# 컨테이너 네트워킹

컨테이너트워킹은 컨테이너반 애플리케이션이 서로 외부 시스템과 안정적이고 효율적으로 통신할 수 있도록 핵심 기술입니다. 컨테이너는 격리된 환경에서 애플리케이션을 실행하지만, 서비스 간 협업을 위해서는 네트워크를 통해 데이터를 주고받아야 합니다. 이 문서는 컨테이너 네트워킹의 기본 개념, 주요 아키텍처, 네트워크 모드, 대표적인 도구 및 기술, 그리고 실무에서의 고려 사항을 다룹니다.

---

## 개요

컨테이너는 기본적으로 독립된 네임스페이스(namespace)와 리소스 제한을 통해 격리된 환경을 제공합니다. 이 격리된 환경 내에서 컨테이너는 고유한 네트워크 인터페이스와 IP 주소를 가질 수 있으며, 다른 컨테이너 또는 외부 네트워크와 통신할 수 있어야 합니다. 컨테이너 네트워킹은 이러한 요구를 해결하기 위해 다양한 네트워크 모델과 기술을 제공합니다.

컨테이너화된 애플리케이션은 마이크로서비스 아키텍처와 밀접하게 연관되어 있으며, 서비스 간의 통신은 네트워크의 안정성과 성능에 크게 의존합니다. 따라서 컨테이너 네트워킹은 클라우드 네이티브 환경에서 매우 중요한 요소입니다.

---

## 컨테이너 네트워킹의 기본 원리

### 네임스페이스와 가상 네트워킹
리눅스 커널은 **네트워크 네임스페이스**를 통해 각 컨테이너에 독립적인 네트워크 스택(인터페이스, 라우팅 테이블, 포트 등)을 제공합니다. 이 덕분에 컨테이너는 서로 다른 IP 주소를 가지며, 격리된 네트워크 환경에서 실행됩니다.

가상 네트워크 장치(예: veth 페어)는 호스트와 컨테이너 간의 연결을 가능하게 합니다. veth 페어는 한쪽 끝이 호스트 네임스페이스에, 다른 쪽은 컨테이너 네임스페이스에 연결되어 패킷을 전달합니다.

### 브리지 네트워크
가장 일반적인 컨테이너 네트워킹 모델은 **가상 브리지**(bridge)입니다. 도커(Docker)는 기본적으로 `docker0`이라는 브리지 인터페이스를 생성하고, 이 브리지를 통해 컨테이너 간 통신을 가능하게 합니다.

- 컨테이너는 브리지에 연결된 가상 네트워크 인터페이스를 통해 IP를 할당받습니다.
- 브리지는 호스트의 물리적 네트워크 인터페이스와 연결되어 외부 네트워크로 트래픽을 전달합니다.
- NAT(Network Address Translation)를 사용하여 컨테이너의 외부 접근을 지원합니다.

---

## 주요 네트워크 모드

컨테이너 런타임(예: Docker, containerd)은 여러 가지 네트워크 모드를 제공합니다.

### 1. Bridge 모드
- **기본 모드**. 컨테이너가 가상 브리지 네트워크에 연결됩니다.
- 컨테이너는 내부 IP를 가지며, 호스트를 통해 외부와 통신합니다.
- 컨테이너 간 통신은 동일한 브리지 네트워크에 연결된 경우 가능합니다.
- 예: `docker run --network=bridge`

### 2. Host 모드
- 컨테이너가 **호스트의 네트워크 네임스페이스를 공유**합니다.
- 컨테이너는 호스트와 동일한 IP와 포트를 사용합니다.
- 네트워크 성능이 우수하지만, 보안 격리가 약화됩니다.
- 예: `docker run --network=host`

### 3. None 모드
- 네트워크를 **비활성화**합니다. 컨테이너는 네트워크 인터페이스를 가지지 않습니다.
- 격리된 환경에서 네트워크가 필요 없는 작업에 사용됩니다.

### 4. Overlay 모드
- **멀티 호스트 컨테이너 클러스터**에서 사용됩니다.
- VXLAN 기반의 오버레이 네트워크를 통해 여러 호스트에 있는 컨테이너 간 통신을 지원합니다.
- 도커 스웜(Docker Swarm)이나 쿠버네티스(Kubernetes)에서 활용됩니다.

---

## 쿠버네티스에서의 네트워킹

쿠버네티스는 컨테이너 네트워킹을 위한 표준화된 모델을 제공합니다.

### CNI (Container Network Interface)
 CNI는 컨테이너 네트워크를 구성하기 위한 **오픈 스펙**입니다.
- 다양한 CNI 플러그인(예: Calico, Flannel, Cilium)을 통해 네트워크 정책, 라우팅, 서비스 디스커버리 등을 구현합니다.

### 핵심 요구사항
쿠버네티스는 다음의 네트워크 요구사항을 정의합니다:
1. 모든 Pod는 고유한 IP를 가져야 합니다.
2. Pod 간 통신은 NAT 없이 가능해야 합니다.
3. 노드 간 통신도 NAT 없이 가능해야 합니다.
4. 서비스(Service)는 클러스터 내에서 안정적인 엔드포인트를 제공해야 합니다.

---

## 주요 네트워크 솔루션

| 솔루션 | 설명 | 특징 |
|--------|------|------|
| **Docker Bridge** | 도커의 기본 네트워크 드라이버 | 간단한 설정, 단일 호스트 제한 |
| **Calico** | BGP 기반의 고성능 CNI | 네트워크 정책 강력, 클라우드 환경 최적화 |
| **Flannel** | 단순한 오버레이 네트워크 | 가벼움, VXLAN/UDP 지원 |
| **Cilium** | eBPF 기반 네트워킹 | 고성능, 보안 정책 통합, 서비스 메시 지원 |

---

## 고려 사항

- **성능**: 오버레이 네트워크는 성능에 오버헤드를 줄 수 있으므로, 가능하면 호스트 네트워크 또는 브리지 모드를 고려해야 합니다.
- **보안**: 네트워크 정책을 통해 불필요한 통신을 차단하고, Pod 간 접근을 제어해야 합니다.
- **가시성**: 네트워크 트래픽 모니터링을 위해 eBPF, Istio, Linkerd 등의 도구를 활용할 수 있습니다.
- **IP 관리**: 대규모 환경에서는 IP 주소 충돌을 방지하기 위한 IPAM(IP Address Management) 전략이 필요합니다.

---

## 참고 자료

- [Docker Networking Documentation](https://docs.docker.com/network/)
- [Kubernetes Networking Concepts](https://kubernetes.io/docs/concepts/cluster-administration/networking/)
- [CNI Specification - GitHub](https://github.com/containernetworking/cni)
- [Calico Documentation](https://docs.tigera.io/calico/)
- [Cilium Documentation](https://docs.cilium.io/)

컨테이너 네트워킹은 애플리케이션의 안정성과 확장성을 결정짓는 핵심 요소이며, 아키텍처 설계 시 신중한 검토가 필요합니다.