Dockerコンテナグレートジャーニー
Dockerコンテナを0から理解する旅、Dockerコンテナ・グレートジャーニー第4回です。
今回はDockerのネットワークについて、少しだけ深い部分に踏み込みつつ、イメージを交えてカジュアルに解説していきます。ネットワークをなんとなく使うのは卒業して、しっかりとしたイメージの土台の上で考えられるようになりましょう!
対象
- Dockerのネットワークについてよく知らない人
- イメージ図を交えてインプットしたい人
- Dockerコマンドを、単なる暗記ではなくきちんと理解したい人
旅路(インデックス)
長いので記事を分割しています。
- そもそも仮想化とは? 仮想化ではないシステムとは?
- Dockerコマンド基礎(環境構築~ubuntu/httpdコンテナでのコマンド実行)
- Dockerのストレージについて
- Dockerのネットワークについて【⇦本記事】
- Docker-compose でコンテナをまとめる
- Docker image と Dockerfile
- AWS ECS で Dockerコンテナを走らせる(Comming soon)
【本題】Dockerのネットワークについて
Dockerのネットワークは使用するだけなら難しくはなく、コンテナ間通信をするにも2つほどコマンドを暗記すれば問題なく使用できます。
とはいえ、中身で何が起こっているのかや、なぜこのコマンドが必要なのか、といった基礎的なことをすっ飛ばしていくと、設計に精彩を欠いたり意図せぬバグに遭遇して解決策が浮かばなかったりするでしょう。
というわけで、今回はDockerがなぜつながるのかというところから、実際にネットワークを動作させるまでを解説していきます。
-
前提
今回はIPやポート、それに関連する用語について触れますが、一般的な技術であるため解説しません。この辺りがよくわからない方は、まずはそちらを見ていただくか、この記事をふわっとニュアンスでとらえていただければと思います。
なぜ-p 8080:80のようにポートを指定するだけでコンテナと通信できるようになるのか?
以前の記事(Dockerコマンド基礎)で解説したの基本コマンドを再掲します。
docker container run -d --name server_test -p 8080:80 httpd:2.4
このコマンドを実行すると、ホストの8080番ポートとコンテナの80番ポートがポートフォワーディングされ、コンテナに接続できるのでした。ブラウザで接続してみると以下のような感じになります。
なぜサーバーからファイルが取得できたのかということで、以前は下の図のような解説をしていました。
この図から、あたかもホストの8080番ポートとコンテナの80番ポートが接続されます。ですがこの図では、実はIP層が省略されています。
それを確認するために、まずはDockerにはネットワークの状態を確認します。コンテナの各種設定を確認するdocker container inspect <コンテナ名>というコマンドがあります。先ほどのhttpdコンテナを起動した状態でコマンドを実行してみます。
以下はコマンド結果です。かなり長文で返されるので、関係のある"Network"の部分だけ抜粋しました。
・・・(略)・・・
"Name": "/server_test",
・・・(略)・・・
"Networks": {
"bridge": {
・・・(略)・・・
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.2",
・・・(略)・・・
}
}
IPとポートが以下のような構成であることがわかります。
ホストの8080番ポートと80番ポートが直接つながっているのではなく、Docker内に割り振られたIPによる通信を挟んでいるのです。
またDockerネットワーク全体にも別途IPが割り振られています。私の環境では、DockerのネットワークたるvEthernetには192.168.144.1/20というローカルアドレスが割り振られていました。これはWindowsであればipconfigコマンドを打つとわかります。以下はコマンド結果です。
イーサネット アダプター vEthernet (WSL):
接続固有の DNS サフィックス . . . . .:
リンクローカル IPv6 アドレス. . . . .: **********
IPv4 アドレス . . . . . . . . . . . .: 192.168.144.1
サブネット マスク . . . . . . . . . .: 255.255.240.0
デフォルト ゲートウェイ . . . . . . .:
というわけなので、Dockerのネットワークは192.168.144.1/20の内部に構築されているネットワークになります。Docker内のネットワークはホストとは独立しており、ホストから「ping 172.17.0.2」と直接打ち込んでもコンテナ内には通信できないということです。
画像にするとこんな感じです。
ともあれ、難しい話も挟みましたが、重要なのはDockerネットワーク内のコンテナには、ホストのネットワークとは別のローカルIPアドレスが割り振られているということですね。
これがわかれば、コンテナ間での通信が実現できます。
コンテナ間通信
DockerコンテナにIPアドレスが割り振られていることがわかりました。同一ネットワーク内でIPアドレスとポートがわかっていればコンテナ同士で色々な通信ができます。
通信のテスト環境として今回は
- ubuntuコンテナ
- httpdコンテナ
の2つのコンテナを立ち上げて、実際に通信をしてみましょう。
さっそく以下のコマンドで、2つのコンテナを立ち上げます(先ほど作成したhttpdコンテナはそのままでも構いません)。
docker container run -it --name linux_test ubuntu:22.04
# 今回作成するコンテナは外部からアクセスしないので、`-p 8081:80`を付けていません。
docker container run -d --name server_local httpd:2.4
現状のイメージはこんな感じです。
(※IPの割り当ては異なる可能性があります。新しいコンソールでdocker network inspect bridgeとするとIPが確認できます。このコマンドの意味は付録で解説します)
Ubuntuコンテナに入った状態で、pingを送ってみます。
例のごとくUbuntuコンテナにはpingがインストールされていないので、インストールから始めます。あとで使うのでついでにcurlもインストールします。
apt-get update
apt-get install inetutils-ping
apt-get install curl
インストール出来たら、実際にpingコマンドで疎通確認します。
ping 172.17.0.1 # ゲートウェイに対して
ping 172.17.0.4 # 今回立てたサーバーに対して
Ubuntuからサーバーコンテンツにアクセスしてみます。ホストからの通信では、localhostの8080番ポートでしたが、Docker内で通信を行う場合はコンテナのIPアドレスを直接指定して、かつ80番ポートを直接指定してください。127.~~と172.~~~で紛らわしいですので注意してください(筆者は2敗中)
curl http://172.17.0.4:80
<html><body><h1>It works!</h1></body></html>と帰ってくれば成功です。外部とは繋がっていないhttpdコンテナでも、内部からならアクセスできましたね。
IPアドレスを指定する方法の欠点
先ほどIPアドレスを指定して通信しましたが、これは実際に運用する場合の実装としては悪手です。
なぜなら、コンテナにどのIPアドレスが割り振られるかは固定ではないからです。
(--ipオプションを使えば固定にできるようですが、運用上の制限が大きく柔軟性がありません)
例えば、コンテナを削除して立ち上げなおした結果、以下のようなIP構成になったとします。
先ほどはubuntuコンテナから172.17.0.4:80を指定して通信していましたが、IP構成が変わることで自分自身のIPになってしまっています。
(一応--ipオプションを使えばIPを固定にできますが、運用上は好ましくありません)
コンテナ名を指定して通信する
IPの指定はリスクがあったので、コンテナ名「server_local」を指定して通信ですよね。
Docker run --linkオプションを使用すれば、コンテナ名を指定した通信ができます。
試しに実験してみましょう。ubuntuコンテナを削除して作り直します。
(※公式では--linkオプションは非推奨なのですが、ネットワークの動作をステップ倍ステップで理解するにはちょうどいいので使用します)
# コンテナ削除
docker container stop linux_test
docker container rm linux_test
# --link オプションを使用して再作成
docker container run -it --link server_local:server_local --name linux_test ubuntu:22.04
Ubuntuに入るので、IPアドレスではなくコンテナ名を指定して通信してみましょう。
(パッケージを再インストールするのを忘れずに。。。)
apt-get update
apt-get install curl
curl http://server_local:80
<html><body><h1>It works!</h1></body></html>と帰ってくれば成功です。
これで、IPアドレスが変わってもコンテナ名が同じであれば通信できます。
なのですが、、、最初に述べた通りこの--linkオプションはdockerの公式から非推奨となっています。
現在は通信したいコンテナが1つなのでいいですが、例えばコンテナが10, 100, 1000....と増えたとき、どうなってしまうでしょうか? --linkコマンドを1000個並べますか? 考えたくもないですね。
もちろんこの問題を解決するるベストプラクティスも存在するので、最後にそれを説明します。
Dockerのネットワークのベストプラクティス
本記事の本題にして、Dockerの推奨設定にして、最も簡単なセクションです。
Dockerでオリジナルのネットワークを定義するのに必要なのは、下記のコマンドだけです。
docker network create my_network
これでネットワークが作成されました。とっても簡単ですね。
ではこのコマンドを打ったことで具体的に何が起こったのかを説明します。まずは作成したネットワークの詳細を見ていきます。下のコマンドは、ネットワークの詳細を確認するコマンドです。
docker network inspect my_network
これを実行すると、今しがた作成したネットワークのゲートウェイとそのIPアドレスを確認できます。私の環境では「172.19.0.1」がゲートウェイになっていました。
以上を踏まえてネットワーク図を書くとこんな感じです。
これだけでは中身が空のネットワークが作成されただけなので、コンテナをこのネットワークに参加させていきます。
コマンドは、コンテナの起動時に--netオプションを付与すればOKです。
docker container run -d --name httpd_net_1 --net my_network httpd:2.4
docker container run -d --name httpd_net_2 --net my_network httpd:2.4
なおDockerのネットワークの場合はコンテナを作り直さなくても、既存のコンテナをアタッチすることもできます。connectコマンドで先ほど作ったUbuntuコンテナをネットワークに参加させます。
# docker network connect <ネットワーク名> <アタッチするコンテナ名>
docker network connect my_network linux_test
これで新しく作成したhttpdコンテナ2つとubuntuコンテナ(linux_testという名前)が、オリジナルのネットワークに参加しました。
現状を図にするとこんな感じです。
下記コマンドで、ネットワークに参加していることを確認できます。
docker network inspect my_network
作成されたネットワーク内でのコンテナ間通信
先ほどはわざわざ--linkコマンドを使用してコンテナ名での通信を行っていましたが、docker network createで作成されたネットワークには 同一ネットワーク内であればデフォルトでコンテナ名を指定した通信できる というメリットがあります。
さっそく試してみましょう。
# ubuntuに入る
docker exec -it linux_test /bin/bash
# サーバー1、2にアクセス
curl http://httpd_net_1:80
curl http://httpd_net_2:80
今回も「<html><body><h1>It works!</h1></body></html>」と表示されれば成功です。
docker network createとするだけで、DNS機能の完備されたnetwork範囲が生成されるのですね。
なお余談ですが、コンテナは複数のネットワークに同時に参加できます。あらかじめネットワークを作っていれば、
docker network connect my_net_1 my_container
docker network connect my_net_2 my_container
docker network connect my_net_3 my_container
ですべてのネットワークに参加可能です。
というわけで、docker network createコマンドを使用したネットワーク運用が、Dockerでは基本となります。
これだけのことを知るのにだいぶ遠回りをしましたが、遠回りのぶんだけDockerネットワークに関する解像度が上がっていれば幸いです。
その他のDockerネットワーク知識
デフォルトで用意されているネットワーク
あなたがDockerをインストールしたその時から、実はデフォルトで3種類のネットワークが既に用意されています。
試しに、Docker内のネットワーク一覧を表示するdocker network lsコマンドを打ちこんでみてください。
PS C:\Users\******> docker network ls
NETWORK ID NAME DRIVER SCOPE
fd654a676b24 bridge bridge local
6347e4cfd60d host host local
d47b704a415e my_network bridge local
f2d893fb1873 none null local
今回作成したmy_network以外にも、bridge,host,noneというネットワークが用意されています。
実運用上では主にbridgeが用いられるため、デフォルトで用意されているbridgeネットワークについて軽く説明します。
Bridgeネットワーク
docker network create を実行することで、ユーザー定義のネットワーク領域が生成されることがわかりました。ですが、今までネットワークを指定せずにDocker runをしてきても、ネットワークには一応参加できていましたね。
これは、Dockerが最初から提供しているデフォルトのネットワークが存在するからです。このデフォルトのネットワークを『bridge』と呼び、IPで通信はできるものの、DNSによる名前解決はできないようになっています。
下画像の黄色い部分が、今回のbridgeネットワークになります。
host, none
- host: ホスト側とすべてのポートを1対1で関連付けるネットワークです。
- none: 外部とのネットワークを完全に遮断しているネットワークです。
これらのネットワークは、Bridgeと違ってIPアドレスを持ちません。
ネットワークの詳細をチェックするコマンド
記事中でdocker network inspect bridgeというコマンドについて触れましたが、ここまで来たならコマンドの意味は分かるかと思います。
- docker network inspect: ネットワークの詳細を表示するコマンド
- bridge: Dockerにデフォルトで用意されているネットワーク
つまり、Dockerにデフォルトで用意されているネットワークの詳細を確認した、ということになります。
オーバーレイネットワーク
この単語について簡単に説明します。
最近ではコンテナを単体で扱うのではなく、クラスタ単位で扱うオーケストレーションツールが主流になっています。オーケストレーションツールを使ったコンテナ制御では、物理的的に離れた場所にあるコンテナ同士も連携させることができます。
このような場合に活用されるのが、オーバーレイネットワークです。オーバーレイネットワークにより、物理的に離れたネットワーク同士も一つのネットワーク上にあるかのように扱うことができます。
以下のサイトなんかが参考になりそうでした。
最後に
以上でDockerネットワークに関する話は終了です。
Dockerのネットワークは深く知らなくてもdocker network create ~~~コマンドと--net ~~~オプションの基本的な使い方さえ理解していれば大抵は問題ないでしょう。しかし、ネットワークの内部動作を理解していると、問題発生時の対処やシステムの進化に対応する能力が大きく向上するはずです。
ですので、Dockerのネットワークに触れる際は今回の話を是非思い出してみてください。
また、今回でDockerをコンテナの基本的な講義は終了です。第1回から読んでいただいた方は本当にお疲れ様です。
次回からはDocker-composeやDockefileのような上位の技術に触れていくのでお楽しみに!
(次回更新までは少し期間が空くかと思います。ご了承ください……)
参考
公式サイトのネットワークの説明。日本語なのでとてもありがたい。
IPアドレスを指定したコンテナの立ち上げ方について参考にしました
最初はこちらの書籍で勉強しました