Como configurar a rede no Docker?

Uma das tecnologias mais revolucionárias foi a virtualização/containerização, que rompeu com o conceito tradicional de "uma máquina - um serviço". Se antes as empresas alugavam servidores inteiros para rodar suas aplicações, hoje é possível gerenciar espaços virtuais isolados, onde cada serviço possui seu próprio sistema de arquivos, processos e rede.

Servidores em nuvem a partir de R$23,41CPU Intel Xeon Gold 6254 de 3,1 GHz, SLA 99,9%, canal de 100 MbpsTeste

Muitos projetos modernos já são baseados nesse conceito, em que sistemas inteiros funcionam em um único servidor. Para isso, é essencial entender como funciona o sistema de rede nas plataformas de virtualização. Neste material, vamos abordar a implementação prática de uma infraestrutura de rede para contêineres.

Algoritmo da rede no sistema operacional

Para entender como os contêineres se comunicam, é preciso conhecer o subsistema de rede do sistema operacional, composto por interfaces, arquivos de configuração, netfilter e tabelas de roteamento.

• O pacote de dados chega à interface após ser processado pelo driver;
• Em seguida, passa pelo mecanismo de roteamento, que decide se o pacote deve ser redirecionado ou entregue ao aplicativo;
• Durante esse processo, é aplicado o filtro de pacotes, que pode modificar e bloquear o tráfego;
• Por fim, o tráfego sai da interface de rede da máquina.

Com esses componentes, é possível montar uma infraestrutura virtual de rede, mas ainda falta um "switch" virtual para organizar o ambiente. Para isso, utilizamos dispositivos de rede virtuais.

Agora, o esquema da pilha de rede com redes de contêineres é assim:

No contexto dos contêineres, cada um possui seu próprio namespace, com interfaces, regras de netfilter e tabelas de roteamento. No entanto, esses ambientes não conseguem se comunicar entre si diretamente.

Para habilitar a comunicação, usamos pares de interfaces virtuais veth, que permitem copiar o tráfego entre diferentes namespaces. Para concluir, conectamos essas interfaces a uma ponte (bridge), que atua como um switch virtual de camada 3, capaz de rotear pacotes entre ambientes.

Tipos de conexão de contêineres

O Docker oferece diferentes drivers para configuração de redes:

• bridge: cria uma rede interna com roteamento e comutador próprios;
• host: usa diretamente o namespace de rede do host, sem isolação;
• none: desativa a rede do contêiner;
• overlay: conecta vários daemons do Docker em uma rede unificada;
• macvlan: cria subinterfaces vinculadas ao host para comunicação direta com a rede externa;
• ipvlan: semelhante ao macvlan, mas com base em endereços IP.

Neste artigo, vamos considerar a configuração dos métodos principais e prioritários!

O comando de ajuda fornece informações básicas sobre opções de conexão de redes e contêineres.

Bridge ou MacVlan

Vamos considerar uma tarefa operacional, onde temos um conjunto de contêineres representando um sistema de informação. Nesses casos, é recomendável manter a gestão simples e a performance alta.

Vamos configurar MacVlan ou bridge, permitindo que o contêiner se comunique pela interface de rede do host com configurações próprias.

Inicie um contêiner nessa rede:

Verifique a conectividade:

Após o teste, você pode segmentar a rede para a nova infraestrutura.

Conexão via NAT/LAN com bridge

Também é possível usar conexões alternativas com segmentação mais restrita.

Conecte o contêiner:

Verifique conectividade:

Redirecionamento de portas:

Use este comando para inspecionar:

Conexões none e host none

Cria contêiner com rede desativada:

host: usa rede do sistema hospedeiro:

Isso garante acesso direto às interfaces e portas do host.

Infraestrutura com Serverspace Caso você precise de recursos adicionais, use os servidores em nuvem da Serverspace. Eles oferecem VPS isolados para ambientes virtualizados e testes de rede.

A implantação leva apenas alguns minutos. Em seguida, conecte-se e comece a configurar sua infraestrutura de rede segura, com autenticação, filtragem e controle de tráfego.