この実験では、Docker ネットワークの基礎を踏まえ、さらに高度なネットワークの概念を探索します。主要な 3 つのネットワークモードである Bridge(ブリッジ)、Host(ホスト)、None(なし)について深く掘り下げます。また、カスタムネットワークの作成方法、異なるネットワーク間でのコンテナの接続方法、そして各ネットワークモードがコンテナ間の通信や分離にどのような影響を与えるかを理解します。この実習を通じて、Docker ネットワークの実践的な運用に関する強固な基礎を築くことができます。
Docker にはデフォルトのブリッジネットワークが用意されていますが、カスタムブリッジネットワークを作成することで、コンテナ間の通信をより適切に分離し、制御することができます。
docker network ls以下のような出力が表示されるはずです。
NETWORK ID NAME DRIVER SCOPE
296d1b460b17 bridge bridge local
91199fc6ad2e host host local
1078d2c781b6 none null localdocker network create my-custom-bridgedocker network ls出力に my-custom-bridge が含まれているはずです。
NETWORK ID NAME DRIVER SCOPE
296d1b460b17 bridge bridge local
91199fc6ad2e host host local
7215f99d0080 my-custom-bridge bridge local
1078d2c781b6 none null localdocker run --network=my-custom-bridge --name container1 -d nginx
docker run --network=my-custom-bridge --name container2 -d nginx次に、両方のコンテナに ping ユーティリティをインストールします。デフォルトの Nginx イメージには ping が含まれていないため、この操作が必要です。
docker exec container1 apt-get update && docker exec container1 apt-get install -y iputils-ping
docker exec container2 apt-get update && docker exec container2 apt-get install -y iputils-pingdocker exec container1 ping -c 4 container2ping の応答が正常に返ってくるはずです。これは、同じカスタムブリッジネットワーク上のコンテナが、コンテナ名を使用して通信できることを示しています。これは、Docker に組み込まれた DNS が、同じネットワーク内のコンテナ名を IP アドレスに解決するためです。
もし ping が成功しない場合は、両方のコンテナが実行中であること(docker ps で確認)と、ping ユーティリティが正しくインストールされていることを確認してください。
Docker では、1 つのコンテナを複数のネットワークに接続できるため、異なるネットワークに属するコンテナ間での通信が可能になります。これは、特定のコンテナを分離しつつ、特定の通信だけを許可したい場合に非常に便利です。
docker network create my-second-bridgedocker network lsこれで、両方のカスタムネットワークが表示されるようになります。
NETWORK ID NAME DRIVER SCOPE
296d1b460b17 bridge bridge local
91199fc6ad2e host host local
7215f99d0080 my-custom-bridge bridge local
8a15f99d0081 my-second-bridge bridge local
1078d2c781b6 none null localcontainer2 を新しいネットワークに接続します。docker network connect my-second-bridge container2このコマンドにより、container2 は my-custom-bridge に接続されたまま、my-second-bridge ネットワークにも追加されます。
docker run --network=my-second-bridge --name container3 -d nginx
docker exec container3 apt-get update && docker exec container3 apt-get install -y iputils-pingdocker exec container1 ping -c 2 container2
docker exec container1 ping -c 2 container3
docker exec container2 ping -c 2 container3結果に注目してください:
container1 は container2 と通信できます(同じネットワークに属しているため)。container1 は container3 と通信できません(異なるネットワークに属しているため)。container2 は container1 と container3 の両方と通信できます(両方のネットワークに接続されているため)。もし container1 が container3 に ping を通せてしまう場合は、ネットワークの分離設定に問題がある可能性があります。
ホストネットワークモード(Host network mode)は、コンテナと Docker ホスト間のネットワーク分離を取り除き、コンテナがホストのネットワークを直接使用できるようにします。これによりパフォーマンスを最大化できますが、分離レベルが下がるため、セキュリティ上の考慮が必要になります。
docker run --network host --name host-container -d nginxdocker network lsこのコンテナはホストのネットワークを直接使用しているため、新しいネットワークは作成されません。
docker inspect --format '{{.HostConfig.NetworkMode}}' host-container出力は host となるはずです。
curl localhost:80Nginx のウェルカムページが表示されるはずです。これは、コンテナがホストのネットワークを使用しており、Nginx がホストのネットワークインターフェースのポート 80 でリッスンしているために機能します。
注意:ホストマシンのポート 80 ですでに別のサービスが稼働している場合、このステップは失敗する可能性があります。その場合は、既存のサービスを先に停止する必要があります。
'none' ネットワークモードは、ネットワークインターフェースを持たないコンテナを作成し、ネットワークから完全に分離します。これは最大限のセキュリティ分離が必要な場合に役立ちますが、コンテナはネットワーク経由で一切通信できなくなります。
docker run --network none --name isolated-container -d alpine sleep infinitydocker network lsこのコンテナはいかなるネットワークにも接続されていないため、新しいネットワークは表示されません。
docker exec isolated-container ip addrループバックインターフェース(lo)のみが表示されるはずです。eth0 やその他のネットワークインターフェースは存在しません。
docker exec isolated-container ping -c 2 google.comコンテナにネットワークアクセス権がないため、"Network is unreachable"(ネットワークに到達できません)というエラーで失敗するはずです。
Docker ネットワークは、ネットワークエイリアスを使用したサービスディスカバリ(サービス検出)をサポートしています。これは、回復力(レジリエンス)が高くスケーラブルなアプリケーションを作成する際に役立ちます。この機能により、複数のコンテナが同じ DNS 名に応答できるようになり、基本的なロードバランシングが可能になります。
docker network create service-networkdocker network lsリストに service-network が表示されているはずです。
docker run -d --network service-network --network-alias myservice --name service1 nginx
docker run -d --network service-network --network-alias myservice --name service2 nginxnslookup を使用してサービスを解決します。docker run --rm --network service-network appropriate/curl nslookup myservice両方のコンテナの IP アドレスが返されるはずです。これは、Docker の組み込み DNS サーバーが 2 つのコンテナ間でロードバランシングを行っていることを示しています。
for i in {1..4}; do docker run --rm --network service-network appropriate/curl ping -c 1 myservice; done両方のコンテナから応答があるはずで、基本的なロードバランシングが行われていることがわかります。Docker DNS サーバーは、myservice を解決する際に 2 つの IP アドレスを交互に返します。
PING myservice (172.18.0.2): 56 data bytes
64 bytes from 172.18.0.2: seq=0 ttl=64 time=0.106 ms
--- myservice ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.106/0.106/0.106 ms
PING myservice (172.18.0.3): 56 data bytes
64 bytes from 172.18.0.3: seq=0 ttl=64 time=0.119 ms
--- myservice ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.119/0.119/0.119 ms
PING myservice (172.18.0.2): 56 data bytes
64 bytes from 172.18.0.2: seq=0 ttl=64 time=0.097 ms
--- myservice ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.097/0.097/0.097 ms
PING myservice (172.18.0.3): 56 data bytes
64 bytes from 172.18.0.3: seq=0 ttl=64 time=0.140 ms
--- myservice ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 0.140/0.140/0.140 msこの高度な Docker ネットワーク実験では、いくつかの重要な概念を学びました。
Docker のこれらの高度なネットワーク機能は、コンテナ間の通信と分離を精密に制御しながら、複雑なマルチコンテナアプリケーションを設計するための強力なツールを提供します。これらの概念を理解することは、効率的で安全、かつスケーラブルなコンテナ化アプリケーションを設計する上で不可欠です。
Docker ネットワークは高い柔軟性を提供しますが、コンテナネットワークアーキテクチャを設計する際には、セキュリティへの影響を考慮することが重要です。常に「最小権限の原則」に従い、必要なポートとサービスのみを公開するようにしてください。
Docker の利用を続ける中で、これらのネットワーク概念は、複雑なアプリケーションやマイクロサービスアーキテクチャをオーケストレーションする際に非常に役立つでしょう。定期的にこれらの概念を練習し、Docker ネットワークを効果的に管理できるようになりましょう。
