mirror of
https://github.com/yeasy/docker_practice.git
synced 2026-03-10 11:54:37 +00:00
Merge networks
This commit is contained in:
Baohua Yang
@@ -1,79 +1,57 @@
|
||||
# 外部访问容器
|
||||
# 映射容器端口到宿主主机的实现
|
||||
|
||||
容器中可以运行一些网络应用,要让外部也可以访问这些应用,可以通过 `-P` 或 `-p` 参数来指定端口映射。
|
||||
默认情况下,容器可以主动访问到外部网络的连接,但是外部网络无法访问到容器。
|
||||
|
||||
当使用 `-P` 标记时,Docker 会随机映射一个端口到内部容器开放的网络端口。
|
||||
## 容器访问外部实现
|
||||
|
||||
使用 `docker container ls` 可以看到,本地主机的 32768 被映射到了容器的 80 端口。此时访问本机的 32768 端口即可访问容器内 NGINX 默认页面。
|
||||
容器所有到外部网络的连接,源地址都会被 NAT 成本地系统的 IP 地址。这是使用 `iptables` 的源地址伪装操作实现的。
|
||||
|
||||
查看主机的 NAT 规则。
|
||||
|
||||
```bash
|
||||
$ docker run -d -P nginx:alpine
|
||||
|
||||
$ docker container ls -l
|
||||
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
|
||||
fae320d08268 nginx:alpine "/docker-entrypoint.…" 24 seconds ago Up 20 seconds 0.0.0.0:32768->80/tcp bold_mcnulty
|
||||
$ sudo iptables -t nat -nL
|
||||
...
|
||||
Chain POSTROUTING (policy ACCEPT)
|
||||
target prot opt source destination
|
||||
MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16
|
||||
...
|
||||
```
|
||||
|
||||
同样的,可以通过 `docker logs` 命令来查看访问记录。
|
||||
其中,上述规则将所有源地址在 `172.17.0.0/16` 网段,目标地址为其他网段(外部网络)的流量动态伪装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。
|
||||
|
||||
## 外部访问容器实现
|
||||
|
||||
容器允许外部访问,可以在 `docker run` 时候通过 `-p` 或 `-P` 参数来启用。
|
||||
|
||||
不管用那种办法,其实也是在本地的 `iptable` 的 nat 表中添加相应的规则。
|
||||
|
||||
使用 `-P` 时:
|
||||
|
||||
```bash
|
||||
$ docker logs fa
|
||||
172.17.0.1 - - [25/Aug/2020:08:34:04 +0000] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0" "-"
|
||||
$ iptables -t nat -nL
|
||||
...
|
||||
Chain DOCKER (2 references)
|
||||
target prot opt source destination
|
||||
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:49153 to:172.17.0.2:80
|
||||
```
|
||||
|
||||
`-p` 则可以指定要映射的端口,并且,在一个指定端口上只可以绑定一个容器。支持的格式有 `ip:hostPort:containerPort | ip::containerPort | hostPort:containerPort`。
|
||||
|
||||
## 映射所有接口地址
|
||||
|
||||
使用 `hostPort:containerPort` 格式本地的 80 端口映射到容器的 80 端口,可以执行
|
||||
使用 `-p 80:80` 时:
|
||||
|
||||
```bash
|
||||
$ docker run -d -p 80:80 nginx:alpine
|
||||
```
|
||||
|
||||
此时默认会绑定本地所有接口上的所有地址。
|
||||
|
||||
## 映射到指定地址的指定端口
|
||||
|
||||
可以使用 `ip:hostPort:containerPort` 格式指定映射使用一个特定地址,比如 localhost 地址 127.0.0.1
|
||||
|
||||
```bash
|
||||
$ docker run -d -p 127.0.0.1:80:80 nginx:alpine
|
||||
```
|
||||
|
||||
## 映射到指定地址的任意端口
|
||||
|
||||
使用 `ip::containerPort` 绑定 localhost 的任意端口到容器的 80 端口,本地主机会自动分配一个端口。
|
||||
|
||||
```bash
|
||||
$ docker run -d -p 127.0.0.1::80 nginx:alpine
|
||||
```
|
||||
|
||||
还可以使用 `udp` 标记来指定 `udp` 端口
|
||||
|
||||
```bash
|
||||
$ docker run -d -p 127.0.0.1:80:80/udp nginx:alpine
|
||||
```
|
||||
|
||||
## 查看映射端口配置
|
||||
|
||||
使用 `docker port` 来查看当前映射的端口配置,也可以查看到绑定的地址
|
||||
|
||||
```bash
|
||||
$ docker port fa 80
|
||||
0.0.0.0:32768
|
||||
$ iptables -t nat -nL
|
||||
Chain DOCKER (2 references)
|
||||
target prot opt source destination
|
||||
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:172.17.0.2:80
|
||||
```
|
||||
|
||||
注意:
|
||||
* 容器有自己的内部网络和 ip 地址(使用 `docker inspect` 查看,Docker 还可以有一个可变的网络配置。)
|
||||
|
||||
* `-p` 标记可以多次使用来绑定多个端口
|
||||
* 这里的规则映射了 `0.0.0.0`,意味着将接受主机来自所有接口的流量。用户可以通过 `-p IP:host_port:container_port` 或 `-p IP::port` 来指定允许访问容器的主机上的 IP、接口等,以制定更严格的规则。
|
||||
|
||||
例如
|
||||
* 如果希望永久绑定到某个固定的 IP 地址,可以在 Docker 配置文件 `/etc/docker/daemon.json` 中添加如下内容。
|
||||
|
||||
```bash
|
||||
$ docker run -d \
|
||||
-p 80:80 \
|
||||
-p 443:443 \
|
||||
nginx:alpine
|
||||
```json
|
||||
{
|
||||
"ip": "0.0.0.0"
|
||||
}
|
||||
```
|
||||
|
||||
Reference in New Issue
Block a user