Docker Network
Docker Network
· Version : Docker
Docker network는 컨테이너에 내부IP를 순차적으로 할당하고 컨테이너가 재시작 할 때마다 부여된 IP가 변경될 수 있다. 내부IP는 도커가 설치된 호스트의 내부망에서만 쓸 수 있기 때문에 외부와 통신을 하기 위해 veth* 라는 네트워크 인터페이스를 생성하여 외부와 통신한다.
도커가 설치된 호스트에서 ifconfig나 ip addr같은 네트워크 명령어로 인터페이스를 확인 해보면 실행중인 컨테이너 수 만큼 veth*로 시작하는 인터페이스가 생성된 것을 알 수 있다.
· eth0 : 내부IP가 외부로 통신하기 위한 인터페이스로 호스트의 네트워크 이다. Eth0 네트워크가 각 veth*로 시작하는 네트워크와 통신한다.
· docker0 : veth* 인터페이스와 바인딩되어 호스트의 eth0 인터페이스와 이어주는 역할을 한다.
도커가 제공하는 기본적인 네트워크는 bridge, host, none, container, ovelay가 있다. 도커를 설치하면 기본적으로 docker0 브릿지를 통해 외부와 통신할 수 있으며 선택에 따라 여러 네트워크 드라이버를 사용할 수 도 있다.
도커에서 생성되어 있는 네트워크를 확인은 docker network ls 명령어로 확인할 수 있다.
docker network ls |
[bridge network]
사용자 정의 브릿지를 새로 생성하여 각 컨테이너에 연결한다. 컨테이너는 연결된 브릿지를 통해 외부와 통신한다. 아래 명령어로 mybrdge라는 네트워크를 생성할 수 있다.
docker network create --driver bridge mybridge |
docker run또는 create명령어에 --net 옵션의 값을 설정하면 컨테이너가 해당 네트워크를 사용한다.
docker run -it --name container_name --net mybridge nginx |
서브넷, 게이트웨이, IP할당 등 임의로 설정하려면 네트워크를 생성할 때 아래와 같이 옵션을 추가한다. 주의할 점은 --subnet과 --ip-range 는 같은 대역 이어야 한다.
Docker network create --drive=bridge \ --subnet=172.72.0.0/16 \ --ip-range=172.72.0,0/24 \ --gateway=172.72.0.1 \ Mybridge |
run 명령시 --net-alias 옵션을 함께 쓰면 alias이름으로 여러 개의 컨테이너에 접근할 수 있다.
docker run -it --name container_name1 --net mybridge --net-alias ali01 nginx docker run -it --name container_name2 --net mybridge --net-alias ali01 nginx docker run -it --name container_name3 --net mybridge --net-alias ali01 nginx |
컨테이너 생성이 완료되면 ping을 사용해서 각 컨테이너로 ping이 전송되는 것을 확인할 수 있다. Ping이 전달되는 IP 는 라운드로빈 방식으로 도커 엔진에 내장된 DNS가 ali01이라는 호스트 이름을 --net-alias dhqtusdmfh ali01로 설정한 컨테이너로 변환(resolve)하기 때문이다.
[host]
호스트 네트워크는 호스트의 네트워크 환경을 그대로 사용한다. 호스트 머신에서 설정한 호스트 이름을 컨테이너가 상속받기 때문에 컨테이너의 호스트 이름도 무작위 16진수가 아닌 도커 엔진이 설치된 호스트 머신의 호스트 이름을 설정 된다.
docker run -it --name container_name --net host nginx |
컨테이너의 네트워크를 호스트로 설정할 경우 별도의 포트 포워딩 필요없이 바로 서비스가 가능하다.
[none]
어떠한 네트워크도 사용하지 않겠다는 뜻이다. 외부와의 연결이 단절된다.
docker run -it --name container_name --net none nginx |
[container]
이 네트워크는 다른 컨테이너의 네트워크 환경을 공유할 수 있다. 공유되는 속성은 내부 IP, 네트워크 인터페이스의 MAC 주소 등이다. 사용법은 --net container:[컨테이너ID] 이다.
docker run -it --name container_name --net container:container_id nginx |
[overlay]
여러 도커 데몬 호스트 사이에 분산 네트워크를 만든다. 이 네트워크는 호스트 특정 네트워크 상단에 위치하여(오버레이) 호스트 서비스 네트워크에 연결된 컨테이너(swarm 서비스 컨테이너 포함)가 안전하게 통신할 수 있다. 도커는 대상 컨테이너간에 각 패킷 라우팅을 투명하게 처리 한다. swarm을 초기화 하거나 docker호스트를 기존 swarm에 가입 시키면 해당 도커 호스트에 두 개의 새로운 네트워크가 생성된다.
· 오버레이 네트워크라 불리는 Ingress는 swarm 서비스와 관련된 제어 및 데이터 트래픽을 처리한다. swarm 서비스를 생성하고 사용자 정의 오버레이 네트워크에 연결하지 않으면 기본적으로 ingress 네트워크에 연결된다.
docker network create -d overlay my-overlay |
독립 실행형 컨테이너가 다른 docker 데몬에서 실행되는 다른 독립 실행형 컨테이너와 통신하기 위해 사용할 수 잇는 오버레이 네트워크를 만들려면 --attachable 옵션을 사용한다.
docker network create -d overlay --attachable my-attachable-overlay |
· 브릿지 네트워크라 불리는 docker_gwbrdge는 브릿지 네트워크를 만드는것과 동일하게 docker network create 사용하여 사용자 정의 오버레이 네트워크를 만들 수 있다. 서비스 또는 컨테이너는 한번에 둘 이상의 네트워크에 연결할 수 있다. 서비스 또는 컨테이너는 각각 연결된 네트워크를 통해서만 통신할 수 있다.
docker network create \ --subnet 10.11.0.0/16 \ --opt com.docker.network.bridge.name=docker_gwbridge \ --opt com.docker.network.bridge.enable_icc=false \ --opt com.docker.network.bridge.enable_ip_masquerade=true \ docker_gwbridge |
swarm 서비스와 독립 실행형 컨테이너 모두 오버레이 네트워크에 연결할 수 있지만 기본 동작 및 구성 관련 사항은 다르다. 이러한 이유로 오버레이 네트워크에 적용되는 작업, swarm 서비스 네트워크에 적용되는 작업 및 독립 실행형 컨테이너에 사용되는 오버레이 네트워크에 적용되는 작업으로 나뉜다.
모든 swarm 서비스 관리 트래픽은 기본적으로 GCM모드의 AES알고리즘을 사용하여 암호화 된다. Swarm 관리자 노드는 12시간 마다 데이터를 암호화하는데 사용되는 키를 변화시킨다. 오버레이 암호화를 활성화하면 도커는 오버레이 네트워크 연결된 모든 서비스에 대해 IPSEC 터널을 만들어 통신한다.
[참고자료]
· Docker Network Overview : https://docs.docker.com/network/
· Bridge networks : https://docs.docker.com/network/bridge/
· Overlay neworks : https://docs.docker.com/network/overlay/
· Host networks : https://docs.docker.com/network/host/
· Disable networks : https://docs.docker.com/network/none/
2019-02-20 / Sungwook Kang / http://sqlmvp.kr
Docker, docker network, ingress, overlay, container, host, 도커 네트워크, swarm