映射容器端口到宿主主機的實現
默認情況下,容器可以主動訪問到外部網絡的連接,但是外部網絡無法訪問到容器。
容器訪問外部實現
容器所有到外部網絡的連接,源地址都會被 NAT 成本地系統的 IP 地址。這是使用 iptables 的源地址偽裝操作實現的。
查看主機的 NAT 規則。
$ sudo iptables -t nat -nL
...
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16 ... 其中,上述規則將所有源地址在 172.17.0.0/16 網段,目標地址為其他網段(外部網絡)的流量動態偽裝為從系統網卡發出。MASQUERADE 跟傳統 SNAT 的好處是它能動態從網卡獲取地址。
外部訪問容器實現
容器允許外部訪問,可以在 docker run 時候通過 -p 或 -P 參數來啟用。
不管用那種辦法,其實也是在本地的 iptable 的 nat 表中添加相應的規則。
使用 -P 時:
$ iptables -t nat -nL
...
Chain DOCKER (2 references)
target prot opt source destination DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:49153 to:172.17.0.2:80 使用 -p 80:80 時:
$ iptables -t nat -nL
Chain DOCKER (2 references)
target prot opt source destination DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:172.17.0.2:80 注意:
-
這里的規則映射了
0.0.0.0,意味着將接受主機來自所有接口的流量。用戶可以通過-p IP:host_port:container_port或-p IP::port來指定允許訪問容器的主機上的 IP、接口等,以制定更嚴格的規則。 -
如果希望永久綁定到某個固定的 IP 地址,可以在 Docker 配置文件
/etc/docker/daemon.json中添加如下內容。
{
"ip": "0.0.0.0" }