214

是否可以让主机打开 Docker 容器访问端口?具体来说,我在主机上运行了 MongoDB 和 RabbitMQ,我想在 Docker 容器中运行一个进程来监听队列并(可选)写入数据库。

我知道我可以将一个端口从容器转发到主机(通过 -p 选项),并从 Docker 容器内连接到外部世界(即互联网),但我不想公开 RabbitMQ 和 MongoDB 端口从宿主到外界。

编辑:一些澄清:

Starting Nmap 5.21 ( http://nmap.org ) at 2013-07-22 22:39 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00027s latency).
PORT     STATE SERVICE
6311/tcp open  unknown

joelkuiper@vps20528 ~ % docker run -i -t base /bin/bash
root@f043b4b235a7:/# apt-get install nmap
root@f043b4b235a7:/# nmap 172.16.42.1 -p 6311 # IP found via docker inspect -> gateway

Starting Nmap 6.00 ( http://nmap.org ) at 2013-07-22 20:43 UTC
Nmap scan report for 172.16.42.1
Host is up (0.000060s latency).
PORT     STATE    SERVICE
6311/tcp filtered unknown
MAC Address: E2:69:9C:11:42:65 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 13.31 seconds

我不得不做这个技巧来获得与容器的任何互联网连接:我的防火墙阻止了从 docker 容器到外部的网络连接

编辑:最终我使用管道创建了一个自定义网桥,并让服务在网桥 IP 上侦听。我采用了这种方法,而不是让 MongoDB 和 RabbitMQ 在 docker 桥上监听,因为它提供了更大的灵活性。

4

7 回答 7

147

一个简单但相对不安全的方法是使用--net=host选项 to docker run

此选项使容器使用主机的网络堆栈。然后,您只需使用“localhost”作为主机名即可连接到主机上运行的服务。

这更容易配置,因为您不必将服务配置为接受来自 docker 容器 IP 地址的连接,也不必告诉 docker 容器要连接的特定 IP 地址或主机名,只需一个港口。

例如,您可以通过运行以下命令对其进行测试,该命令假定您的映像被调用my_image,您的映像包含该telnet实用程序,并且您要连接的服务位于端口 25 上:

docker run --rm -i -t --net=host my_image telnet localhost 25

如果您考虑这样做,请参阅此页面上的安全注意事项:

https://docs.docker.com/articles/networking/

它说:

--net=host -- 告诉 Docker 跳过将容器放置在单独的网络堆栈中。本质上,这个选择告诉 Docker 不要容器化容器的网络!虽然容器进程仍将被限制在它们自己的文件系统和进程列表以及资源限制中,但一个快速的 ip addr 命令将向您显示,在网络方面,它们位于主 Docker 主机的“外部”,并且可以完全访问其网络接口. 请注意,这不会让容器重新配置主机网络堆栈——这需要 --privileged=true——但它确实让容器进程像任何其他根进程一样打开低编号端口。它还允许容器访问本地网络服务,如 D-bus。这可能导致容器中的进程能够执行意外的事情,例如重新启动计算机。

于 2014-09-28T23:11:44.820 回答
71

您的 docker 主机向所有容器公开了一个适配器。假设您使用的是最近的 ubuntu,您可以运行

ip addr

这将为您提供网络适配器列表,其中一个看起来像

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 22:23:6b:28:6b:e0 brd ff:ff:ff:ff:ff:ff
inet 172.17.42.1/16 scope global docker0
inet6 fe80::a402:65ff:fe86:bba6/64 scope link
   valid_lft forever preferred_lft forever

您需要告诉 rabbit/mongo 绑定到该 IP (172.17.42.1)。之后,您应该能够从容器中打开到 172.17.42.1 的连接。

于 2013-09-05T21:14:27.687 回答
12

您还可以创建一个 ssh 隧道。

docker-compose.yml

---

version: '2'

services:
  kibana:
    image: "kibana:4.5.1"
    links:
      - elasticsearch
    volumes:
      - ./config/kibana:/opt/kibana/config:ro

  elasticsearch:
    build:
      context: .
      dockerfile: ./docker/Dockerfile.tunnel
    entrypoint: ssh
    command: "-N elasticsearch -L 0.0.0.0:9200:localhost:9200"

docker/Dockerfile.tunnel

FROM buildpack-deps:jessie

RUN apt-get update && \
    DEBIAN_FRONTEND=noninteractive \
    apt-get -y install ssh && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*

COPY ./config/ssh/id_rsa /root/.ssh/id_rsa
COPY ./config/ssh/config /root/.ssh/config
COPY ./config/ssh/known_hosts /root/.ssh/known_hosts
RUN chmod 600 /root/.ssh/id_rsa && \
    chmod 600 /root/.ssh/config && \
    chown $USER:$USER -R /root/.ssh

config/ssh/config

# Elasticsearch Server
Host elasticsearch
    HostName jump.host.czerasz.com
    User czerasz
    ForwardAgent yes
    IdentityFile ~/.ssh/id_rsa

这样,elasticsearch就有一条通往正在运行服务(Elasticsearch、MongoDB、PostgreSQL)的服务器的隧道,并使用该服务公开端口 9200。

于 2016-07-07T07:53:31.693 回答
10

正如其中一条评论所述,这适用于 Mac(也可能适用于 Windows/Linux):

我想从容器连接到主机上的服务

主机有一个不断变化的 IP 地址(如果您没有网络访问权限,则没有)。我们建议您连接到host.docker.internal解析为主机使用的内部 IP 地址的特殊 DNS 名称。这是出于开发目的,不适用于 Docker Desktop for Mac 之外的生产环境。

您也可以使用gateway.docker.internal.

引用自https://docs.docker.com/docker-for-mac/networking/

这对我有用,但不使用--net=host.

于 2020-12-29T15:45:27.020 回答
7

我在从 docker 容器访问 LDAP 服务器时遇到了类似的问题。我为容器设置了固定 IP 并添加了防火墙规则。

docker-compose.yml:

version: '2'
services:
  containerName:
    image: dockerImageName:latest
    extra_hosts:
      - "dockerhost:192.168.50.1"
    networks:
      my_net:
        ipv4_address: 192.168.50.2
networks:
  my_net:
    ipam:
      config:
      - subnet: 192.168.50.0/24

iptables 规则:

iptables -A INPUT -j ACCEPT -p tcp -s 192.168.50.2 -d $192.168.50.1 --dport portnumberOnHost

集装箱内部访问dockerhost:portnumberOnHost

于 2017-06-15T14:16:28.277 回答
5

TLDR;

仅对于本地开发,请执行以下操作:

  1. 在您的笔记本电脑/计算机/PC/Mac 上启动服务或 SSH 隧道。
  2. 构建/运行您的 Docker 映像/容器以连接到主机名host.docker.internal:<hostPort>

注意:还有gateway.docker.internal,我没有尝试过。

END_TLDR;

例如,如果您在容器中使用它:

PGPASSWORD=password psql -h localhost -p 5432 -d mydb -U myuser

将其更改为:

PGPASSWORD=password psql -h host.docker.internal -p 5432 -d mydb -U myuser

这神奇地连接到我的主机上运行的服务。您不需要使用--net=hostor-p "hostPort:ContainerPort"-P

背景

有关详细信息,请参阅:https ://docs.docker.com/docker-for-mac/networking/#use-cases-and-workarounds

我将它与 SSH 隧道一起使用到 Windows 10 上的 AWS RDS Postgres 实例。我只需从localhost:containerPort在容器中使用更改为host.docker.internal:hostPort.

于 2021-07-06T21:21:15.530 回答
2

如果 MongoDB 和 RabbitMQ 在主机上运行,​​那么端口应该已经暴露,因为它不在 Docker 中。

您不需要该-p选项即可将端口从容器公开到主机。默认情况下,所有端口都是公开的。该-p选项允许您将容器中的端口公开到主机外部。

所以,我的猜测是你根本不需要-p它应该可以正常工作:)

于 2013-07-22T17:16:01.577 回答