Docker Compose入門 (3) ~ネットワークの理解を深める~

公開日

前回(第2回)は、Apache httpdのCompose環境を例に、シンプルな開発環境の構築方法を学びました。今回取り上げるのは、Dockerに対応したアプリケーションを考える上で欠かせない、コンテナ間のDocker内部ネットワークと名前解決についてです。

名前空間(namespace)の分離とコンテナ間通信

通常のLinuxホスト上では、複数のプロセスがポートを重複して開くことはできません。たとえば、ApacheとNginxはデフォルトでTCPポート80番を使用しますが、それぞれが同じTCPポート80番を同時に使用できません。

一方で、複数のプロセスをコンテナとして動かせば、お互いの動作には何ら影響がありません。コンテナとして実行すると、PIDなどの名前空間が隔離(isolate)され、お互いのプロセスが見えない状態で動作するからです。それだけでなく、コンテナごとにネットワークも隔離されるため、コンテナ内で各々のプロセスがポートをリッスンしていたとしても、(ホスト側で使用するポート番号が重複しなければ)お互いに影響を与えず起動し続けられます。

これはDockerだけに限らず、Docker Composeを使う場合も同じです。Docker Composeを使えば、コンテナと同じように、1つのホスト上でも複数のアプリケーションを実行できます。Docker Composeでアプリケーションを実行すると、そのプロセスのPID等の名前空間分離は勿論、ネットワークやボリュームもアプリケーションごとに分離できるからです。

Docker Composeを使えば、docker-compose.yamlファイルに記述した、同じComposeのプロジェクト内に存在するコンテナ間(サービス)で通信可能なネットワークを作成します。これはユーザ定義・ブリッジ・ネットワークと呼ばれ、コンテナ間での通信を行うだけでなく、インターネットなどホスト上にあるネットワークとの通信もやりとり(ブリッジ)します。

それでは、Composeにおけるネットワークを触れる前に、コンテナのネットワーク機能について理解しておきましょう。

Dockerのネットワークモデル

改めて、Dockerコンテナは、デフォルトではコンテナ外部のネットワークと通信できません。コンテナの特徴の1つである隔離(isolate)する対象とは、プロセスやファイルシステムだけでなく、ネットワークに対しても同様です。そのため、「docker run」コマンドで複数のコンテナを実行しても相互に通信できない場合があります。意図した通りにコンテナ間で通信を行うには、適切な理解に基づく設定が必要です。

何も考えずに「docker run」コマンドを実行すると、通常は「bridge0」という名前のブリッジ・ネットワークに接続します。これがデフォルトのブリッジ・ネットワーク(bridge network)です。ブリッジとは、一般的なネットワークの機能であり、別々のネットワーク・セグメント間で通信できるようにする働きがあります。Dockerにおけるブリッジ・ネットワークも似たような概念で、同じブリッジ・ネットワーク上に接続しているコンテナは、お互いに通信できます。そのため、コンテナ起動時、コンテナが接続するネットワークを指定しないコンテナ間では、お互いにコンテナが持つIPアドレスを使っては通信できます。

しかしここで重要なのは、コンテナのIPアドレスが変わってしまった場合の対処です。せっかくコンテナを導入し、簡単にアプリケーションをスケールアウトしやすくなったのに、コンテナ間の通信でIPアドレスが必要であれば、これまでのサーバ上での利用と何ら変わらないでしょう。それどころか、アプリケーションのプロセス単位ごとに1コンテナという概念をも忠実に守るのであれば、通常のサーバ利用よりも管理や設定が大変になりがちです。むしろそれなら、コンテナを導入しないほうが楽でしょう。

そもそもDockerのコンセプトは、アプリケーションの開発・移動・実行を簡単にするためのソフトウェアです。そのために、Dockerにはコンテナ間で通信したり処理の負荷分散したりするため、ネットワーク内部で利用可能な「コンテナ名」「IPアドレス」の名前解決(サービス・ディスカバリ)を行う仕組みが標準で搭載されています。つまり、コンテナ間の通信は、コンテナのIPアドレスを指定するのではなく、通信先をコンテナ名で指定できるのです。そうしておけば、スケールできる環境においてもIPアドレスを意識する必要がなくなります。コンテナ間の通信や負荷分散が容易になるのは、コンテナ導入の大きなメリットです。

ただし、注意が必要なのはデフォルトの「bridge0」という名称のブリッジ・ネットワークでは、この名前解決機能がありません。コンテナ間の通信でサービス・ディスカバリを有効化するには、自分でブリッジ・ネットワークを作成する必用があります。これをDockerではUser Defined Bridge Network(ユーザ定義ブリッジ・ネットワーク)と呼びます。

また、Dockerコンテナが認識できるネットワークは、他にもあります。以降では、Dockerのネットワークモデルをみていきます。

Docker標準の3つのネットワークモデル

Dockerは初期状態で3つのネットワークを持っています。Dockerのネットワークを確認するコマンドは「docker network ls」です。こちらを実行しましょう。

# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
e5dd457767fd        bridge              bridge              local
8836c0e5c268        host                host                local
acdbf891b515        none                null                local

表示結果の「NAME」列がネットワーク名で、「DRIVER」列はネットワーク・ドライバ、「SCOPE」列は対象ネットワークの適用範囲です(localは自分のホスト上のみが対象)。

  • 「bridge」はLinuxのブリッジ機能を使うブリッジ・ネットワークで、コンテナ内からの通信はインターネット側にルーティングされます。
  • 「host」はコンテナがホスト側のネットワーク・インターフェースを共有するものです。ネットワークが隔離しないため、コンテナ内でプログラムがポートをリッスンすると、そのままインターネット側と通信可能になるモードです。
  • 「none」はコンテナにネットワーク・インターフェースを持たせない機能です。そのため、コンテナは内外の通信ができません。

コンテナ起動時、どのネットワークに接続するかは「--net」オプションで指定します。たとえば「host」ネットワークに接続するには、次のように実行します。

docker run -itd --net host --name hostnginx nginx:alpine

通常のnginxのコンテナであれば、ホスト外からの通信をするには「-p」オプションの指定が必須でした。ですが、hostネットワークを使っていますので、コンテナとして実行しているnginxがリッスンしているポート80が、特に何の制限なく、ホスト外からも通信できます。

hostネットワークに接続しているコンテナは、起動時に-pオプションや-Pオプションでポートの割り当てをしなくても通信可能です。ブラウザでサーバのIPアドレスを開くと、Nginxの初期画面を表示できます。

同様に、「none」ネットワークを使ってコンテナを起動しましょう。

# docker run -it --net none --rm nginx:alpine ip a
(省略)
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever

ブリッジネットワークやホストネットワークではeth0という仮想的なインターフェースが表示されますが、noneネットワークでは外部と通信するインターフェースそのものが表示できません。

また、pingを実行しようとしても、外部との通信はできません。コンテナ内で「1.1.1.1」への通信を試みても、次のように"ネットワークに疎通しない"という応答しかありません。

# docker run -it --net none nginx:alpine ping -c 3 1.1.1.1
PING 1.1.1.1 (1.1.1.1): 56 data bytes
ping: sendto: Network unreachable

このように3つのネットワークを、コンテナの必要性に応じて使い分けできます。

ブリッジ・ネットワークの挙動をコマンドを実行して理解しよう

それでは、コンテナ内でコマンドを実行しながら挙動を理解しましょう。

まずはじめに、デフォルトのbridge0ブリッジ・ネットワークの挙動を確認します。Alpine Linuxのコンテナを実行しましょう。

docker run -itd --name alpine1 alpine /bin/sh
docker run -itd --name alpine2 alpine /bin/sh

この状態でdocker psコマンドを実行すると、次のように2つのAlpine Linuxを使ったコンテナが実行中と分かります。

# docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
cc96f77523e8        alpine              "/bin/sh"           2 seconds ago       Up 1 second                             alpine2
66b2da8c974e        alpine              "/bin/sh"           3 minutes ago       Up 3 minutes                            alpine1

この時、各コンテナのIPアドレスを確認するには「docker network inspect」コマンドを使います。ブリッジ・ネットワークのネットワーク情報を確認するには、次のように実行します。

# docker network inspect bridge
(省略)
        "Containers": {
            "66b2da8c974eae0788c0d404a5032fe07f8639b820cf5840c7b8236211cc2bae": {
                "Name": "alpine1",
                "EndpointID": "3a22242a0e490290f5904561144c22192bd4c2b0b0103bd970f1036b4ca78445",
                "MacAddress": "02:42:ac:11:00:02",
                "IPv4Address": "172.17.0.2/16",
                "IPv6Address": ""
            },
            "cc96f77523e83694324c11442f188820b4f6c1d5eaae7b9d8f41fc993acf8211": {
                "Name": "alpine2",
                "EndpointID": "7f1e50e69c7fcdb4381d27245d3e4e4cf8a712001833ddc9181f2652bf612f0c",
                "MacAddress": "02:42:ac:11:00:03",
                "IPv4Address": "172.17.0.3/16",
                "IPv6Address": ""
            }
        },
(省略)

この結果から、「alpine1」コンテナのIPアドレスは172.17.0.2、「alpine2」コンテナのIPアドレスは172.17.0.3と分かります。コンテナの中でip addrコマンドを実行し、インターフェースのIPアドレスを確認します。また、routeコマンドを実行してゲートウェイアドレスも確認します。

# docker exec -it alpine1 /bin/sh
/ # ip addr
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
35: eth0@if36:  mtu 1500 qdisc noqueue state UP
    link/ether 02:42:ac:11:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.2/16 brd 172.17.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         172.17.0.1      0.0.0.0         UG    0      0        0 eth0
172.17.0.0      *               255.255.0.0     U     0      0        0 eth0

この状態で、alpine2コンテナへの通信を、IPアドレスとホスト名で試しましょう。

/ # ping -c 3 172.17.0.3
PING 172.17.0.3 (172.17.0.3): 56 data bytes
64 bytes from 172.17.0.3: seq=0 ttl=64 time=0.269 ms
64 bytes from 172.17.0.3: seq=1 ttl=64 time=0.134 ms
64 bytes from 172.17.0.3: seq=2 ttl=64 time=0.122 ms
--- 172.17.0.3 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.122/0.175/0.269 ms
/ # ping -c 3 alpine2
ping: bad address 'alpine2'
/ #

pingはIPアドレスでは疎通しますが、ホスト名では疎通できないことが分かります。次は、自分でブリッジ・ネットワークを作成しましょう。

/ # [root@docker ~]# docker network create mybridge
bc51faf6c0b7dccbb897c538e5af444597a8366b238edd65b4711121cccac0f2
[root@docker ~]# docker network ls
NETWORK ID          NAME                DRIVER              SCOPE
e5dd457767fd        bridge              bridge              local
8836c0e5c268        host                host                local
bc51faf6c0b7        mybridge            bridge              local
acdbf891b515        none                null                local

それから、先ほど同様alpine3、alpine4のコンテナを作成します。ただし、接続先のネットワークは今回使ったmybridgeネットワークに接続します。

[root@docker ~]# docker run -itd --net mybridge --name alpine3 alpine  /bin/sh
135a4fdd1f9f04a90d656431da7871b025fc734eaabab6e9098db26792949764
[root@docker ~]# docker run -itd --net mybridge --name alpine4 alpine  /bin/sh
2f892246b6ecddc1dcd1ba3e0b68ad0330b84458e76d90f04849a97f8eb2214d
[root@docker ~]#

この状態で「docker network inspect mybridge」を実行します。先ほどとはネットワークのアドレスブロックが違うのが分かります。また、コンテナに割り当てられるIPアドレスも標準のブリッジ・ネットワークとは異なります。

[root@docker ~]# docker exec -it alpine3 /bin/sh
/ # ip a
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
40: eth0@if41:  mtu 1500 qdisc noqueue state UP
    link/ether 02:42:ac:19:00:02 brd ff:ff:ff:ff:ff:ff
    inet 172.25.0.2/16 brd 172.25.255.255 scope global eth0
       valid_lft forever preferred_lft forever
/ # route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         172.25.0.1      0.0.0.0         UG    0      0        0 eth0
172.25.0.0      *               255.255.0.0     U     0      0        0 eth0

ところで、この自分で作成したブリッジ・ネットワークに接続した状態では、先ほどのalpine1コンテナには通信できません。なぜなら、接続しているネットワークが違うからです。そのため、pingを時刻しても応答はありません。

/ # ping 172.17.0.2
PING 172.17.0.2 (172.17.0.2): 56 data bytes
^C
--- 172.17.0.2 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss
/ # ping 172.17.0.3
PING 172.17.0.3 (172.17.0.3): 56 data bytes
^C
--- 172.17.0.3 ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss

ただし、同じネットワーク内にあるalpine3からalpine4への通信は可能です。

/ # ping -c 3 172.25.0.3
PING 172.25.0.3 (172.25.0.3): 56 data bytes
64 bytes from 172.25.0.3: seq=0 ttl=64 time=0.119 ms
64 bytes from 172.25.0.3: seq=1 ttl=64 time=0.127 ms
64 bytes from 172.25.0.3: seq=2 ttl=64 time=0.132 ms
--- 172.25.0.3 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.119/0.126/0.132 ms

そして、自分で作成したブリッジ・ネットワーク内ではIPアドレスだけでなく、「コンテナ名」でも疎通可能になります。

/ # ping -c 3 alpine4
PING alpine4 (172.25.0.3): 56 data bytes
64 bytes from 172.25.0.3: seq=0 ttl=64 time=0.138 ms
64 bytes from 172.25.0.3: seq=1 ttl=64 time=0.109 ms
64 bytes from 172.25.0.3: seq=2 ttl=64 time=0.184 ms
--- alpine4 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 0.109/0.143/0.184 ms
/ #

このように、自分で定義したネットワークであればIPアドレスだけでなく、コンテナ名で通信可能となります。

振り返り

Dockerには独自のネットワーキング・モデルがあり、複数のコンテナ間で通信をするには、このネットワーキング・モデルの理解が欠かせません。Dockerコンテナ間でサービス名(コンテナ名)で名前解決するためにはブリッジ・ネットワークが必要です。Docker Composeは、プロジェクト単位で内部通信用のブリッジ・ネットワークを持ち、IPアドレスとコンテナ名の名前解決が可能になっています。次回は、このネットワークの特性を理解した上で、Docker Composeでのネットワーク活用方法をみていきます。