Docker 네트워크 기초: 브리지 네트워크부터 호스트 네트워킹까지

소개

이 실습에서는 Docker 네트워킹의 핵심 원리를 살펴봅니다. Docker 네트워크는 컨테이너가 서로 통신하거나 외부 세계와 연결될 수 있도록 해줍니다. 다양한 네트워크 유형을 알아보고, 사용자 정의 네트워크를 생성하며, 컨테이너를 연결하고 네트워크 구성을 관리하는 방법을 다룰 것입니다. 이 실습 경험은 Docker 네트워크 개념과 실무를 익히는 데 튼튼한 기초가 될 것입니다.

Docker 네트워크 유형 이해하기

Docker 는 여러 가지 내장 네트워크 드라이버를 제공합니다. 먼저 현재 시스템에 있는 기본 네트워크들을 확인해 보겠습니다.

터미널에서 다음 명령어를 실행하여 사용 가능한 모든 Docker 네트워크를 나열합니다.

docker network ls

이 명령어는 Docker 가 시스템에 생성한 모든 네트워크를 보여줍니다. 다음과 유사한 출력이 나타날 것입니다.

NETWORK ID     NAME      DRIVER    SCOPE
79dce413aafd   bridge    bridge    local
91199fc6ad2e   host      host      local
1078d2c781b6   none      null      local

기본 네트워크 유형들을 하나씩 살펴보겠습니다.

bridge: 기본 네트워크 드라이버입니다. 네트워크를 별도로 지정하지 않고 컨테이너를 시작하면 자동으로 이 브리지 네트워크에 연결됩니다. 동일한 브리지 네트워크에 있는 컨테이너들은 서로의 IP 주소를 사용하여 통신할 수 있습니다.
host: 이 드라이버는 컨테이너와 Docker 호스트 사이의 네트워크 격리를 제거합니다. 컨테이너가 호스트의 네트워크 네임스페이스를 공유하므로, 호스트의 IP 주소와 포트 공간을 직접 사용합니다. 특정 시나리오에서 성능을 최적화할 때 유용합니다.
none: 컨테이너의 모든 네트워킹 기능을 비활성화합니다. 이 네트워크 유형을 사용하는 컨테이너는 외부 네트워크나 다른 컨테이너에 접근할 수 없습니다. 컨테이너를 완전히 격리하고 싶을 때 사용합니다.

SCOPE 열은 네트워크가 단일 호스트로 제한되는지 (local), 아니면 Docker 스웜 (Swarm) 내의 여러 호스트에 걸쳐 확장될 수 있는지 (swarm) 를 나타냅니다.

기본 브리지 네트워크 상세 확인

네트워크 목록을 확인했으니, 이제 기본 브리지 네트워크를 더 자세히 살펴보겠습니다. 이 네트워크는 Docker 에 의해 자동으로 생성되며, 별도의 설정이 없는 한 모든 컨테이너가 이를 사용합니다.

다음 명령어를 실행하여 브리지 네트워크의 상세 정보를 확인합니다.

docker network inspect bridge

이 명령어는 서브넷, 게이트웨이, 연결된 컨테이너 등 브리지 네트워크에 대한 상세 정보를 제공합니다. 다음과 유사한 출력이 나타납니다 (간결함을 위해 일부 생략됨).

[
  {
    "Name": "bridge",
    "Id": "79dce413aafdd7934fa3c1d0cc97decb823891ce406442b7d51be6126ef06a5e",
    "Created": "2024-08-22T09:58:39.747333789+08:00",
    "Scope": "local",
    "Driver": "bridge",
    "EnableIPv6": false,
    "IPAM": {
      "Driver": "default",
      "Options": null,
      "Config": [
        {
          "Subnet": "172.17.0.0/16",
          "Gateway": "172.17.0.1"
        }
      ]
    },
    "Internal": false,
    "Attachable": false,
    "Ingress": false,
    "ConfigFrom": {
      "Network": ""
    },
    "ConfigOnly": false,
    "Containers": {},
    "Options": {
      "com.docker.network.bridge.default_bridge": "true",
      "com.docker.network.bridge.enable_icc": "true",
      "com.docker.network.bridge.enable_ip_masquerade": "true",
      "com.docker.network.bridge.host_binding_ipv4": "0.0.0.0",
      "com.docker.network.bridge.name": "docker0",
      "com.docker.network.driver.mtu": "1500"
    },
    "Labels": {}
  }
]

출력 내용 중 주요 정보를 분석해 보겠습니다.

Subnet: 이 네트워크의 컨테이너들이 사용하는 서브넷은 172.17.0.0/16입니다. 즉, 컨테이너들은 이 범위 내의 IP 주소를 할당받게 됩니다.
Gateway: 이 네트워크의 게이트웨이는 172.17.0.1입니다. 컨테이너가 자신의 네트워크 외부와 통신할 때 사용하는 IP 주소입니다.
Containers: 아직 시작한 컨테이너가 없으므로 이 필드는 비어 있습니다.
Options: 브리지 네트워크의 다양한 설정 옵션입니다. 예를 들어 enable_icc가 "true"로 설정되어 있으면 컨테이너 간 통신 (Inter-Container Communication) 이 허용됨을 의미합니다.

이러한 정보를 이해하는 것은 네트워크 문제를 해결하거나 컨테이너가 특정 IP 범위와 통신하도록 구성해야 할 때 매우 중요합니다.

사용자 정의 브리지 네트워크 생성

기본 브리지 네트워크도 많은 경우에 적합하지만, 사용자 정의 네트워크를 만들면 더 나은 격리와 제어가 가능합니다. 특히 관련 있는 컨테이너들을 그룹화하거나 어떤 컨테이너끼리 통신할 수 있는지 제어하고 싶을 때 유용합니다.

my-network라는 이름의 사용자 정의 브리지 네트워크를 만들어 보겠습니다.

docker network create --driver bridge my-network

이 명령어는 새로운 브리지 네트워크를 생성합니다. bridge가 기본 드라이버이므로 --driver bridge 옵션은 생략 가능하지만, 명확성을 위해 포함했습니다.

이제 새로운 네트워크가 잘 생성되었는지 확인해 봅시다.

docker network ls

네트워크 목록에서 my-network를 확인할 수 있을 것입니다.

NETWORK ID     NAME         DRIVER    SCOPE
1191cb61c989   bridge       bridge    local
91199fc6ad2e   host         host      local
47ac4e684a72   my-network   bridge    local
1078d2c781b6   none         null      local

목록에 my-network가 나타나면 성공적으로 생성된 것입니다. 이제 컨테이너를 이 네트워크에 연결할 수 있습니다.

네트워크에 컨테이너 연결하기

사용자 정의 네트워크가 준비되었으니, 두 개의 컨테이너를 만들어 연결해 보겠습니다. 이번 예제에서는 가벼운 웹 서버인 nginx 이미지를 사용합니다.

다음 명령어를 실행하여 두 개의 컨테이너를 생성합니다.

docker run -d --name container1 --network my-network nginx
docker run -d --name container2 --network my-network nginx

명령어의 각 옵션을 살펴보겠습니다.

-d: 컨테이너를 백그라운드에서 실행하는 데몬 (detached) 모드입니다.
--name: 컨테이너에 이름을 부여하여 나중에 참조하기 쉽게 합니다.
--network: 컨테이너가 연결될 네트워크를 지정합니다.
nginx: 컨테이너 생성에 사용할 이미지 이름입니다.

이 명령어들은 container1과 container2라는 이름의 컨테이너를 생성하고, 둘 다 우리가 만든 my-network에 연결합니다.

컨테이너가 정상적으로 실행 중이며 네트워크에 연결되었는지 확인합니다.

docker ps

실행 중인 모든 컨테이너가 나열됩니다. 출력 결과에 두 컨테이너가 모두 보여야 합니다.

CONTAINER ID   IMAGE     COMMAND                  CREATED          STATUS          PORTS     NAMES
1234567890ab   nginx     "/docker-entrypoint.…"   10 seconds ago   Up 9 seconds    80/tcp    container2
abcdef123456   nginx     "/docker-entrypoint.…"   20 seconds ago   Up 19 seconds   80/tcp    container1

이 출력은 두 컨테이너가 Nginx 이미지를 실행 중이며 컨테이너 내부의 80 번 포트를 노출하고 있음을 보여줍니다.

컨테이너 간 통신 테스트

Docker 네트워킹의 주요 장점 중 하나는 동일한 네트워크에 있는 컨테이너들이 컨테이너 이름을 호스트 이름처럼 사용하여 서로 통신할 수 있다는 점입니다. 덕분에 IP 주소를 일일이 알 필요 없이 서비스 간 통신을 쉽게 설정할 수 있습니다.

container1에서 container2로 요청을 보내 테스트해 보겠습니다.

docker exec container1 curl -s container2

명령어의 구성을 살펴보겠습니다.

docker exec: 실행 중인 컨테이너 내부에서 명령어를 실행하도록 Docker 에 지시합니다.
container1: 명령어를 실행할 대상 컨테이너의 이름입니다.
curl -s container2: 컨테이너 내부에서 실행할 실제 명령어입니다. container2로 GET 요청을 보내며, -s 옵션은 불필요한 정보를 생략하는 자동 (silent) 모드입니다.

이 명령어는 container1 내부에서 curl을 실행하여 container2에 요청을 보냅니다. 출력 결과로 Nginx 의 기본 환영 페이지 HTML 이 나타나야 합니다.

<!doctype html>
<html>
  <head>
    <title>Welcome to nginx!</title>
    <style>
      html {
        color-scheme: light dark;
      }
      body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
      }
    </style>
  </head>
  <body>
    <h1>Welcome to nginx!</h1>
    <p>
      If you see this page, the nginx web server is successfully installed and
      working. Further configuration is required.
    </p>

    <p>
      For online documentation and support please refer to
      <a href="http://nginx.org/">nginx.org</a>.<br />
      Commercial support is available at
      <a href="http://nginx.com/">nginx.com</a>.
    </p>

    <p><em>Thank you for using nginx.</em></p>
  </body>
</html>

성공적인 응답은 container1이 컨테이너 이름을 통해 container2와 통신할 수 있음을 증명합니다. Docker 의 내장 DNS 서버가 네트워크 내에서 컨테이너 이름을 해당 IP 주소로 해석해 주기 때문입니다.

컨테이너 포트 노출하기

기본적으로 사용자 정의 네트워크 내의 컨테이너들은 서로 통신할 수 있지만, Docker 호스트 외부에서는 접근할 수 없습니다. 호스트나 외부 네트워크에서 컨테이너에 접근하게 하려면 포트를 노출 (expose) 해야 합니다.

포트가 노출된 새 컨테이너를 만들어 보겠습니다.

docker run -d --name exposed-container -p 8080:80 --network my-network nginx

명령어의 구성을 살펴보겠습니다.

-d: 컨테이너를 백그라운드에서 실행합니다.
--name exposed-container: 컨테이너 이름을 "exposed-container"로 지정합니다.
-p 8080:80: 컨테이너 내부의 80 번 포트를 호스트의 8080 번 포트에 매핑합니다.
--network my-network: 컨테이너를 사용자 정의 네트워크에 연결합니다.
nginx: Nginx 이미지를 사용합니다.

이 명령어는 exposed-container라는 이름의 컨테이너를 생성하고, 컨테이너의 80 번 포트를 호스트의 8080 번 포트로 연결하며, my-network에 참여시킵니다.

이제 호스트 머신에서 웹 브라우저를 열고 http://localhost:8080으로 접속하거나, curl 을 사용하여 이 컨테이너의 Nginx 서버에 접근할 수 있습니다.

curl localhost:8080

이전과 동일한 Nginx 환영 페이지 HTML 이 보일 것입니다. 하지만 이번에는 다른 컨테이너가 아닌 호스트에서 직접 컨테이너에 접근한 것입니다.

호스트 네트워킹 사용하기

컨테이너가 호스트의 네트워크 스택을 공유해야 하는 시나리오에서는 호스트 네트워크 드라이버를 사용할 수 있습니다. 이는 컨테이너와 호스트 사이의 네트워크 격리를 제거하며, 특정 애플리케이션에 유용할 수 있지만 포트 충돌 가능성이 있으므로 주의해서 사용해야 합니다.

호스트 네트워킹을 사용하는 컨테이너를 생성해 보겠습니다.

docker run -d --name host-networked --network host nginx

이 명령어는 호스트 네트워크를 사용하는 host-networked 컨테이너를 생성합니다. 호스트 네트워킹을 사용할 때는 컨테이너가 이미 호스트의 네트워크 인터페이스를 사용하고 있으므로 -p 옵션을 사용할 수 없다는 점에 유의하세요.

컨테이너가 호스트 네트워킹을 사용 중인지 확인하기 위해 네트워크 설정을 검사해 봅니다.

docker inspect --format '{{.HostConfig.NetworkMode}}' host-networked

이 명령어는 컨테이너를 검사하고 NetworkMode 만 출력하도록 형식을 지정합니다. 출력 결과로 host가 나오면 컨테이너가 호스트 네트워킹을 사용하고 있음이 확인된 것입니다.

호스트 네트워킹을 사용하면 컨테이너가 호스트의 IP 주소를 공유하고 모든 네트워크 인터페이스에 직접 접근할 수 있습니다. 이는 성능을 극대화하는 데 도움이 될 수 있지만, 컨테이너가 사용하는 모든 포트가 호스트에서 직접 열리게 되므로 주의하지 않으면 기존 서비스와 충돌이 발생할 수 있습니다.

요약

이 실습에서는 Docker 네트워킹의 기초를 살펴보았습니다. 다양한 네트워크 유형, 사용자 정의 네트워크 생성, 컨테이너 연결, 컨테이너 간 통신 테스트, 포트 노출, 그리고 호스트 네트워킹 활용법을 다루었습니다. 이러한 개념들은 Docker 네트워킹의 토대이며 컨테이너화된 애플리케이션을 설계하고 관리하는 데 필수적입니다.

우리가 배운 내용은 다음과 같습니다.

Docker 네트워크 목록 확인 및 상세 검사
사용자 정의 브리지 네트워크 생성
네트워크에 컨테이너 연결
컨테이너 간 통신 확인
컨테이너 포트를 호스트에 노출
컨테이너에 호스트 네트워킹 적용

이러한 네트워크 개념을 이해하면 더욱 견고하고 보안이 강화된 컨테이너 애플리케이션을 설계할 수 있습니다. Docker 를 계속 사용하다 보면 더 복잡한 네트워크 시나리오를 만나게 되겠지만, 여기서 다룬 원칙들이 컨테이너 오케스트레이션과 마이크로서비스 아키텍처로 나아가는 여정에서 든든한 기초가 되어줄 것입니다.

Docker 네트워킹은 애플리케이션을 위한 격리된 환경을 만드는 동시에 컨테이너 간, 그리고 외부 세계와의 통신을 제어할 수 있게 해주는 강력한 도구입니다. 이러한 개념들을 꾸준히 연습하고 더 심화된 주제들을 탐구하여 Docker 네트워크 관리 전문가로 거듭나시길 바랍니다.