Магия сетей в Docker Compose: От изоляции до взаимодействия

Docker Compose превращает управление многоконтейнерными приложениями в элегантный танец, где сети — это невидимые нити, связывающие всё воедино. Понимание настройки сетей — это ключ от двери к созданию надёжных, безопасных и эффективных микросервисных архитектур, где каждый контейнер знает своё место и способ общения с соседями.

Основы сетей в Docker Compose

По умолчанию Docker Compose создаёт для вашего проекта (стеку сервисов) одну общую сеть bridge. Все сервисы, описанные в файле docker-compose.yml, подключаются к ней автоматически. Внутри этой сети контейнеры могут находить друг друга по имени сервиса, который выступает в роли DNS-имени. Это фундаментальный принцип service discovery.

Имя сети, создаваемой по умолчанию, формируется на основе названия папки проекта. Например, проект в папке myapp получит сеть myapp_default.

Явное определение сетей

Для сложных сценариев вы можете и должны определять сети явно в корневом разделе networks. Это даёт полный контроль.

version: '3.8'
services:
  web:
    image: nginx:alpine
    networks:
      - frontend
      - backend

  api:
    image: my-api:latest
    networks:
      - backend

  database:
    image: postgres:15
    networks:
      - backend
      - admin

networks:
  frontend:
    driver: bridge
  backend:
    driver: bridge
    internal: true  # Сеть без выхода наружу
  admin:
    driver: bridge
    ipam:
      config:
        - subnet: \"172.20.0.0/24\"

Типы сетевых драйверов и их применение

Docker предоставляет несколько драйверов, каждый для своих задач.

bridge (по умолчанию): Частная внутренняя сеть хоста. Идеально для изолированного взаимодействия контейнеров на одной машине.
host: Полностью убирает сетевую изоляцию между контейнером и хостом. Контейнер использует сетевой стек хоста напрямую. Максимальная производительность, но минимальная безопасность.
overlay: Позволяет контейнерам на разных хостах Docker Swarm общаться так, будто они в одной сети. Основа для кластерных развёртываний.
macvlan: Назначает контейнеру собственный MAC-адрес, делая его видимым в физической сети как отдельное устройство. Полезно для legacy-приложений, требующих реального IP-адреса.
none: Полное отключение сети для контейнера.

Сеть с параметром internal: true полностью изолирована от внешнего мира (интернета и хоста). Это мощный инструмент для создания безопасного бэкенда, доступного только другим контейнерам.

Практические паттерны настройки

1. Сегментация (Frontend/Backend)

Разделение на внешнюю (frontend) и внутреннюю (backend) сети повышает безопасность. Веб-сервер (nginx) живёт в обеих, получая запросы извне и общаясь с API внутри. База данных находится только в backend-сети.

2. Подключение к внешним сетям

Вы можете подключить сервис к сети, созданной вне Compose (например, вручную через docker network create или другой композ-файл).

services:
  myapp:
    image: myapp
    networks:
      - my-predefined-network

networks:
  my-predefined-network:
    external: true
    name: existing-network-name

3. Настройка статических IP-адресов и Aliases

Хотя обычно достаточно имён сервисов, иногда нужен фиксированный IP.

services:
  app:
    networks:
      mynet:
        ipv4_address: 172.28.1.5
        aliases:
          - app-alias.local

networks:
  mynet:
    ipam:
      config:
        - subnet: 172.28.0.0/16

Порты и проброс

Раздел ports в описании сервиса — это маппинг портов с хоста в контейнер (\"HOST:CONTAINER\"). Для внутреннего общения между контейнерами в одной сети пробрасывать порты на хост не нужно — они общаются напрямую.

FAQ: Часто задаваемые вопросы

Как контейнеры находят друг друга по имени?

Docker Compose встраивает в создаваемую сеть встроенный DNS-сервер. Когда контейнер пытается разрешить имя другого сервиса (например, database), DNS возвращает внутренний IP-адрес этого контейнера в данной сети.

Нужно ли указывать сети для каждого сервиса?

Если вы определяете свои сети в разделе networks, то да — нужно явно подключать сервисы к нужным сетям. Иначе они не будут подключены ни к одной пользовательской сети.

Что такое сеть \"default\"?

Это сеть, создаваемая автоматически, если вы не определили свои. Если вы определяете свои сети, но хотите, чтобы некоторые сервисы всё ещё использовали автоматическую сеть, вы можете указать для них networks: [\"default\"].

Как удалить неиспользуемые сети после остановки проекта?

Используйте команду docker-compose down --remove-orphans или docker network prune для очистки всех неиспользуемых сетей в системе.

Можно ли изменить настройки DNS для сети?

Да, в определении сети можно указать dns и dns_search опции, аналогично настройкам для отдельного контейнера.