「Docker」- 配置端口监听(以允许 Docker Engine API 访问) @20210316

最新推荐文章于 2023-10-10 19:58:01 发布
最新推荐文章于 2023-10-10 19:58:01 发布
阅读量2.7k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013670453/article/details/114878130
版权

问题描述

我们需要调用 Docker Engine API 以获取某些数据,主要用于调试及查看。(在程序集成时,应该使用类库,而不是直接调用接口)

但是 Docker 默认监听 Unix Domain Socket 文件,因此无法使用 Postman 接口调试工具。解决方法是使 Docker 服务监听 TCP 端口。

该笔记将记录:如何使 Docker 服务监听 TCP 端口。

注意事项

虽然使用 Insomnia Designer 可以访问 Unix Domain Socket 文件,但是开启 Docker 服务的 TCP 监听还是有意义的。

在下面的演示中,我们同时进行 UDS 与 TCP 监听,可以根据实际情况进行调整。

我们使用 Debian GNU/Linux 10 (buster) 作为测试环境,但也应该适用于其他 Linux 发行版。

解决方法

我们有以下几种方案:
1)修改 docker.service 配置;(适用于在安装时设置,此时没有正在运行的容器)
2)启用 docker live-restore 配置,然后再修改;(适用于生产环境)
3)使用 Nginx 反向代理;(该方案对于 docker 的无侵入性,且可操作性强)

方案一、修改 docker.service 配置(常规方法)

// 修改 docker.service 配置,添加如下配置

# systemctl edit docker.service
[Service]
ExecStart=
ExecStart=/usr/sbin/dockerd -H fd:// -H tcp://127.0.0.1:2375 $DOCKER_OPTS

// 重启服务

# systemctl restart docker.service

// 测试接口

# curl http://127.0.0.1:2375/v1.39/containers/json
[]

注意事项:
1)我们只监听 127.0.0.1:2375 端口以测试,所以外部主机无法访问。如果需要外部主机访问,可以修改为 0.0.0.0:2375 地址,但是要做好网络安全设置,或者启用 TLS 认证。
2)在测试主机中,由于没有运行中的容器,所以最后的测试接口返回空数组([]);

方案二、针对生产环境(复杂操作,但推荐)

Enable TCP port 2375 for external connection to Docker
dockerd | Docker Documentation
Keep containers alive during daemon downtime | Docker Documentation
How do I expose the docker API over TCP? - Server Fault
sudo - How to resolve "service start-limit-hit" - Ask Ubuntu

在生产环境中,我们不能重启 Docker 服务,否则容器会停止。当容器停止后,我们不仅要处理被停止的容器,可能还要处理其他连带问题(比如容器启动依赖顺序)。

操作步骤

下面是解决该问题的操作步骤(请理解步骤含义之后,再进行操作):

// 开启 live-restart 功能,使 docker 的重启不会导致 containerd 结束容器

# vim /etc/docker/daemon.json
{
    ...
    "live-restore": true,
    ...
}

// 使 live-restore 配置生效

# systemctl reload docker.service

// 追加配置,使其 dockerd 监控 TCP(新增)与 UDS(原有)

# vim /etc/docker/daemon.json
{
    ...
    "hosts": ["tcp://0.0.0.0:2375", "unix:///var/run/docker.sock"]
    ...
}

// 修改 docker.service 文件,追加如下配置。这里只是删除  -H fd:// 选项(因为 -H 不能与 hosts 共存)

# systemctl edit docker.service
[Service]
ExecStart=
ExecStart=/usr/bin/dockerd --containerd=/run/containerd/containerd.sock

// 重启服务
// 注意事项:在重启时,服务会中断(因为 docker-proxy 重启,但是并不是因为容器停止)

# systemctl restart docker.service

// 访问验证

# curl http://127.0.0.1:2375/v1.39/containers/json

解释说明

这里需要明白以下几点:
1)docker client => docker server => containerd => our containers
2)而 live-restore 的作用就是“剥离” dockerd 与 containerd 服务的影响关系;

在启用 live-restore 特性时,使用 killall -KILL dockerd 服务,容器并不会停止,停止的只是 dockerd 与 docker-proxy 服务,所以会出现中断(这是是网络中断)。

但是当 dockerd 再次启动时,1)会连接 containerd 服务,继续管理原有容器,2)启动 docker-proxy 服务,即网络恢复。

注意事项

所以该方法的缺点就是「短暂的服务中断」(中断时间约为 systemctl restart docker.service 重启时间),但是总好过「直接重启 docker 服务再处理停止的容器」。

docker.service: Failed with result 'start-limit-hit'.
1)通常不会遇到该错误,该错误是因为我们频繁执行 systemctl restart docker.service 进行验证。
2)可以执行 systemctl reset-failed docker.service 进行解决

方案三、使用 Nginx 代理

修改 docker.service 的麻烦在于会影响升级,即使使用 systemctl edit docker.service 也有可能存在该问题。

此时,可以通过 Nginx 反向代理 Unix Socket 解决(这里不再展开详细说明,根据实际情况进行配置即可):

server {
	listen 127.0.0.1:2375;
	location / {
		proxy_pass http://unix:/var/run/docker.sock:/;
	}
}

该方法完全无需修改 Docker 任何配置,但是引入 Nginx 也许会增加些复杂性。

此外,Nginx 需要具有访问 /var/run/docker.sock 权限。在 Ubuntu 18.04 中,通过将 www-data 加入 docker 组来授权(执行 adduser www-data nginx 命令)。

附加说明

关于 fd:// 参数:它并不是告诉 Docker 打开 UDS 监听,而是 systemd 处理并传递给 Docker 服务。可以在命令行中直接执行 ExecStart 命令进行验证。—— sockets - what does fd:// mean exactly in dockerd -H fd:// - Stack Overflow

参考文献

Develop with Docker Engine API | Docker Documentation
api - How to make docker listening to unix and TCP socket under centos with systemd - Stack Overflow
Proxy a unix socket HTTP server to a tcp port using nginx.

研究林纳斯的那个系统
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker通过 systemd 配置访问远程服务
lyzchengxuyuan的博客
08-26 449
docker通过systemd配置访问远程服务
kong-docker-compose:Docker Compose的Kong API Gateway
04-27
Kong与Docker-Compose 一个如何在Docker compose中使用Kong的示例。 此示例中有4种服务: kong :API网关 kong-migration :自我终止的容器,用于仅迁移Kong的数据库。 kong-database :Postgres数据库(Kong...
docker打开2375监听端口
lucky的专栏
11-30 6024
由于在使用caliper时,需要用到Docker监听端口,所以此步骤如下: 1、修改/usr/lib/systemd/system/docker.service,在[service]的ExecStart ,添加 -H tcp://0.0.0.0:2375 ExecStart=/usr/bin/dockerd -H tcp://0.0.0.0:2375 -H fd:// --containerd=/run/containerd/containerd.sock 2、刷新配置文件,重启docker
Docker容器中http服务监听0.0.0.0 IP是什么意思?(处理来自任何 IP 地址的请求,无论是来自容器内部还是来自容器外部的请求)
Dontla的博客
03-16 1729
容器中的 HTTP 服务监听 0.0.0.0 IP 时,表示该服务会监听所有可用的网络接口(包括本地回环接口和物理网卡接口)的所有 IP 地址。这意味着该服务将会处理来自任何 IP 地址的请求,无论是来自容器内部还是来自容器外部的请求。通常情况下,当容器中的服务需要对外提供服务时,需要将监听地址设置为 0.0.0.0,以便可以从容器外部访问该服务。但是,在某些情况下,如果服务仅需要在容器内部使用,则可以将监听地址设置为容器的内部 IP 地址,以提高安全性和性能。
docker的host模式如何查看监听端口
gsls200808的专栏
09-08 3359
docker的默认网络模式为bridge,这个模式下使用docker ps docker inspect 和第三方的portainer都能很好地查看端口映射。但是host模式下却不是那么好看。即可查询指定容器监听端口。找到容器的pid之后执行。这里简单提一下查看方法。
linux环境中设置docker服务开机自启动
热门推荐
温暖不了你的心的博客
05-17 1万+
目录💖 前言💖 背景💖 docker服务设置开机自启动💖 关闭docker服务开机自启动 💖 前言 # docker 服务开机自启动命令 systemctl enable docker.service # 关闭docker 服务开机自启动命令 systemctl disable docker.service 欢迎各位指出,大家共同交流和学习。 如有帮助,请点赞加支持! 送人玫瑰手有余香!🌹🌹🌹 💖 背景 linux系统,每次重启之后,docker服务都是关闭的,如下所示: 因此,每次都需要用如下命.
docker1.12.6,docker-engine-1.12.6
08-10
docker1.12.6,docker-engine-1.12.6: Server: Version: 1.12.6 API version: 1.24 Go version: go1.6.4 Git commit: 78d1802 Built: Tue Jan 10 20:20:01 2017 OS/Arch: linux/amd64 包含: docker-engine-...
docker-compose部署code-server配置文件详情
06-15
code-server部署在docker上需要的配置文件,一件部署,实现在线编码
docker-compose-linux-aarch64
最新发布
12-14
这可能意味着压缩包内包含了一个文件夹,其中可能存放了Docker Compose的二进制文件,例如`docker-compose`可执行文件,以及其他可能的配置文件或文档。用户在解压后,通常需要将`docker-compose`放到系统的PATH环境...
Ubuntu docker 20.10.12版本和docker-compose离线安装包
06-21
通过一个YAML文件(通常命名为`docker-compose.yml`),你可以定义服务、网络和卷,然后使用`docker-compose up`命令来启动所有配置的服务。在压缩包中: 4. `docker-compose-linux-x86_64`:这是一个可执行文件,...
解决docker报错systemctl status docker.service and journalctl -xe
01-07
解决docker报错systemctl status docker.service and journalctl -xe
docker学习笔记(二)
m0_62574889的博客
05-11 2535
启动Docker ​编辑 建立 Docker 用户 ​编辑 测试 Docker 是否正常工作 卸载Docker Docker镜像加速器配置 配置镜像 检查加速器是否生效 如何在Linux中的.json文件下保存并退出 如果我是使用vi操作进来的,我该如何保存并退出呢? 如何在Linux系统下删除deamon.json文件 检查加速器是否生效 云服务商 Docker远程访问 开启访问 Docker远程访问是为了干什么? 安全认证 配置Docker支持TLS 客户
大忙人系列_IDEA使用Docker
ultingCSDN的博客
04-02 423
首先我们要远程使用Docker的话,因为docker是daemon,只能在服务器端通过dockerAPI或者docker命令进行操作。我们如果要远程操作的话,我们就得需要开启docker的远程访问权限(开启后可能不安全),开启方法如下: 方法一 vi /lib/systemd/system/docker.service # 在“ExecStart=/usr/bin/dockerd -H ...
idea+docker技术(以及docker_tls安全连接)
wssdds的博客
05-22 3015
idea+docker技术(以及docker_tls安全连接)
springboot整合Dockerfile
mhz2977170的博客
10-10 66
修改docker.service的配置打开配置文件:指定containerd` 的 socket 文件路径。:指定dockerd:指定dockerd/var/run/docker.sock` 进行本地访问。修改完毕后重启配置命令会重新加载 systemd 的配置文件,以使最新的更改生效。命令会重新启动 Docker 服务。这将停止当前正在运行的 Docker 服务,并重新启动它,以应用任何新的配置更改或修复问题。查看端口是否有效测试服务是否启动开放2375端口
二、Docker安装及常用命令
不二青春
05-05 437
这里给大家推荐一款免费迭代 二开便捷的商城项目:源码直通车>>> 一、仓库、镜像、容器 官方docker hub 官方:https://hub.docker.com/explore/ 常用docker 国内镜像源: 网易镜像中心:http://hub-mirror.c.163.com 阿里镜像中心:https://dev.aliyun.com Docker 官方中国区:https://registry.docker-cn.com ustc: https://docker.m
docker.socket: Failed with result ‘service-start-limit-hit‘
ibless的博客
06-07 7009
在Ubuntu 16.04中启动dockerdockerd总是报错,报的错误一直都是service-start-limit-hit。在网上尝试重装dockerdockerd、docker-ce等都不行。解决办法:关闭防火墙。 参考链接 ↩︎
docker配置管理
l_l_c_q的博客
01-11 478
docker是一个可以用着很丝滑的服务,它可以让你很方便地将你的应用单独部署在一个docker镜像,这些镜像并非没有任何交流,相反,它们像是不通的实体机在互相交流,docker好比virtualbox,其运行的镜像好比virtualbox上运行的虚拟机,但前者更轻量。对于docker镜像中应该运行什么样的应用,现在似乎是更习惯于用go语言去实现docker镜像中的应用,因为据说使用go语言实现的应用更轻量,感兴趣的小伙伴可以去查一查。
docker遇到的问题
梦想是很难很难的,所以先勇敢一点
12-14 4632
这是完全转载自https://www.jianshu.com/p/964b268e1fc8的, 自己好像碰到过这个问题,但一直没有解决,先记录一下这个解决方案,待以后验证 主机无法访问容器映射的端口:Connection reset by peer 今天碰到一个坑,很低级,先记在这里吧。 背景是这样的 我启动一个etcd容器,里面发布了一个服务监听端口2379,然后我把端口映射到主机了。 version: '2' networks: byfn: services: etcd1: imag
docker-compose 端口映射
07-15
### 回答1: docker-compose 端口映射是指将容器内部的端口映射到宿主机上的端口,实现容器与宿主机之间的通信。在docker-compose.yml文件中,可以通过配置ports关键字实现端口映射。 具体使用方法如下: 1. 在docker-compose.yml文件中的对应服务的配置下方添加ports关键字。 2. 在ports后紧跟着宿主机端口:容器内部端口的形式,例如:"3000:80",表示将容器内部的80端口映射到宿主机上的3000端口。 3. 可以配置多个端口映射,使用空格分隔开,例如:"3000:80 8080:8080",表示将容器内部的80端口映射到宿主机上的3000端口,并将容器内部的8080端口映射到宿主机上的8080端口。 4. 使用端口映射后,可以通过访问宿主机的对应端口来与容器进行通信,例如,在上述例子中,可以通过访问localhost:3000来访问容器中的应用程序。 需要注意的是,端口映射只是实现了容器与宿主机之间的通信,但并没有修改容器内部的网络配置。因此,容器内部的应用程序仍然需要监听容器内部的端口。 总之,docker-compose的端口映射为我们提供了一种简便的方式来实现容器与宿主机之间的网络通信,方便我们进行开发和测试工作。 ### 回答2: Docker-compose端口映射是一种在Docker容器和宿主机之间建立端口映射的方法。通过端口映射,可以将容器内部的服务发布到宿主机的指定端口上,从而可以通过宿主机的IP地址和映射的端口访问容器内的服务。 在docker-compose.yml文件中,可以使用"ports"关键字来定义端口映射。端口映射的格式为"宿主机端口:容器端口",例如"8080:80"表示将容器的80端口映射到宿主机的8080端口上。 通过端口映射,可以实现以下几点: 1. 容器内的服务可以通过宿主机的IP地址和映射的端口进行访问。例如,如果将容器的80端口映射到宿主机的8080端口上,那么可以使用"http://宿主机IP地址:8080"来访问容器内的服务。 2. 可以实现容器容器之间的通信。如果多个容器在同一网络中,可以通过容器的名称和映射的端口进行通信。 3. 可以将多个容器的服务映射到宿主机的不同端口上。通过不同的端口映射,可以同时在宿主机上运行多个容器,并通过不同的端口访问它们的服务。 需要注意的是,端口映射只是一种将容器内部的端口映射到宿主机端口上的方法,并不能改变容器内部的服务监听端口。因此,在容器内部的服务中仍需要使用容器内部的端口来进行监听访问。而端口映射则是为了方便通过宿主机进行访问

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值