker0와 마찬가지로 Bridge 네트워크지만, 그 이름과 구성을 사용자가 정의하는 것의 차이만 있죠.

 

이 부분은 예시를 보며 이해하는 것이 가장 쉬울 것 같아요.

먼저, 아래와 같이 localnet이라는 브리지 네트워크(single-host bridge network)를 하나 생성해볼게요.

참고로, Linux에서 기본 생성되는 bridge는 Windows에서는 nat에 해당합니다.

 

//Linux
$ docker network create -d bridge localnet

//Windows
> docker network create -d nat localnet

 

Linux의 경우, 이렇게 docker 명령을 통해 네트워크를 생성하면 새로운 Linux bridge도 생성되는데

brctl 도구를 사용해서 확인할 수 있습니다.

 

Linux brctl 도구를 사용하여 현재 시스템에 있는 Linux 브리지를 살펴봅시다.

apt-get install bridge-utils 또는 Linux Distro와 같은 기능을 사용하여 수동으로 brctl 바이너리를 설치할 수 있습니다.

 

 

$ brctl show
bridge name       bridge id             STP enabled    interfaces
docker0           8000.0242aff9eb4f     no
br-20c2e8ae4bbb   8000.02429636237c     no

 

첫 번째 줄은 기본 "bridge" 네트워크에 관련되어 위에서 확인했던 "docker0" bridge이고,

두 번째 bridge(br-20c2e8ae4bbb)는 새로운 localnet docker bridge network와 관련이 있습니다.

 

두 브리지 모두 interfaces에 할당된 값이 없는데요.

연결된 컨테이너가 없기 때문입니다.

test1 이라는 컨테이너를 하나 만들어볼게요.

 

$ docker container run -d --name test1 \
  --network localnet \
  alpine sleep 1d

 

이렇게 localnet을 사용하는 컨테이너를 하나 실행시키면, 

아래와 같이 연결됩니다.

 

$ brctl show
bridge name       bridge id           STP enabled     interfaces
br-20c2e8ae4bbb   8000.02429636237c   no              vethe792ac0
docker0           8000.0242aff9eb4f   no

 

test1을 실행할 때

생성된 컨테이너 내의 네트워크 인터페이스 eth0와,

그리고 함께 생성된 vethe792ac0 인터페이스가 존재하고,

이 vethe792ac0 인터페이스가 localnet(br-20c2e8ae4bbb)에 연결되어

외부 네트워크와 연결이 됩니다.

 

현재 만들어둔 구조를 그림으로 표현하면 아래와 같습니다.

 

 

 

 

하나의 Bridge를 생성했고, 이는 호스트의 인터페이스와도 연결되어있기 때문에 통신을 가능하게 해줍니다.

만약, 다른 컨테이너와 연결하고 싶다면 localnet 네트워크를 설정한 후 실행하면 되겠죠?

 

test1과 동일하게 test2를 실행하면 아래와 같이 연결이 될 거에요.

 

하나의 Bridge Network에 연결된 두 개의 Container

 

위에서 말했다시피, 브리지 네트워크는 다른 브리지 네트워크와의 격리가 된다고 했는데요.

만약, localnet이 아닌 othernet을 만들어 컨테이너에 연결한다면 아래와 같은 구조가 보여지겠죠?

 

 

2개의 다른 Bridge Network

 

 

서로 다른 브리지를 사용하고 있기 때문에 Container A와 Container B는 서로 통신을 할 수 없게 됩니다.

 

이제 Bridge network에 대해 이해가 됐나요?

조금 복잡하죠?

이번 포스팅에서 복잡한 건 이제 끝입니다 ㅎㅎ

 

 

 

Host

위에서 설명한 Bridge은 복잡한 구조를 가지고 있었습니다.

host 모드는 보다 간단한 구조를 가집니다.

 

host 모드는 하나의 컨테이너를 다른 컨테이너의 네트워크 구조에 넣은 모습과 비슷합니다.

호스트 모드는 컨테이너를 도커 호스트의 네트워크 구조에 직접 배치합니다.

 

컨테이너를 호스트의 네트워크 인터페이스에 직접 매핑하기 때문에 포트를 publish하고 expose할 필요가 없습니다.

즉, 컨테이너 프로세스가 호스트에서 lower level 포트를 여는 등의 특정 권한이 필요한 작업을 수행할 수 있습니다.

따라서 컨테이너가 시스템에 더 많이 접근할 수 있으므로 주의하여 사용해야 합니다.

 

컨테이너에 host 모드를 사용하는 경우, 컨테이너가 호스트의 네트워킹 네임스페이스를 공유합니다.

즉, 해당 컨테이너의 네트워크 스택이 도커 호스트에서 분리되지 않습니다.

때문에 컨테이너가 자체 IP 주소를 할당받지 않습니다.

 

예를 들어 포트 80에 바인딩되는 컨테이너를 실행하고 호스트 네트워킹을 사용하는 경우

컨테이너의 애플리케이션은 호스트 IP 주소의 포트 80에서 사용할 수 있습니다.

 

호스트 모드 네트워킹을 사용할 때 컨테이너에 자체 IP 주소가 없으면 포트 매핑이 적용되지 않으며 

-p, --publish,-P, --publish-all 옵션이 무시되고, 아래와 같은 경고가 발생합니다.

WARNING: Published ports are discarded when using host network mode

 

 

 

None

None 네트워크는 말 그대로 아무것도 없는 네트워크를 의미합니다.

none 모드는 네트워크의 정의가 전혀 없는 컨테이너를 정의하는 경우에 사용됩니다.

 

None 네트워크는 도커가 설치될 때 기본으로 설정되는 네트워크 중 하나입니다.

inspect 해보면 아무런 내용이 없다는 것을 확인할 수 있습니다.

 

$ docker network inspect none
[
    {
        "Name": "none",
        "Id": "21c84259960ac0c5c9a1721ff53501469abfc1b6400a74631c339b261f50c47e",
        "Created": "2021-11-16T10:40:56.880389185Z",
        "Scope": "local",
        "Driver": "null",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": null,
            "Config": []
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {},
        "Options": {},
        "Labels": {}
    }
]

 

위에 내용을 확인해보면 Driver는 null로 표시되는데, 이는 이 네트워크의 Driver가 없음을 의미합니다.

 

그렇다면, 이런 설정을 왜 할까요?

none 모드를 사용하면, 컨테이너가 생성될 때 네트워크의 최소한의 것만 생성됩니다.

실제로, 컨테이너를 none 모드로 실행하면 루프백 인터페이스에 해당하는 lo 를 제외하고 아무것도 생성되지 않습니다.

 

사용자가 직접 네트워크를 구성(사용자 정의 인터페이스 등)하고자 할 때 사용하곤 합니다.

 

 

 

이렇게 docker network - 2 포스팅을 마무리 하고, 

다음 포스팅에서 드라이버에 대해 더 자세히 다루겠습니다.

수정사항이나 잘못된 부분은 댓글 남겨주시면 감사하겠습니다 🙌🏻

 

 

참고 자료

- O'Reilly - "Docker Deep Dive, The Docker Engine"

- O'Reilly - "Docker: Up & Running, 2nd Edition"

- O'Reilly - "Docker Networking Cookbook"

- understanding docker networking drivers use cases

- docker docs - network