[Docker] 도커 네트워크 정리 (feat. docker network)

💡 본 문서는 'Docker 네트워크 사용법'에 대해 정리해놓은 글입니다.
Docker를 사용하다보면 문득 컨테이너 사이의 통신 및 관련 네트워크에 대해 궁금해지기 시작합니다. 이에 대해 정리해놓은 문서이니 참고 부탁드립니다.

1. Docker 네트워크 알아보기

1.1. 네트워크 조회

Docker 네트워크의 기본은 내 컴퓨터에서 어떤 네트워크가 생성되어 있는지를 아는 것일 겁니다. docker network ls 커맨드를 사용하면 현재 생성되어 있는 Docker 네트워크 목록을 조회할 수 있습니다.

$ docker network ls
NETWORK ID     NAME                   DRIVER    SCOPE
9c30a1171e7e   bridge                 bridge    local
c7e387e38900   host                   host      local
05328f1badbd   install_PKI            bridge    local
72af805ed4d5   install_default        bridge    local
4b19ab4ddff9   none                   null      local

• bridge, host, none은 Docker 데몬(daemon)이 실행되면서 디폴트로 생성되는 네트워크입니다.
• 대부분의 경우에는 이러한 디폴트 네트워크를 이용하는 것 보다는 사용자가 직접 네트워크를 생성해서 사용하는 것이 권장됩니다.

1.2 네트워크 종류

Docker 네트워크는 bridge, host, overlay 등 목적에 따라 다양한 종류의 네트워크 드라이버(driver)를 지원합니다.

bridge 네트워크

• 하나의 호스트 컴퓨터 내에서 여러 컨테이너들이 서로 소통할 수 있도록 해줍니다.
• 같은 Docker daemon host를 통해 생성된 컨테이너들은 동일한 bridge network에 연결되게 됩니다. NAT도 Docker가 제공하는 브릿지 인터페이스가 게이트웨이 역할을 하며 수행합니다.
• 일반적으로 Bridge는 이더넷 네트워크와 MAC 주소를 이용해 Link Layer에서 여러 개의 네트워크 세그먼트를 연결하는 것을 말하지만, Host의 kernel에서 작동하는 software로 나타날 수 있습니다.
• 별다른 설정을 하지 않았을 때 사용되는 Default Network Driver이나, HOST의 docker0 브리지 인터페이스와 새로 만들어진 컨테이너에 eth0를 연결해주어 user-defined bridge를 직접 설정하여 사용할 수도 있다.

host 네트워크

• 컨터이너를 호스트 컴퓨터와 동일한 네트워크에서 컨테이너를 돌리기 위해서 사용됩니다.
• 실행된 컨테이너들이 브릿지 네트워크처럼 분리되지 않고 Host의 Port를 그대로 바인딩해 사용합니다.
• HOST의 네트워크 스택에 fully access 할 수 있습니다.

overlay 네트워크

• 여러 호스트에 분산되어 돌아가는 컨테이너들 간에 네트워킹을 위해서 사용됩니다.
• 복수의 docker daemon host, swarm service 간의 네트워크
• swarm을 생성하거나, 새로운 docker host를 swarm에 추가할 경우 두 가지 새로운 네트워크가 형성된다.
• ingress라는 overlay network는 swarm service들의 트래픽을 컨트롤하며, swarm service를 생성하고 user-defined overlay network에 직접 연결해주지 않으면 default로 ingress 에 연결된다.
• docker_gwbridge 라는 bridge network가 동일 swarm 내에 있는 Docker Daemon들을 연결한다.

macvlan 네트워크 

• 컨테이너에 MAC address를 할당한다.

null 네트워크 

• ip를 할당받지 않고 어느 네트워크에도 속하지 않습니다.
• 루프백 인터페이스만 생성되어, 보통 cronjob같이 배치작업을 할 때 씁니다.

1.3 네트워크 상세 정보

네트워크의 상세정보는 docker network inspect 커맨드로 확인할 수 있습니다.

$ docker network inspect bridge

2. Docker 네트워크 다루기

2.1 네트워크 생성

먼저 docker network create 커맨드를 사용해서 새로운 Docker 네트워크를 생성해보도록 하겠습니다.

$ docker network create our-net
e6dfe4a9a5ec85abcb484662c30a3a0fc76df217dde76d52fac39fae8412ca68

2.2 네트워크에 컨테이너 연결

먼저 컨테이너 하나를 one라는 이름으로 실행해보도록 하겠습니다.

$ docker run -itd --name one busybox
660bafdce2996378cde070dfd894731bb90745e46d2ab10d6504c0cc9f4bdea9

컨테이너를 실행할 때 --network 옵션을 명시해주지 않으면, 기본적으로 bride라는 이름의 디폴트 네트워크에 붙게 됩니다.

$ docker network inspect bridge
...
        "Containers": {
            "660bafdce2996378cde070dfd894731bb90745e46d2ab10d6504c0cc9f4bdea9": {
                "Name": "one",
                "EndpointID": "40b4bbd8385debf86eef2fc2136315e1a82fa1ef72877bfae25477d6e8e46726",
                "MacAddress": "02:42:ac:11:00:04",
                "IPv4Address": "172.17.0.4/16",
                "IPv6Address": ""
            },
        },
...

이 one 컨테이너를 위에서 생성한 our-net 네트워크에 연결해보도록 하겠습니다. Docker 네트워크에 컨테이너를 연결할 때는 docker network connect 커맨드를 사용합니다.

$ docker network connect our-net one

our-net 네트워크의 상세 정보를 다시 확인해보면 Containers 항목에 one 컨테이너가 추가된 것을 볼 수 있습니다. one 컨테이너에 IP 172.19.0.2가 할당된 것도 확인할 수 있습니다.

2.3 네트워크로부터 컨테이너 연결 해제

하나의 컨테이너는 여러 개의 네트워크에 동시에 연결할 수 있습니다. 최초에 one 컨테이너를 생성할 때 bridge 네트워크 붙었기 때문에, 현재 one 컨테이너는 our-net 네트워크와 bridge 네트워크에 동시에 붙어있게 됩니다.

one 컨테이너를 bridge 네트워크로부터 때어 내도록 하겠습니다. Docker 네트워크로부터 컨테이너의 연결을 끊을 때는 docker network disconnect 커맨드를 사용합니다.

$ docker network disconnect bridge one

2.4 두번째 컨테이너 연결

네트워크에 홀로 있는 컨테이너는 큰 의미가 없을 것입니다. 하나의 컨테이너를 더 our-net 네트워크에 연결해보도록 하겠습니다. 이번에는 --network 옵션을 사용해서 컨테이너를 실행하면서 바로 연결할 네트워크를 지정해주도록 하겠습니다.

$ docker run -itd --name two --network our-net busybox
0e7fe8a59f9d3f8bd545d3e557ffd34100a09b8ebe92ae5a375f37a5d072873d

our-net 네트워크의 상세 정보를 확인해보면 two 컨테이너에 IP 172.19.0.3가 할당되어 연결되어 있는 것을 확인할 수 있습니다.

$ docker network inspect our-net
[
    {
        "Name": "our-net",
        "Id": "e6dfe4a9a5ec85abcb484662c30a3a0fc76df217dde76d52fac39fae8412ca68",
        "Created": "2020-04-26T19:23:04.563643516Z",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": false,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": [
                {
                    "Subnet": "172.19.0.0/16",
                    "Gateway": "172.19.0.1"
                }
            ]
        },
        "Internal": false,
        "Attachable": false,
        "Ingress": false,
        "ConfigFrom": {
            "Network": ""
        },
        "ConfigOnly": false,
        "Containers": {
            "0e7fe8a59f9d3f8bd545d3e557ffd34100a09b8ebe92ae5a375f37a5d072873d": {
                "Name": "two",
                "EndpointID": "a0e3625e48f0b833cd551d6dfb3b1a2a7614f1343adbc5e6aefa860d917ddea9",
                "MacAddress": "02:42:ac:13:00:03",
                "IPv4Address": "172.19.0.3/16",
                "IPv6Address": ""
            },
            "660bafdce2996378cde070dfd894731bb90745e46d2ab10d6504c0cc9f4bdea9": {
                "Name": "one",
                "EndpointID": "cc490148a533d40b3aff33a421cc9a01c731c75a8deb70ab729a5358f2fd381c",
                "MacAddress": "02:42:ac:13:00:02",
                "IPv4Address": "172.19.0.2/16",
                "IPv6Address": ""
            }
        },
        "Options": {},
        "Labels": {}
    }
]

2.5 컨테이너 간 네트워킹 확인

이제 두 개의 컨테이너가 네트워크를 통해 서로 소통이 가능한지 테스트를 해보도록 하겠습니다. one 컨테이너에서 two 컨테이너를 상대로 ping 명령어를 날려보겠습니다. 컨테이너 이름을 호스트네임(hostname)처럼 사용할 수 있습니다.

$ docker exec one ping two
PING two (172.19.0.3): 56 data bytes
64 bytes from 172.19.0.3: seq=0 ttl=64 time=0.119 ms
64 bytes from 172.19.0.3: seq=1 ttl=64 time=0.105 ms
...

2.6 네트워크 제거

마지막으로 docker network rm 커맨드를 사용해서 our-net 네트워크를 제거해보겠습니다.

$ docker network rm our-net
Error response from daemon: error while removing network: network our-net id e6dfe4a9a5ec85abcb484662c30a3a0fc76df217dde76d52fac39fae8412ca68 has active endpoints

위와 같이 제거하려는 네트워크 상에서 실행 중인 컨테이너가 있을 때는 제거가 되지가 않습니다. 그럴 때는 해당 네트워크에 연결되어 실행 중인 모든 컨테이너를 먼저 중지 시키고, 네트워크를 삭제해야 합니다.

$ docker stop one two
one
two
$ docker network rm our-net
our-net

2.7 네트워크 청소 (prune)

하나의 호스트 컴퓨터에서 다수의 컨테이너를 돌리다 보면 아무 컨테이너도 연결되어 있지 않은 네트워크가 생기가 마련입니다. 이럴 때는 docker network prune 커맨드를 이용해서 불필요한 네트워크를 한번에 모두 제거할 수 있습니다.

$ docker network prune
WARNING! This will remove all networks not used by at least one container.
Are you sure you want to continue? [y/N] y

참고

• Docker 네트워크 사용법: https://www.daleseo.com/docker-networks/
• [Tistory] 도커 네트워크 다루기 -1: https://xodwkx2.tistory.com/entry/%EB%8F%84%EC%BB%A4-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC