©
本文檔使用 php中文網手册 發布
本节中的信息解释了 Docker 默认网桥中的绑定容器端口。这是一个在安装 Docker 时自动创建名为bridge
的bridge
网络。
注意:通过 Docker 网络功能,您可以创建除默认网桥以外的用户定义网络。
默认情况下,Docker 容器可以连接到外部世界,但外部世界无法连接到容器。由于 Docker 服务器在启动时创建的主机上的iptables
伪装规则,每个传出连接似乎都源自主机自己的一个 IP 地址:
$ sudo iptables -t nat -L -n...Chain POSTROUTING (policy ACCEPT)target prot opt source destination MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0...
Docker 服务器创建伪装规则,允许容器连接到外部世界的 IP 地址。
如果你想容器接受传入的连接,你需要在调用docker run
时提供特殊的选项。有两种方法。
首先,您可以向docker run
提供-P
或--publish-all=true|false
执行一揽子操作,该操作使用EXPOSE
图像Dockerfile
或--expose <port>
命令行标志中的一行标识每个端口,并将其映射到临时端口范围内的某个主机端口。docker port
然后该命令需要用于检查创建的映射。的临时端口范围由配置/proc/sys/net/ipv4/ip_local_port_range
内核参数,典型地为32768〜61000。
映射可以使用-p SPEC
或--publish=SPEC
选项明确指定。它允许您详细分析
docker 服务器上的哪个端口 - 可以是任何端口,而不仅仅是临时端口范围内的一个端口 - 要映射到容器中的哪个端口。
无论哪种方式,您都应该能够通过检查 NAT 表来了解 Docker 在网络堆栈中完成的工作。
# What your NAT rules might look like when Docker # is finished setting up a -P forward:$ iptables -t nat -L -n...Chain DOCKER (2 references)target prot opt source destination DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:49153 to:172.17.0.2:80# What your NAT rules might look like when Docker # is finished setting up a -p 80:80 forward:Chain DOCKER (2 references)target prot opt source destination DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:172.17.0.2:80
您可以看到 Docker 已经公开了这些容器端口0.0.0.0
,通配符 IP 地址将与主机上任何可能的传入端口相匹配。如果您希望更具限制性,只允许通过主机上的特定外部接口联系容器服务,则有两种选择。当您调docker run
用时,您可以使用-p IP:host_port:container_port
或-p IP::port
指定一个特定绑定的外部接口。
或者,如果您始终希望 Docker 端口转发绑定到一个特定的 IP 地址,则可以编辑系统范围的 Docker 服务器设置并添加该选项--ip=IP_ADDRESS
。请记住在编辑此设置后重新启动 Docker 服务器。
注意:在启用发夹(hairpin) NAT(
--userland-proxy=false
)的情况下,容器端口暴露是纯粹通过 iptables 规则实现的,并且不会尝试绑定暴露的端口。这意味着没有任何东西可以通过为容器公开相同的端口来阻止在 Docker 之外的以前的侦听服务。在这种相互冲突的情况下,Docker 创建的 iptables 规则将优先并发送到容器。
--userland-proxy
参数,默认为true,为容器间和外部到容器的通信提供了一个用户区实现。禁用时,Docker 会同时使用额外的MASQUERADE
iptable 规则和net.ipv4.route_localnet
内核参数,它们允许主机通过常用的环回地址连接到本地容器公开端口:由于性能的原因,此替代方案是首选。
了解 Docker 容器网络
使用网络命令
旧版容器链接