PrepBro
← Назад к вопросам

Как работает Docker bridge network? Как контейнеры общаются между собой?

2.2 Middle🔥 151 комментариев
#Docker и контейнеризация#Сети и протоколы

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI6 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Принцип работы Docker Bridge Network

Docker bridge network — это виртуальная сеть, создаваемая демоном Docker, которая обеспечивает изоляцию и связность между контейнерами, работающими на одном хосте. Это сетевое решение по умолчанию, автоматически создаваемое при установке Docker (обычно именуется bridge). Его работа основана на технологии Linux bridge, которая функционирует на уровне канального (L2) модели OSI.

Ключевые компоненты архитектуры

  • Драйвер bridge: Сетевой драйвер, который управляет созданием виртуальных коммутаторов (мостов) и подключением к ним интерфейсов контейнеров.
  • Виртуальный сетевой мост (docker0): По умолчанию создается интерфейс docker0 — это программный Ethernet-мост. Он выступает в роли виртуального коммутатора, к которому подключаются все контейнеры, использующие дефолтную сеть bridge.
  • Виртуальные Ethernet-интерфейсы (veth pair): Каждый контейнер получает виртуальную пару Ethernet-интерфейсов (veth). Один конец пары (vethX) находится внутри пространства имен контейнера и становится его сетевым интерфейсом eth0. Второй конец (vethY) привязывается к виртуальному мосту (docker0) в пространстве имен хоста. Эта пара создает туннель для сетевого трафика.
  • IP-адресация и NAT: Демон Docker выполняет роль DHCP-сервера для сети bridge. Он назначает каждому контейнеру уникальный IP-адрес из подсети моста (например, 172.17.0.0/16). Для взаимодействия с внешними сетями (интернет) используется маскарадинг (Source NAT) через правила iptables на хосте.

Детальный процесс коммуникации между контейнерами

  1. Создание сети и подключение контейнера:
    При запуске контейнера без явного указания сети (`--network`) Docker автоматически подключает его к дефолтной сети `bridge`. При этом:
    *   Создается `veth pair`.
    *   Конец `veth` контейнера получает имя `eth0` и IP-адрес из пула сети `bridge`.
    *   Другой конец `veth` привязывается к мосту `docker0`.
  1. Внутрихостовое взаимодействие (контейнер-контейнер):
    Когда контейнер `A` (например, `172.17.0.2`) отправляет пакет контейнеру `B` (`172.17.0.3`), происходит следующее:


```bash
# Пример: Контейнер A пингует Контейнер B
# Внутри контейнера A выполняется:
root@container-a:/# ping 172.17.0.3
```

    *   Пакет выходит через интерфейс `eth0` контейнера `A` (это один конец `veth pair`).
    *   Через виртуальный кабель пакет мгновенно поступает на связанный `veth` интерфейс, прикрепленный к мосту `docker0` в пространстве имен хоста.
    *   Программный мост `docker0`, выполняющий функции коммутатора, анализирует MAC-адрес назначения и **пересылает пакет на соответствующий `veth` интерфейс контейнера `B`**.
    *   Пакет поступает на интерфейс `eth0` контейнера `B`. Весь маршрут происходит **внутри ядра Linux**, без использования внешних сетевых интерфейсов хоста, что обеспечивает высокую скорость.
  1. Исходящее соединение во внешний мир (Outbound):
    При обращении контейнера к внешнему IP-адресу (например, `8.8.8.8`):
    *   Трафик проходит через `docker0` мост.
    *   На хосте срабатывают правила `iptables`, которые **маскарадят (подменяют)** исходный IP-адрес контейнера на внешний IP-адрес хоста.

```bash
# Типичное правило MASQUERADE для исходящего трафика
-A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE
```

    *   Пакет отправляется через основной сетевой интерфейс хоста (`eth0` или `wlan0`).
  1. Входящие соединения извне (Inbound):
    По умолчанию контейнеры в сети `bridge` не доступны извне. Чтобы открыть порт, необходимо использовать флаг `-p` при запуске. Docker создает правило **Port Forwarding (DNAT)** в `iptables`:

```bash
# Пример: Проброс порта 8080 хоста на порт 80 контейнера
docker run -d -p 8080:80 nginx
```

    *   При запросе на `адрес_хоста:8080` правило `iptables` перехватывает пакет и изменяет адрес назначения на `172.17.0.2:80`.
    *   Пакет перенаправляется через мост `docker0` в целевой контейнер.

Пользовательские bridge-сети

Помимо дефолтной, можно создавать пользовательские bridge-сети, что считается best practice:

# Создание изолированной пользовательской bridge-сети
docker network create --driver bridge my_app_net

# Запуск контейнеров в этой сети
docker run -d --name web --network my_app_net nginx
docker run -it --name app --network my_app_net alpine

Преимущества пользовательских сетей:

  • Автоматическое разрешение имен (DNS): Контейнеры в одной пользовательской сети могут общаться по имени (ping web), в то время как в дефолтной bridge сети — только по IP-адресу.
  • Изоляция: Контейнеры из разных пользовательских сетей не могут взаимодействовать друг с другом без явной линковки, что улучшает безопасность.
  • Гибкая конфигурация: Возможность задавать подсети, шлюзы и настройки IPAM (управления адресами).

Таким образом, Docker bridge network предоставляет простой, эффективный и изолированный механизм для сетевого взаимодействия контейнеров на одном хосте, используя стандартные возможности ядра Linux: виртуальные мосты, пары veth, сетевые пространства имен и правила iptables для трансляции адресов. Это фундамент для более сложных мультихостовых сетевых решений, таких как Overlay сети в Docker Swarm или Kubernetes.

Как работает Docker bridge network? Как контейнеры общаются между собой? | PrepBro