Réseau Docker Avancé
Advanced features available in the app
- Images
- Mathematical formulas
- Professional and academic diagrams in the app
Fiche de Révision : Réseau Docker Avancé
Introduction
Docker facilite le déploiement d’applications grâce à la conteneurisation, mais pour des applications complexes, la gestion avancée des réseaux Docker devient indispensable. Maîtriser les réseaux Docker avancés permet d’orchestrer la communication entre conteneurs, optimiser la sécurité, la performance et la résilience des systèmes distribués.
Cette fiche aborde les fondamentaux et concepts avancés de réseau Docker, en expliquant comment configurer, personnaliser et étendre les réseaux pour répondre à des besoins exigeants.
1. Principes de base du réseau Docker
Avant de plonger dans l’avancé, rappel rapide :
Docker Network : un ensemble d’interfaces qui connectent les conteneurs entre eux et avec l’extérieur, permettant l’échange de données.
- Bridge (pont) : réseau par défaut pour les conteneurs sur le même hôte.
- Host : conteneur partage le réseau de l’hôte (pas d’isolation réseau).
- None : absence de réseau.
- Overlay : réseau qui s’étend sur plusieurs hôtes Docker (clé pour Docker Swarm).
2. Types de Réseaux Avancés sous Docker
2.1. Réseau Bridge personnalisé
Il s’agit d’un réseau bridge personnalisé créé par l’utilisateur, permettant la création d’un sous-réseau défini :
docker network create \
--driver bridge \
--subnet 192.168.100.0/24 \
mon_reseau_bridge
Ce réseau permet d’isoler les conteneurs et d’attribuer des IP fixes si nécessaire.
2.2. Réseau Overlay
Réponse aux architectures distribuées, le réseau overlay permet la communication entre conteneurs sur différents hôtes Docker, notamment avec Docker Swarm ou Kubernetes.
Le réseau Overlay crée un réseau virtuel distribué par-dessus plusieurs hôtes physiques, permettant aux containers de se voir comme s'ils étaient sur un seul réseau local.
Exemple d'utilisation :
docker network create \
--driver overlay \
--attachable \
mon_reseau_overlay
- attachable : permet de connecter des conteneurs non Swarm.
2.3. Macvlan
Le driver Macvlan attribue une adresse MAC unique à chaque conteneur sur le réseau physique. Cela permet au conteneur de devenir une entité réseau indépendante visible sur le LAN.
Principe :
- Le conteneur obtient une adresse IP dans le même réseau que l’hôte.
- Utile si besoin d’intégration dans un réseau physique existant.
docker network create -d macvlan \
--subnet=192.168.1.0/24 \
--gateway=192.168.1.1 \
-o parent=eth0 \
macvlan_reseau
3. Concepts Clés Avancés
3.1 Isolation de réseau - Network namespaces
Chaque conteneur possède un namespace réseau séparé, c’est-à-dire un espace isolé comprenant interfaces, routes, règles iptables.
Cela assure que l’état réseau d’un conteneur est indépendant des autres.
Le réseau Docker établit une communication via des ponts (bridge) ou des tunnels pour relier ces namespaces.
3.2. Contrôle avancé du trafic via iptables
Docker utilise iptables pour gérer le NAT et le filtrage de paquets. Les règles créées automatiquement :
- NAT pour masquer l’IP conteneur derrière l’IP hôte (masquerading).
- FORWARD pour permettre le transit des paquets.
- DNAT pour le mapping de ports.
Astuce : Pour un contrôle fin, on peut modifier ou ajouter des règles iptables et Docker va les intégrer dans la chaîne de filtrage des conteneurs.
3.3. Réseaux multi-hôtes - Swarm et Docker Stack
Avec Docker Swarm, les réseaux overlay prennent tout leur sens. Le routage est géré par le routing mesh, qui permet :
- Le load balancing natif.
- Le routage des paquets vers le bon conteneur selon service et instance.
[Diagramme]
3.4. IPv6 dans Docker
Docker supporte IPv6 (désactivé par défaut) :
docker daemon --ipv6 --fixed-cidr-v6="2001:db8:1::/64"
- Assure une meilleure planification d’adressage.
- Important en environnements à large échelle.
- Nécessite souvent une configuration supplémentaire (routeurs, pare-feu).
4. Configuration avancée des réseaux Docker
4.1. Attribution d’IP fixes
Permet d’assigner une IP statique à un conteneur dans un réseau personnalisé :
docker network create --subnet=172.18.0.0/16 mon_reseau
docker run --net mon_reseau --ip 172.18.0.22 mycontainer
4.2. DNS interne Docker
Docker fournit un DNS interne qui résout automatiquement le nom de service / conteneur vers leur IP au sein du même réseau.
- Les noms de conteneurs dans un même réseau sont résolus automatiquement.
- Utile pour la découverte de service sans configuration DNS externe.
4.3. Plugins réseau tiers
Docker accepte des plugins CNI (Container Network Interface) comme Calico, Weave, ou Cilium, permettant :
- Meilleure gestion des politiques réseau.
- Intégration avancée avec Kubernetes.
- Visibilité améliorée et surveillance.
5. Sécurité réseau avancée
5.1. Isolation des réseaux et segmentation
Créer des réseaux dédiés par service ou par environnement pour éviter tout risque de communication illégitime :
- Séparer le frontend, backend et base de données dans des réseaux Docker différents.
- Utiliser les options --internal pour rendre un réseau inaccessible depuis l’extérieur.
docker network create --internal mon_reseau_interne
5.2. Réseau privé virtuel (VPN) dans Docker
Pour des scénarios multi-cloud ou multi-datacenters, on peut mettre en place une communication VPN entre hôtes Docker.
5.3. Politique firewall docker + iptables
On peut ajouter des règles pour restreindre la communication inter-conteneurs via :
- Labeling des containers.
- Configuration des règles iptables personnalisées.
6. Exemple complet : Déploiement réseau multi-services avec IP statique et overlay
Soit un stack avec 3 services (web, API, DB) sur 2 nœuds Swarm :
- Création overlay custom :
docker network create -d overlay --subnet=10.10.0.0/24 myoverlay
- Déploiement services avec IP fixes dans le subnet overlay.
7. Récapitulatif des drivers de réseau Docker
| Driver | Description | Usage typique | Isolation multi-hôte | IP fixe possible |
|---|---|---|---|---|
| bridge | Réseau local par défaut | Conteneurs sur un hôte unique | Non | Oui |
| host | Partage réseau de l’hôte | Haute perf, pas d’isolation | Non | Oui (direct hôte) |
| overlay | Réseau distribué entre hôtes | Clusters Swarm, multi-host | Oui | Oui |
| macvlan | Connexion direct au réseau physique | Visibilité réseau LAN, IP fixe | Oui | Oui |
| none | Pas de réseau | Conteneurs isolés | N/A | Non |
8. Formules mathématiques pour l’adressage IP dans Docker
Pour un réseau [Formule] (CIDR), la taille du réseau [Formule] est donnée par :
[Formule mathématique]
Exemple : Pour un subnet /24 (n=24),
[Formule mathématique]
- 2 adresses sont réservées (adresse réseau et broadcast).
- Docker attribue donc environ [Formule] adresses IP disponibles.
Synthèse
- Docker propose plusieurs types réseau adaptés à différents scénarios.
- Les réseaux overlay sont indispensables pour la communication multi-hôte.
- L’isolation via namespaces et iptables assure sécurité et contrôle.
- L’attribution IP fixe et les réseaux personnalisés facilitent la gestion.
- Les plugins tiers enrichissent les capacités réseau selon besoins évolués.
- Une bonne architecture réseau Docker optimise performances, fiabilité et sécurité.
Maîtriser ces concepts avancés est la clé pour concevoir des systèmes Docker robustes et évolutifs.
Pour aller plus loin : approfondissez la notion de politiques réseau, service mesh (ex : Istio avec Kubernetes) et orchestration multi-cluster.
Bonne révision ! 🚀
