container laufen nur im docker_default netzwerk, nicht bridge

[Ghost108]

Guten Morgen!

ich habe eine Verständnisfrage.
Vor einiger Zeit habe ich zwei Container (postgres und umami) aufgesetzt (mit Portainer), welche im "docker_default" Netzwerk laufen.

Nun wollte ich das docker_default auflösen und die Container im bridge Netz laufen lassen, wo auch alle meine anderen Container laufen.
Habe die Container nun in das bridge Netz gepackt und aus dem docker_default entfernt.

Postgres startet und zeigt auch im Protokoll "database system is ready and accecpt connections"
Wenn ich den umami Container starte, beendet sich dieser wieder, da keine Verbindung zur DB hergerstellt werden kann.

Und das verstehe ich aktuell nicht.

Packe ich beide wieder ins docker_default - klappt es.
Im bridge = nicht.

Habe auch schon mal die Firewall temp. abgeschaltet - ohne Erfolg.
Kann mir das jemand erklären?

 

[Ghost108]

habe es bereits selbst herausgefunden:
https://docs.docker.com/network/dri...n-user-defined-bridges-and-the-default-bridge

Danke dennoch!

 

[haydibe]

Die Empfehlung ist es genau andersherum zu machen...

Statt alles in das default bridge, ist die Empfehlung nur Container die miteinander interagieren in ein gemeinsames Netzwerk zu packen.
Durch die Separierung der Netzwerke erzielt man eine Isolation, die verhindert, dass Container aus einem Netzwerk mit Containern in einem anderen Netzwerk kommunizieren können.

 

[haydibe]

docker_default

Das sieht stark nach einem durch Docker Compose erzeugten Netzwerknamen aus: {projectname}_default. Wenn man bei Compose den Projekt-Name nicht angibt, dann wird als Fallback immer das Verzeichnis genommen, in dem die Compose-Datei liegt, mit der die Ressourcen gemanagt werden.

Wenn man hier etwas korrigieren/ändern will, dann sollte man es in der Compose Datei machen, mit der es gemanagt wird, und nicht über ein Management-Werkzeug außerhalb der Compose Datei.

 

[Ghost108]

Die Empfehlung ist es genau andersherum zu machen...

Statt alles in das default bridge, ist die Empfehlung nur Container die miteinander interagieren in ein gemeinsames Netzwerk zu packen.
Durch die Separierung der Netzwerke erzielt man eine Isolation, die verhindert, dass Container aus einem Netzwerk mit Containern in einem anderen Netzwerk kommunizieren können.

bedeutet für mich:
Wenn ich 5 Container habe, die miteinander nichts zu tun haben, sollte ich für jeden container ein eignes Netzwerk anlegen?

 

[haydibe]

Wenn man die Isolation nicht nur auf Prozess-Ebene (das macht ja der Container an sich schon), sondern auch auf Netzwerk-Ebene haben will: unbedingt!

Aber wie so oft: gesteigerte Sicherheit, bedeutet Unbequemlichkeit -> je Container-Netzwerk muss die Range in der Firewall freigegeben werden.

 

[Monacum]

Man kann auch die Range so freigeben, dass mehrere Netzwerke erfasst sind, 172.16.0.0/255.248.0.0 gibt zum Beispiel alle Adressen von 172.16.0.1 bis 172.23.255.254 frei, also für sieben Container.

 

[plang.pl]

Dann wohl eher gleich 172.16.0.0 / 255.240.0.0
Damit hat man alle privaten Adressen aus dem 172er Netz abgegedeckt

EDIT Das mit den sieben Containern verstehe ich nicht. Da passen doch deutlich mehr rein

 

[Monacum]

Der erste Container bei mir hat 172.16.0.x bekommen, der zweite 172.17.0.x usw., habe da jetzt keine manuellen Änderungen vorgenommen. Und Pardon, es sind natürlich acht Container bei dieser Vorgehensweise und ohne manuelle Einstellungen.

 

[plang.pl]

Achso. Aber nicht jeder Container braucht ja ein eigenes Netz. Und die Netze dazwischen gibt es ja auch noch (172.16.1.0 usw). Oder einfach eine kleinere Subnetzmaske nehmen