Docker容器内部端口映射到外部宿主机端口的方法小结

最新推荐文章于 2023-07-11 12:01:52 发布
最新推荐文章于 2023-07-11 12:01:52 发布
阅读量9.5k 收藏 10
点赞数 1
分类专栏: docker

Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务。
容器启动之后,容器中可以运行一些网络应用,通过-p或-P参数来指定端口映射。

注意:
宿主机的一个端口只能映射到容器内部的某一个端口上,比如:8080->80之后,就不能8080->81
容器内部的某个端口可以被宿主机的多个端口映射,比如:8080->80,8090->80,8099->80

1)启动容器时,选择一个端口映射到容器内部开放端口上
-p   小写p表示docker会选择一个具体的宿主机端口映射到容器内部开放的网络端口上。
-P   大写P表示docker会随机选择一个宿主机端口映射到容器内部开放的网络端口上。

1

2

3

4

5

6

7

8

9

10

11

12

13

比如:

[root@docker-test ~]# docker run -ti -d --name my-nginx -p 8088:80 docker.io/nginx

2218c7d88ccc917fd0aa0ec24e6d81667eb588f491d3730deb09289dcf6b8125

[root@docker-test ~]# docker run -ti -d --name my-nginx2 -P docker.io/nginx

589237ceec9d5d1de045a5395c0d4b519acf54e8c09afb07af49de1b06d71059

[root@docker-test ~]# docker ps

CONTAINER ID        IMAGE               COMMAND                  CREATED              STATUS              PORTS                   NAMES

589237ceec9d        docker.io/nginx     "nginx -g 'daemon ..."   6 seconds ago        Up 5 seconds        0.0.0.0:32770->80/tcp   my-nginx2

2218c7d88ccc        docker.io/nginx     "nginx -g 'daemon ..."   About a minute ago   Up About a minute   0.0.0.0:8088->80/tcp    my-nginx

 

由上面可知:

容器my-nginx启动时使用了-p,选择宿主机具体的8088端口映射到容器内部的80端口上了,访问http://localhost/8088即可

容器my-nginx2启动时使用了-P,选择宿主机的一个随机端口映射到容器内部的80端口上了,这里随机端口是32770,访问http://localhost/32770即可

2)启动创建时,绑定外部的ip和端口(宿主机ip是192.168.10.214)

1

2

3

4

5

6

7

8

9

10

11

12

[root@docker-test ~]# docker run -ti -d --name my-nginx3 -p 127.0.0.1:8888:80 docker.io/nginx 

debca5ec7dbb770ca307b06309b0e24b81b6bf689cb11474ec1ba187f4d7802c

[root@docker-test ~]# docker run -ti -d --name my-nginx4 -p 192.168.10.214:9999:80 docker.io/nginx              

ba72a93196f7e55020105b90a51d2203f9cc4d09882e7848ff72f9c43d81852a

[root@docker-test ~]# docker ps

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                         NAMES

ba72a93196f7        docker.io/nginx     "nginx -g 'daemon ..."   2 seconds ago       Up 1 second         192.168.10.214:9999->80/tcp   my-nginx4

debca5ec7dbb        docker.io/nginx     "nginx -g 'daemon ..."   3 minutes ago       Up 3 minutes        127.0.0.1:8888->80/tcp        my-nginx3

 

由上面可知:

容器my-nginx3绑定的宿主机外部ip是127.0.0.1,端口是8888,则访问http://127.0.0.1:8888或http://localhost:8888都可以,访问http://192.168.10.214:8888就会拒绝!

容器my-nginx4绑定的宿主机外部ip是192.168.10.214,端口是9999,则访问http://192.168.10.214:9999就可以,访问http://127.0.0.1:9999或http://localhost:9999就会拒绝!

3)容器启动时可以指定通信协议,比如tcp、udp

1

2

3

4

5

6

7

8

[root@docker-test ~]# docker run -ti -d --name my-nginx5 -p 8099:80/tcp docker.io/nginx

c08eb29e3c0a46386319b475cc95245ccfbf106ed80b1f75d104f8f05d0d0b3e

[root@docker-test ~]# docker run -ti -d --name my-nginx6 -p 192.168.10.214:8077:80/udp docker.io/nginx

992a48cbd3ef0e568b45c164c22a00389622c2b49e77f936bc0f980718590d5b

[root@docker-test ~]# docker ps

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                 NAMES

992a48cbd3ef        docker.io/nginx     "nginx -g 'daemon ..."   3 seconds ago       Up 2 seconds        80/tcp, 192.168.10.214:8077->80/udp   my-nginx6

c08eb29e3c0a        docker.io/nginx     "nginx -g 'daemon ..."   53 seconds ago      Up 51 seconds       0.0.0.0:8099->80/tcp                  my-nginx5

4)查看容器绑定和映射的端口及Ip地址

1

2

3

4

5

6

[root@docker-test ~]# docker port my-nginx5

80/tcp -> 0.0.0.0:8099

[root@docker-test ~]# docker inspect my-nginx5|grep IPAddress

            "SecondaryIPAddresses": null,

            "IPAddress": "172.17.0.6",

                    "IPAddress": "172.17.0.6",

5)容器启动绑定多IP和端口(跟多个-p)

1

2

3

4

5

[root@docker-test ~]# docker run -ti -d --name my-nginx8 -p 192.168.10.214:7777:80 -p 127.0.0.1:7788:80 docker.io/nginx

0e86be91026d1601b77b52c346c44a31512138cedc7f21451e996dd2e75d014d

[root@docker-test ~]# docker ps

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                                                 NAMES

0e86be91026d        docker.io/nginx     "nginx -g 'daemon ..."   17 seconds ago      Up 15 seconds       127.0.0.1:7788->80/tcp, 192.168.10.214:7777->80/tcp   my-nginx8

6)容器除了在启动时添加端口映射关系,还可以通过宿主机的iptables进行nat转发,将宿主机的端口映射到容器的内部端口上,这种方式适用于容器启动时没有指定端口映射的情况!

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

[root@docker-test ~]# docker run -ti -d --name my-nginx9 docker.io/nginx

990752e39d75b977cbff5a944247366662211ce43d16843a452a5697ddded12f

[root@docker-test ~]# docker ps

CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS            NAMES

990752e39d75        docker.io/nginx     "nginx -g 'daemon ..."   2 seconds ago       Up 1 second         80/tcp           my-nginx9

 

这个时候,由于容器my-nginx9在启动时没有指定其内部的80端口映射到宿主机的端口上,所以默认是没法访问的!

现在通过宿主机的iptables进行net转发

 

首先获得容器的ip地址

[root@docker-test ~]# docker inspect my-nginx9|grep IPAddress

            "SecondaryIPAddresses": null,

            "IPAddress": "172.17.0.9",

                    "IPAddress": "172.17.0.9",

 

[root@docker-test ~]# ping 172.17.0.9

PING 172.17.0.9 (172.17.0.9) 56(84) bytes of data.

64 bytes from 172.17.0.9: icmp_seq=1 ttl=64 time=0.105 ms

64 bytes from 172.17.0.9: icmp_seq=2 ttl=64 time=0.061 ms

.....

 

[root@docker-test ~]# telnet 172.17.0.9 80

Trying 172.17.0.9...

Connected to 172.17.0.9.

Escape character is '^]'

 

 

centos7下部署iptables环境纪录(关闭默认的firewalle)

参考:http://www.cnblogs.com/kevingrace/p/5799210.html

 

将容器的80端口映射到dockers宿主机的9998端口

[root@docker-test ~]# iptables -t nat -A PREROUTING -p tcp -m tcp --dport 9998 -j DNAT --to-destination 172.17.0.9:80

[root@docker-test ~]# iptables -t nat -A POSTROUTING -d 172.17.0.9/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 192.16.10.214

[root@docker-test ~]# iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 9998 -j ACCEPT

 

保存以上iptables规则

[root@docker-test ~]# iptables-save > /etc/sysconfig/iptables

 

查看/etc/sysconfig/iptables文件,注意下面两行有关icmp-host-prohibited的设置一定要注释掉!否则nat转发会失败!

[root@docker-test ~]# cat /etc/sysconfig/iptables

# Generated by iptables-save v1.4.21 on Fri Aug 10 11:13:57 2018

*nat

:PREROUTING ACCEPT [32:1280]

:INPUT ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

-A PREROUTING -p tcp -m tcp --dport 9998 -j DNAT --to-destination 172.17.0.9:80

-A POSTROUTING -d 172.17.0.9/32 -p tcp -m tcp --sport 80 -j SNAT --to-source 192.16.10.214

COMMIT

# Completed on Fri Aug 10 11:13:57 2018

# Generated by iptables-save v1.4.21 on Fri Aug 10 11:13:57 2018

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [50:5056]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 9998 -j ACCEPT

#-A INPUT -j REJECT --reject-with icmp-host-prohibited

#-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT

# Completed on Fri Aug 10 11:13:57 2018

 

最后重启iptbales服务

[root@docker-test ~]# systemctl restart iptables

 

查看iptables规则

[root@docker-test ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        

ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

ACCEPT     icmp --  anywhere             anywhere           

ACCEPT     all  --  anywhere             anywhere           

ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh

ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:distinct32

 

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination        

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination       

 

[root@docker-test ~]# iptables -L -t nat

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination        

DNAT       tcp  --  anywhere             anywhere             tcp dpt:distinct32 to:172.17.0.9:80

 

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination        

 

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination        

SNAT       tcp  --  anywhere             172.17.0.9           tcp spt:http to:192.16.10.214

 

然后访问http://192.168.10.214:9998/,就能转发访问到my-nginx9容器的80端口了!!! 

一次性删除所有容器,包括正在运行的容器

1

2

3

4

5

6

7

8

9

10

11

[root@docker-test ~]# docker rm -f `docker ps -a -q`

990752e39d75

0e86be91026d

ff2bc46a8ee4

c08eb29e3c0a

ba72a93196f7

debca5ec7dbb

589237ceec9d

2218c7d88ccc

[root@docker-test ~]# docker ps -a

CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES

如果启动docker 容器时,有如下报错:
/usr/bin/docker-current: Error response from daemon: driver failed programming external connectivity on endpoint my-nginx (db5a0edac68d1ea7ccaa3a1e0db31ebdf278076ef4851ee4250221af6167f9ac): (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 8088 -j DNAT --to-destination 172.17.0.2:80 ! -i docker0: iptables: No chain/target/match by that name.

解决办法

1

2

3

4

1)不需要关闭防火墙

2)重启docker服务:systemctl restart docker

3)docker服务重启后,所有容器都会关闭,应立即批量启动全部容器:docker start `docker ps -a -q`

   启动的容器也会包括上面报错的容器,重启docker后,该容器就能正常启动和使用了!

mnasd
关注
专栏目录
【深度思考】java社区团购团长
qq194582923的博客
06-30 399
背景知识 CAP定理 CAP定理,又被叫作布鲁尔定理。对于设计分布式系统来说(不仅仅是分布式事务)的架构师来说,CAP就是你的入门理论。 • C (一致性):对某个指定的客户端来说,读操作能返回最新的写操作。对于数据分布在不同节点上的数据上来说,如果在某个节点更新了数据,那么在其他节点如果都能读取到这个最新的数据,那么就称为强一致,如果有某个节点没有读取到,那就是分布式不一致。 • A (可用性):非故障的节点在合理的时间内返回合理的响应(不是错误和超时的响应)。可用性的两个关键一个是合理的时间,一个是合理
docker中的服务访问宿主机服务
最新发布
luckymlog的博客
09-23 210
设置后重启docker,通过host.docker.internal访问,如:http://host.docker.internal:8080。
使Docker容器拥有可被宿主机以外的机器直接访问的独立IP
liwei128的博客
03-23 9671
我们常用的docker容器都是将ip端口映射宿主机,通过宿主机IP进行访问。外部无法直接访问容器IP,下面简单介绍下怎么做到局域网内直接访问docker容器IP。自动化脚本见 https://github.com/liwei128/my_pipework.git,一键运行,so easy说明如下一、准备工作1.首先安装pipework下载:gitHub地址 https://github.com/...
Docker容器中设置外部服务器IP域名映射
liuwei0376的专栏
12-03 3881
背景: 在一些开发场景中,容器中的应用(如java应用)需要访问外部的大数据系统(如Hadoop、Spark),应用内部会通过如下hadoop配置文件: -rw-r–r-- 1 user 197121 3858 11月 25 15:37 core-site.xml -rw-r–r-- 1 user 197121 1732 11月 25 15:37 hdfs-site.xml -rw-r–r-- 1 user 197121 5110 11月 25 15:37 mapred-site.xml -rw-r–r-
docker 文件映射到外面_Docker
weixin_32968007的博客
01-31 5025
1.什么是dockerDocker是一个基于Go语言并遵从Apache2.0协议开源的应用容器引擎。它可以将应用及依赖包打包到一个轻量级、可移植的容器中,并发布到Linux系统中,可以实现虚拟化,容器完全使用沙箱机制,相互之间不会有任何接口,性能开销极低。Docker支持将软件编译成一个镜像,然后在镜像中做好软件配置,然后便可以直接使用这个镜像。2.几个概念docker主机(Host):安装了d...
docker容器无法访问宿主机端口的解决
01-08
最近在工作时遇到一个问题,docker容器无法访问宿主机的redis,telent6379端口不通。 经排查发现,该服务器启用了防火墙,防火墙把6379的端口的访问授权给docker0网卡访问即可。 操作如下: firewall-cmd –...
Docker容器绑定外部IP和端口方法
01-10
a、用-P(大写)标记时,docker会随机选择一个端口映射容器内部开放的网络端口上。 $ docker run -d -P myfirstapp python app.py $ docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS
修改已经运行的docker容器端口映射.doc
03-20
至此,Docker容器中的MySQL数据库应该已经成功地将3306端口映射到了宿主机的33071端口上。 #### 总结 本文详细介绍了如何在不重建容器的情况下,修改已经运行的Docker容器端口映射。这种方法适用于解决因端口...
Docker容器端口映射宿主机的桥梁
08-28
Docker是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口...
Docker容器绑定外部ip和端口
qq_42014575的博客
05-09 7039
Docker容器绑定外部ip和端口 1、Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务 2、首先是外部访问容器: 2.1容器启动之后,容器可以运行一下网络应用,通过-p或-P参数来指定端口映射, 使用-P标记时,docker会随机选择一个端口映射容器内部开放的网络端口上 2.2运行服务 #docker run -d -P training/webapp python app.py 2.3查看端口状态 #netstat -lnp | grep 32768(port) 2.4到浏览器可以
容器内外应用与非容器应用之间互访方式
apple_1900的博客
01-16 858
Docker中常用的三种网络种类 bridge,应用都是容器形式,且都在一个宿主机上,各个容器需要互相通信的场景; host,容器和本机应用混杂且需要相互访问的情况;容器会使用宿主机的网络 overlay,在不同宿主机容器之间需要互相通信的情景。 注:docker中的网络常用的分为host(如果启动的容器绑定的是80端口,使用host网络驱动,应用程序将使用主机的ip+端口)、bridge(...
求助-docker swarm 部署集群如何指定创建服务(多个容器)的IP,这个VIP如何暴露出去?或 把具体的容器IP暴露出去?
weixin_42322068的博客
07-08 352
需求: 目前利用docker swarm部署docker 集群,虽然利用docker 官方自带的swarm机制虽然可以部署成功,但利用docker service 创建的服务(多个容器)无法指定IP,更有VIP如何可以暴露出去?或者可以把具体的容器的IP暴露出去? 再深一些如何创建多个网段的容器? 求助大佬指教! 环境: 宿主机(三台): 192.168.219.136 192.168.219.139 192.168.219.135 VIP:192 创建容器情况: 192.168.220.9 192.168
docker容器在局域网中暴露的两种方式
kissmeprettygirl的专栏
04-16 1399
今天架设了一个陌陌的安全合规平台Bombus,看看里面的东西,发现与我们的要做的合规有些比较相像。 docker的使用方法docker + docker-machine + docker-compose + virtualbox,docker-machine虚出一台vm,docker-compose使用yaml编排容器,启动容器,搞定。 在浏览器中访问URL: http://192.168.99.105:60010即可。 想发给同事看看,直接局域网暴露出来。但是无奈网络知识太差。只能踩坑去。 网
端口映射容器互联
内德
09-07 328
Docker 提供了两个很方便的功能来实现服务访问的基本需求 1.允许映射容器内应用的服务端口到本地宿主主机 2.互联机制实现容器之间通过容器名来快速访问 外部访问容器应用 -P 随机映射一个49000~49900的端口内部容器开放的网络端口     docker run -id --rm --name  -P web  docker.io/http [root@Service ~]...
Docker记录】docker四种网络模式,容器localhost访问宿主机端口
m0_67401545的博客
04-27 6298
docker容器中访问宿主机端口有时候会显示连接失败。 宿主机明明有8080的服务,容器内确访问不到。 localhost:8080 Docker有四种网络模式 1.host模式 容器宿主机共享network,这时候localhost就可以访问宿主机端口了。 docker run -d --network host --name nginx 2.container模式 容器A和容器B共享network,就是说容器之间可以通过localhost直接访问。 docker run -d --netwo
Docker容器访问宿主机端口
pcl__0522的博客
07-11 1958
假如说Gateway=172.17.0.1,要访问宿主机的3306端口,那么容器就可以通过172.17.0.1:3306。1.首先通过以下命令查看Gateway。
docker容器无法访问宿主机mysql或其他服务端口的解决方案
BANG的博客
04-28 1669
docker通过docker0网桥将所有容器宿主机放在同一个物理网络。
Docker容器内部端口映射外部宿主机端口
zhuixunhebe1的专栏
05-28 341
Docker允许通过外部访问容器或者容器之间互联的方式来提供网络服务。 容器启动之后,容器中可以运行一些网络应用,通过-p或-P参数来指定端口映射。 注意: 宿主机的一个端口只能映射到容器内部的某一个端口上,比如:8080->80之后,就不能8080->81 容器内部的某个端口可以被宿主机的多个端口映射,比如:8080->80,8090->80,8099->80 1)启动容器时,选择一个端口映射容器内部开放端口上-p小写p表示docker会选择一个具体的宿主机端口映...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值