따배도 도커 시리즈 9] 컨테이너간 통신(네트워크)

📌 공부 계기

추가적인 도커 공부를 위해 유튜브 따배도 도커 시리즈를 보면서 정리해 봅니다. 

 

목차

 

📍9-1. 컨테이너 간 통신 (네트워크) : 이론

1️⃣ 컨테이너는 어떻게 통신하나요?

 

* 컨테이너를 생성하게 되면 컨테이너는 Net namespace^[각주:1]라는 기술을 통해서 구현된 가상화로 각자 독립된 네트워크 공간을 할당 받는다. 

 

 

• 컨테이너의 네트워크 모델 

 

① 컨테이너를 생성시 eth0라는 네트워크 인터페이스를 컨테이너에 할당

② 그와 동시에 호스트에도 veth(virtual ethernet)라는 네트워크 인터페이스가 할당

③ 이 veth를 통해 컨테이너의 eth0 인터페이스와 서로 통신

 

④ 그리고 호스트 veth는 docker0과 바인딩되고 

⑤ docker0는 호스트의 eth0 인터페이스 연결되어 

⑥ 외부로부터 들어온 요청을 연결 

 

 

* ethernet 이란?

컴퓨터 네트워크 방식으로 가정이나 건물과 같은 로컬 환경(LAN)에서 가장 많이 활용되는 기술 규격이다.

이더넷은 OSI 모델의 물리 계층에서 신호와 배선, 데이터 링크 계층에서 MAC(media access control)패킷과 프로토콜의 형식을 정의한다. 

네트워크에 연결된 각 기기들이 48비트 길이의 고유의 MAC 주소를 가지고 이 주소를 이용해 상호간에 데이터를 주고 받을 수 있도록 만들어져 있다.

 

* docker0 란?

docker0 인터페이스는 호스트의 eth0 인터페이스와 컨테이너 eth0 사이의 중재자 역할, 연결 다리 역할을 하는 가상 브릿지로 도커를 설치하면 도커 내부로직에 의해 자동으로 설정되며, 자동으로 IP를 할당받게 된다. 

(기본 172.17.X.X로 시작하며 netmask는 255.255.0.0으로 설정

 

* veth (virtual ethenet) 란?

컨테이너 생성시 도커가 자동으로 생성해주는 가상의 네트워크 인터페이스로, 항상 쌍으로 생성된다.

하나는 vethxxxx 라는 이름으로 호스트에 생성되어 docker0에 바인딩 되는 것 하나와

eth0라는 이름으로 컨테이너 내부에 생성되어 veth와 연결하는 것 하나를 생성한다. 

 

 

• 그래서 컨테이너 네트워크는 

- virtual ethernet bridge : 172.17.0.0/16

- L2^[각주:2] 통신기반

- container 생성 시 veth 인터페이스 생성 (sandbox)

- 모든 컨테이너는 외부 통신을 docker0 통해 진행

- container running시 172.17.X.Y로 IP 주소할당

 

 

 

1) 이더넷 ip 주소 조회

ip address

docker0에 컨테이너 돌리니까 veth까지 보인다

** wsl2 환경에서는 별도로 bridge 기능을 활성화 하지 않으면 docker0이 보이지 않는다고 한다.

 

 

---

2️⃣ 컨테이너 포트를 외부로 노출할 수 있어요?

 

Port Forwarding 을 통해 포트를 외부로 노출시킬 수 있다. 

 

docker run [-p 호스트포트:컨테이너포트] <이미지명:태그>

 

iptables rule을 통해 포트 노출이 가능한데 포트포워딩을 하면 방화벽 룰이 만들어져 연결 가능

아래 명령어로 포트포워딩 된거 확인 가능

iptables -t nat -L -n -v

 

* 80포트를 열고있는 컨테이너들이 여러개인 것은 가능 하나 호스트의 eth0 에 80포트로 연결될 수 있는 건 하나. 컨테이너 끼리는 ip가 달라서 포트가 80포트로 같아도 각자의 포트라 상관없지만 연결되는 호스트의 포트 80은 단 하나만 존재하기 때문이다. 그러므로 nginx를 여러개 연결해주고 싶다면, 80포트가 아닌 다른 포트로 연결시키면 된다. 

* 포트끼리는 꼭 같은 포트로 일치시킬 필요 없다.

 

* 호스트 포트 중 사용하지 않고 있는 포트 중에 랜덤으로 부여하고 싶다면

# 호스트포트는 랜덤으로 지정
docker run [-p 컨테이너포트] <이미지명:태그>

만약 대문자 P만 한다면 dockerfile에서 expose로 정의하고 있는 포트에 맞춰 랜덤 포트를 설정하게 된다. 

docker run -P <이미지명:태그>

 

 

---

3️⃣ 컨테이너 네트워크를 추가할 수 있나요?

docker0에 할당되는 ip는 원하는대로 static할당이 불가능하다 

그럼 static으로 할당하거나 원하는 ip대역대에 할당하고 싶다면 

docker0의 대역대를 바꾸거나 유저 정의의 네트워크를 생성하면 가능하다 

 

1) 네트워크 생성 

# docker network create [--driver 방식] [--subnet 대역대/사이더] [--gateway ip주소설정] <네트워크명>
docker network create --driver bridge --subnet 192.168.100.0/24 --gateway 192.168.100.254 mynet

 

* driver : bridge 형태의 네트워크나 호스트 또는 non base의 네트워크를 할 것인지 설정 가능

* subnet : 서브넷 대역대 설정. 생략하게 되면 docker0에 따른 순서적인 대역대가 설정된다. 

* gateway : 컴퓨터 네트워크에서 서로 다른 통신망, 프로토콜을 사용하는 네트워크 간의 통신을 가능하게 하는 컴퓨터나 소프트웨어를 두루 일컫는 말로, 즉 다른 네트워크로 들어가는 입구 역할

 

 

🧐❓ IP주소 뒤 /숫자는 뭐지? CIDR (사이더)야! 사이더는 또 뭔데!?

정의로 하자면 Classless Inter-Domain Routing 으로 클래스 없는 도메인간 라우팅 기법이라고 한다.

(이게 무슨말이야)

 

➕ IP에도 클래스가 있단 말이야?
사이더를 알기 전에 먼저 IP클래스가 어떻게 나뉘는 지 부터 보자.

 

1️⃣ A클래스

맨앞자리 수가 항상 0인 경우로 2진수로 표현하면 0xxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx 이다. 

범위는 00000000.00000000.00000000.00000000 (0.0.0.0) ~ 01111111.11111111.11111111.11111111 (127.255.255.255) 이다.

 

A클래스는 하나의 네트워크가 가장 많은 호스트 수를 가질 수 있는 클래스이며, 

ip주소 첫 옥테드^[각주:3] 까지를 네트워크 범위로 한다

 

첫 옥테드 붉은 자리는 네트워크 범위, 뒤의 3개의 옥테드 파랑 부분은 호스트 범위

00000000

00000000

00000000

00000000

네트워크는 첫자리 0은 고정이라 이를 제외하면 2^7개 까지 가능하지만, 127은 루프백주소^[각주:4] 라 제외되야해서 네트워크 번호는 1~126까지 가능하다.

 

만약 13.0.0.0의 네트워크를 할당 받으면 13부분이 네트워크, 나머지 0.0.0은 호스트 IP로 할당 가능한데

이 경우 13.0.0.0은 네트워크 주소 표현을 위해, 13.255.255.255는 브로드캐스트 주소로 사용하기 위해 빠지게 되고 이를 제외한 나머지 주소들은 전부 할당할 수 있어서 ip개수의 식이

(2^(호스트 2진수 수))-2 개로 위에서는 (2^24)-2개가 된다.  

 

네트워크 개수	호스트 개수
2^7 - 1 (앞이 0고정에, 127제외)	2^24 - 2 (네트워크 주소 0.0.0과 브로드캐스트 주소 255.255.255 제외)

 

---

2️⃣ B클래스

 

B클래스는 반드시 10으로 시작하며 2진수로 표현하면 10xxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx 된다.

128.0.0.0 ~ 191.255.255.255까지의 범위를 지닌다

앞이 10으로 고정되어 127 이후의 128 부터 네트워크 범위가 시작.

 

네트워크 범위가 두번째 옥테드 까지이다

 

00000000

00000000

00000000

00000000

네트워크 개수	호스트 개수
2^14 (앞의 10이 고정)	2^16 - 2 (네트워크 주소 0.0.0과 브로드캐스트 주소 255.255.255 제외)

 

---

 3️⃣ C클래스

 

C클래스는 반드시 110으로 시작하며 2진수로 표현하면 110xxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx  이며

앞이 110으로 고정되어 192.0.0.0 ~ 223.255.255.255 까지의 범위를 갖는다고 한다. 

 

네트워크 범위가 세번째 옥테드 까지이다

네트워크 범위가 가장 크므로 상대적으로 호스트 개수를 가장 적게 가질수 있는 클래스이기도 하다. 

 

00000000

00000000

00000000

00000000

네트워크 개수	호스트 개수
2^21 (앞의 110이 고정)	2^8 - 2 (네트워크 주소 0.0.0과 브로드캐스트 주소 255.255.255 제외)

 

---

클래스가 어떻게 나뉘는지 알아 보았다면 이제 다시 사이더로 돌아와 보자. 

 

IP주소를 2진수로 된 8비트 4개 블록으로 나누면 총 32개의 자리수가 생긴다

사이더는 32까지의 수를 사용하는 데 이 말인 즉슨 이 아래 자릿수들을 해당 수 만큼 고정하여 그룹핑하게 된다.

00000000

00000000

00000000

00000000

/24를 예로 들자면 아래 붉은 숫자 24개까지 같은 IP주소를 사이더 그룹으로 만들게 된다. 

00000000

00000000

00000000

00000000

예시로 192.168.100.0 에서 24 사이더를 설정해주게 되면 아래와 같은 수가 고정 ip가 되고 나머지가 호스트로 배정된다. 

11000000

10101000

01100100

00000000

C클래스와 범위가 같아서 뭐가 다르냐?! 싶지만

 

기존 클래스는 옥테드 단위로만 그룹을 나눌 수 있었다면! 

사이더를 사용하게 되면 /16, /24, /32 옥테드 기준이 아닌 그 외의 숫자로도 사이더 블록으로 그룹핑이 가능해서 

클래스와 상관없이 라우팅이 가능하기 때문에 사이더를 클래스 없는 도메인간 라우팅 기법이라고 한다.

 

기존의 Network Class 방식에 비해 유연하게 동작할 수 있고 그룹들을 계층적으로 관리가능 해 IP 주소 체계를 보다 효율화할 수 있게 해준다.

 

2) 네트워크 조회 

docker network ls

 

3) 컨테이너 생성시 네트워크 설정 

net 옵션으로 네트워크를 설정하지 않으면 기본 docker0로 설정된다. 

ip옵션도 설정해주지 않는다면 설정되는 네트워크 대역폭에서 순차적으로 배정된다.

(docker0로 네트워크가 설정되어 있다면 ip옵션을 사용해 static ip 할당이 불가능하다. 유저 정의 네트워크만 가능)

# docker run [-d] [--name 컨테이너명] [--net 네트워크이름] [--ip ip주소] [-p 호스트포트:컨테이너포트] <이미지명:태그>
docker run -d --name web --net mynet --ip 192.168.100.100 -p 80:80 nginx:1.14

 

 

 

---

 

4️⃣ 컨테이너끼리 통신은 어떻게 하나요?

컨테이너 간의 통신을 이용해 프론트 서버와 백 서버를 연결하여 사용할 수도 있다. 

 

1) 연결할 컨테이너 하나 생성 

예시로 mysql의 컨테이너를 생성할 건데 mysql의 컨테이너는 생성시 환경변수 설정이 필요하다.

e옵션으로 environment 환경변수를 사용해 mysql 계정 비밀번호를 설정

(v옵션으로 호스트에 데이터 저장할 수 있도록 볼륨마운트)

# e옵션 (environment 환경변수)
docker run -d --name mysql -v /dbdata:/var/lib/mysql \
-e MYSQL_ROOT_PASSWORD=wordpress \
-e MYSQL_PASSWORD=wordpress \
mysql

 

2) 연결할 다른 컨테이너 하나 생성 

여기서 다른 컨테이너와 연결하려면 link 옵션을 사용해야 한다. 

# --link 연결할컨테이너명:임의명칭
docker run -d --name wordpress --link mysql:mysql \
-e WORDPRESS_DB_PASSWORD=wordpress \
-p 80:80 wordpress:4

 

 

 

 

 

---

📍9-2. 컨테이너 간 통신 (네트워크) : 실습

1️⃣ 컨테이너 네트워크 사용하기 & 컨테이너 포트 외부로 노출하기

 

1) 도커 bridge, eth0 주소 확인 

ip address

도커 0에 할당된 ip확인

 

 

brctl은 이더넷 브리지 관리 도구로 bridge-utils 패키지에 포함되어 있다. 

apt-get을 업데이트하고 apt-get install bridge-utils 해서 설치해주면 사용할 수 있다. 

 

아래 명령어를 쳐보면 docker0가 브리지 인터페이스임을 확인할 수 있다. 

brctl show

 

 

 

2) 컨테이너 하나를 생성하여 할당된 아이피를 확인해보자 

docker run -it --name c1 busybox

c1을 종료하지 말고 다른 세션으로 접속해 또하나의 busybox를 돌려보면

그 다음 아이피를 할당 받은 것을 확인할 수 있다.

다른 컨테이너로 웹서버를 하나 돌려봐도 그 다음 아이피가 할당 된 걸 확인 할 수 있다. 

 

그리고 이러한 컨테이너들은 docker0를 통해 외부로 나간다.

 

 

3) 좀 더 자세하게 보기

docker inspect c1

* sandbox : 컨테이너의 네트워크 환경

* endpoint : veth, 네트워크 인터페이스 

 

만약 컨테이너에서 신호가 나가려면 gateway를 통해 나간다 

이걸 받는 브리지 인터페이스는 자신의 ip주소를 호스트 ip address로 바꾸어 외부로 보내는 Masquerade 서비스 (마스커레이드), nat 서비스 (Network Address Translation) 를 지원하게 된다. 

 

 

아래 명령어로 nat 테이블을 보면 docker0에서 나가는 것은 어디로든 마스커레이드를 해준다는 게 표시가 되어 있다. 

iptables -t nat -L -v

 

 

---

2️⃣ 컨테이너 포트 외부로 노출하기

 

• 포트포워딩 옵션들

# 호스트포트:컨테이너포트
docker run --name web1 -d -p 80:80 nginx:1.14
# 컨테이너포트
docker run --name web2 -d -p 80 nginx:1.14
# 대문자 P, expose 설정된 포트에 맞추는 옵션
docker run --name web3 -d -P nginx:1.14

 

1) 호스트 포트와 컨테이너 포트 둘다 설정 

docker run -p 80:80 -d --name web1 nginx

외부에서 컨테이너로 접근까지 확인!

 

2) 컨테이너 포트만 설정

호스트에서 사용하지 않는 포트 중 하나가 랜덤으로 컨테이너 80포트와 연결됨

docker run -p 80 -d --name web2 nginx

랜덤으로 32768 할당

 

3) 대문자 P 옵션 : dockerfile에 설정된 expose되어 있는 포트만큼 설정

허브에서 다운 받은 이미지들은 허브 상세 dockerfile에서 어느 포트에 설정되어 있는지 확인 할 수 있다. 

테스트해보려는 nginx 공식 dockerfile에는 expose로 80이 설정되어 있으므로 대문자 P 옵션 사용시 80으로 설정된다. 

이미 80이 있다면 랜덤포트로 설정하게 된다. 

여러개 expose되어 있다면 여러개 모두 설정된다. 여러개가 중복이라면 이또한 랜덤포트로 설정

docker run -P -d --name web3 nginx

중복된 80포트를 피해, 또 임의로 중복될 수 있는 그다음 포트를 피해 32769로 할당된 걸 볼 수 있다. 

 

 

 

📢 이렇게 3가지로 포트포워딩해 외부로 부터 커넥션하여 서비스 할 수 있게 된다. 

 

---

3️⃣ 유저 정의 (user-defined) 네트워크 구성하기

 

1) 네트워크 조회

docker network ls

여기서 bridge을 쓰고 있는게 docker0 이다

 

 

2) 네트워크 생성

docker network create --driver bridge --subnet 192.168.100.0/24 --gateway 192.168.100.254 mynet

* driver 설정 안해도 기본 설정이 bridge

* subnet 설정을 안하면 기본 도커가 쓰는 대역폭이 172.17 부터 시작하므로 그 이후로 설정된다. 

* 게이트웨이를 설정 안하면 대역폭 네트워크 주소를 제외하고 가장 첫번째 아이피를 사용한다.  

 

3) 네트워크 상세 조회

# docker network inspect <네트워크명>
docker network inspect mynet

 

 

4) 네트워크 사용 컨테이너 생성

# --net 네트워크명
docker run -it --name c1 --net mynet busybox

설정한 ip를 사용하는 것을 확인!

 

 

---

4️⃣ 컨테이너 서비스 운영

컨테이너를 통해 서버와 클라이언트 서비스를 운영해보자 

 

1) mysql 컨테이너 생성 및 실행

docker run -d --name mysql -v /dbdata:/var/lib/mysql \
-e MYSQL_ROOT_PASSWORD=wordpress \
-e MYSQL_DATABASE=wordpress \ 
-e MYSQL_USER=wordpress \
-e MYSQL_PASSWORD=wordpress \
mysql

 

2) wordpress 컨테이너 생성 및 실행

docker run -d --name wordpress --link mysql:mysql \
-e WORDPRESS_DB_HOST=db \
-e WORDPRESS_DB_USER=wordpress \
-e WORDPRESS_DB_PASSWORD=wordpress \
-e WORDPRESS_DB_NAME=wordpress \
-p 80:80 wordpress

 

흠... wsl로 하면 db 연결 실패했다하고

버박으로하면 Failed to connect to localhost port 80 뜨고....

마지막 연결 부분에 있어서 이슈가 있는 데 이부분은 해결하면 추가예정!

 

 

---

도커 네트워크 구조 참조

[Docker] Docker Network (docker0와 veth)

 

1. Net namespace
   Network interface, iptables 등 네트워크 리소스와 관련된 정보를 분할하여 각각의 다른 namespace에 할당 [본문으로]
2. L2 (Layer 2)
   OSI계층의 2번째 레이어인 데이터 링크 계층 통신을 말한다 [본문으로]
3. 옥테드 octet
   2진수 8자리를 옥테드라고 한다. [본문으로]
4. 루프백주소
   네트워크상에서 자신을 나타내는 가상적인 주소이며, 자신에게 다시 네트워크 입력이 들어온다고 하여 루프백(Loopback) 주소라 한다 [본문으로]