侯体宗的博客
  • 首页
  • Hyperf版
  • beego仿版
  • 人生(杂谈)
  • 技术
  • 关于我
  • 更多分类
    • 文件下载
    • 文字修仙
    • 中国象棋ai
    • 群聊
    • 九宫格抽奖
    • 拼图
    • 消消乐
    • 相册

docker 动态映射运行的container端口实例详解

Docker  /  管理员 发布于 4年前   301

docker动态映射运行的container端口,最近做项目,对于docker动态映射运行的container端口的资料有必要记录下,以便以后在用到,

Docker自带了EXPOSE命令,可以通过编写dockerfile加-p参数方便的映射Container内部端口,但是对于已经运行的container,如果你想对外开放一个新的端口,只能编辑dockerfile然后重新build,有点不太方便。

其实docker本身使用了iptables来做端口映射的,所以我们可以通过一些简单的操作来实现动态映射运行中的container端口。

通过运行iptables命令可以看到具体的端口映射(下面的实例中IP为192.168.42.41的container开放了22和20280等端口)

[yaxin@ubox ~]$sudo iptables -nvxL Chain INPUT (policy ACCEPT 262 packets, 529689 bytes)   pkts   bytes target   prot opt in   out   source        destination   14355  789552 DROP    tcp -- *   *    0.0.0.0/0      0.0.0.0/0      tcp dpt:25  Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)   pkts   bytes target   prot opt in   out   source        destination  5479459 653248187 DOCKER   all -- *   docker0 0.0.0.0/0      0.0.0.0/0   93990 314970368 ACCEPT   all -- *   docker0 0.0.0.0/0      0.0.0.0/0      ctstate RELATED,ESTABLISHED  4705395 2183219154 ACCEPT   all -- docker0 !docker0 0.0.0.0/0      0.0.0.0/0     0    0 ACCEPT   all -- docker0 docker0 0.0.0.0/0      0.0.0.0/0  Chain OUTPUT (policy ACCEPT 282 packets, 622495 bytes)   pkts   bytes target   prot opt in   out   source        destination  Chain DOCKER (1 references)   pkts   bytes target   prot opt in   out   source        destination    218  13193 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:22280  4868186 297463902 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:20280   78663 13128102 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:22    47   4321 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:28159 [yaxin@ubox ~]$sudo iptables -t nat -nvxL Chain PREROUTING (policy ACCEPT 210199 packets, 14035875 bytes)   pkts   bytes target   prot opt in   out   source        destination  1219483 82563968 DOCKER   all -- *   *    0.0.0.0/0      0.0.0.0/0      ADDRTYPE match dst-type LOCAL  Chain INPUT (policy ACCEPT 197679 packets, 13316595 bytes)   pkts   bytes target   prot opt in   out   source        destination  Chain OUTPUT (policy ACCEPT 271553 packets, 16671466 bytes)   pkts   bytes target   prot opt in   out   source        destination   1643  99251 DOCKER   all -- *   *    0.0.0.0/0      !127.0.0.0/8     ADDRTYPE match dst-type LOCAL  Chain POSTROUTING (policy ACCEPT 271743 packets, 16682594 bytes)   pkts   bytes target   prot opt in   out   source        destination   13468  811013 MASQUERADE all -- *   !docker0 192.168.42.0/24   0.0.0.0/0     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:22280     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:20280     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:22     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:28159  Chain DOCKER (2 references)   pkts   bytes target   prot opt in   out   source        destination    22   1404 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:22280 to:192.168.42.41:22280    288  17156 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:20280 to:192.168.42.41:20280    93   5952 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:22222 to:192.168.42.41:22     8   512 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:28159 to:192.168.42.41:28159 

我们要做的就是根据自己container的情况配置iptables规则。

首先是filter这个表,我们要配置其放通转发,docker默认已经将所有的FORWARD规则放到了DOCKER这个自建链(chain)中了,这样方便配置,也方便查看。

然后再配置nat表为其配置DNAT,这个才是端口转发的核心配置。这个表中只需要配置POSTROUTING和DOCKER链即可,这里不讲为什么这么配置,如果想要深入了解iptables请google一下。

下面举个例子:

假如我有一个container,名字为nginx(通过运行docker ps命令即可查询),现在我在docker内部运行nginx程序,监听了8888端口,我希望外网可以通过8899端口(注意一下端口)访问

找到docker为nginx分配的IP

[yaxin@ubox ~]$sudo docker inspect -f '{{.NetworkSettings.IPAddress}}' nginx192.168.42.43

配置iptables中filter表的FORWARD(DOCKER)链

[yaxin@ubox ~]$sudo iptables -A DOCKER ! -i docker0 -o docker0 -p tcp --dport 8888 -d 192.168.42.43 -j ACCEPT

配置iptables中nat表的PREROUTING(DOCKER)和POSTROUTING链

[yaxin@ubox ~]$sudo iptables -t nat -A POSTROUTING -p tcp --dport 8888 -s 192.168.42.43 -d 192.168.42.43 -j MASQUERADE[yaxin@ubox ~]$sudo iptables -t nat -A DOCKER ! -i dokcer0 -p tcp --dport 8899 -j DNAT --to-destination 192.168.42.43:8888

通过外网访问curl http://IP:8899就会显示nginx下配置的html页面

最后iptables规则

[yaxin@ubox ~]$sudo iptables -nvxL Chain INPUT (policy ACCEPT 67893 packets, 212661547 bytes)   pkts   bytes target   prot opt in   out   source        destination   14364  790008 DROP    tcp -- *   *    0.0.0.0/0      0.0.0.0/0      tcp dpt:25  Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)   pkts   bytes target   prot opt in   out   source        destination  5479682 653269356 DOCKER   all -- *   docker0 0.0.0.0/0      0.0.0.0/0   94186 314986910 ACCEPT   all -- *   docker0 0.0.0.0/0      0.0.0.0/0      ctstate RELATED,ESTABLISHED  4705658 2183254076 ACCEPT   all -- docker0 !docker0 0.0.0.0/0      0.0.0.0/0     0    0 ACCEPT   all -- docker0 docker0 0.0.0.0/0      0.0.0.0/0  Chain OUTPUT (policy ACCEPT 71253 packets, 222512872 bytes)   pkts   bytes target   prot opt in   out   source        destination  Chain DOCKER (1 references)   pkts   bytes target   prot opt in   out   source        destination    218  13193 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:22280  4868186 297463902 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:20280   78663 13128102 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:22    47   4321 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.41    tcp dpt:28159    27   4627 ACCEPT   tcp -- !docker0 docker0 0.0.0.0/0      192.168.42.43    tcp dpt:8888 [yaxin@ubox ~]$sudo iptables -t nat -nvxL Chain PREROUTING (policy ACCEPT 232 packets, 16606 bytes)   pkts   bytes target   prot opt in   out   source        destination  1220281 82620790 DOCKER   all -- *   *    0.0.0.0/0      0.0.0.0/0      ADDRTYPE match dst-type LOCAL  Chain INPUT (policy ACCEPT 216 packets, 15671 bytes)   pkts   bytes target   prot opt in   out   source        destination  Chain OUTPUT (policy ACCEPT 317 packets, 19159 bytes)   pkts   bytes target   prot opt in   out   source        destination   1644  99311 DOCKER   all -- *   *    0.0.0.0/0      !127.0.0.0/8     ADDRTYPE match dst-type LOCAL  Chain POSTROUTING (policy ACCEPT 321 packets, 19367 bytes)   pkts   bytes target   prot opt in   out   source        destination   13512  813656 MASQUERADE all -- *   !docker0 192.168.42.0/24   0.0.0.0/0     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:22280     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:20280     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:22     0    0 MASQUERADE tcp -- *   *    192.168.42.41    192.168.42.41    tcp dpt:28159     0    0 MASQUERADE tcp -- *   *    192.168.42.43    192.168.42.43    tcp dpt:8888  Chain DOCKER (2 references)   pkts   bytes target   prot opt in   out   source        destination    22   1404 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:22280 to:192.168.42.41:22280    288  17156 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:20280 to:192.168.42.41:20280    93   5952 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:22222 to:192.168.42.41:22     8   512 DNAT    tcp -- !docker0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:28159 to:192.168.42.41:28159     4   208 DNAT    tcp -- !dokcer0 *    0.0.0.0/0      0.0.0.0/0      tcp dpt:8899 to:192.168.42.43:8888 

当然,使用手动配置也是比较麻烦的,所以我写了一个脚本来自动配置端口映射,使用方法脚本中有说明

#!/bin/bash # filename: docker_expose.sh  if [ `id -u` -ne 0 ];then   echo "[EROOR] Please use root to run this script"   exit 23 fi  if [ $# -ne 3 ];then   echo "Usage: $0 <container_name> <add|del> [[<machine_ip>:]<machine_port>:]<container_port>[/<protocol_type>]"   exit 1 fi  IPV4_RE='(([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])\.){3}([0-9]|[1-9][0-9]|1[0-9]{2}|2[0-4][0-9]|25[0-5])'  container_name=$1 action=$2 arguments=$3  # check action if [ "$action"x != "add"x -a "$action"x != "del"x ];then   echo "[ERROR] Please use add or del parameter to add port map or delete port map"   exit 654 fi if [ "$action"x == "add"x ];then   action="A" else   action="D" fi  # get container ip by container name container_ip=`docker inspect -f '{{.NetworkSettings.IPAddress}}' $container_name 2> /dev/null` if [ -z $container_ip ];then   echo "[ERROR] Get container's (${container_name}) IP error, please ensure you have this container"   exit 2 fi  # parse arguments protocol_type=`echo $arguments | awk -F '/' '{print $2}'` if [ -z $protocol_type ];then   protocol_type="tcp" fi  # check protocol if [ "$protocol_type"x != "tcp"x -a "$protocol_type"x != "udp"x ];then   echo "[ERROR] Only tcp or udp protocol is allowed"   exit 99 fi  machine_ip='' machine_port='' container_port='' # split the left arguments arguments=${arguments%/*} machine_ip=`echo $arguments | awk -F ':' '{print $1}'` machine_port=`echo $arguments | awk -F ':' '{print $2}'` container_port=`echo $arguments | awk -F ':' '{print $3}'` if [ -z $machine_port ];then   # arguments is: 234   container_port=$machine_ip   machine_port=$machine_ip   unset machine_ip elif [ -z $container_port ];then   # arguments is: 234:456   container_port=$machine_ip   machine_port=$machine_port   unset machine_ip fi  # check port number function _check_port_number() {   local port_num=$1   if ! echo $port_num | egrep "^[0-9]+$" &> /dev/null;then     echo "[ERROR] Invalid port number $port_num"     exit 3   fi   if [ $port_num -gt 65535 -o $port_num -lt 1 ];then     echo "[ERROR] Port number $port_num is out of range(1-56635)"     exit 4   fi }  # check port and ip address _check_port_number $container_port _check_port_number $machine_port  if [ ! -z $machine_ip ];then   if ! echo $machine_ip | egrep "^${IPV4_RE}$" &> /dev/null;then     echo "[ERROR] Invalid Ip Adress $machine_ip"     exit 5   fi    # check which interface bind the IP   for interface in `ifconfig -s | sed -n '2,$p' | awk '{print $1}'`;do     interface_ip=`ifconfig $interface | awk '/inet addr/{print substr($2,6)}'`     if [ "$interface_ip"x == "$machine_ip"x ];then       interface_name=$interface       break     fi   done    if [ -z $interface_name ];then     echo "[ERROR] Can not find interface bind with $machine_ip"     exit 98   fi fi  # run iptables command echo "[INFO] Now start to change rules to iptables" echo "[INFO] Changing POSTROUTING chain of nat table" iptables -t nat -${action} POSTROUTING -p ${protocol_type} --dport ${container_port} -s ${container_ip} -d ${container_ip} -j MASQUERADE if [ -z $interface_name ];then   echo "[INFO] Changing DOCKER chain of filter table"   iptables -${action} DOCKER ! -i docker0 -o docker0 -p ${protocol_type} --dport ${container_port} -d ${container_ip} -j ACCEPT   echo "[INFO] Changing DOCKER chain of nat table"   iptables -t nat -${action} DOCKER ! -i docker0 -p ${protocol_type} --dport ${machine_port} -j DNAT --to-destination ${container_ip}:${container_port} else   echo "[INFO] Changing DOCKER chain of filter table"   iptables -${action} DOCKER -i $interface_name -o docker0 -p ${protocol_type} --dport ${container_port} -d ${container_ip} -j ACCEPT   echo "[INFO] Changing DOCKER chain of nat table"   iptables -t nat -${action} DOCKER -i $interface_name -p ${protocol_type} --dport ${machine_port} -j DNAT --to-destination ${container_ip}:${container_port} fi 

感谢阅读,希望能帮助到大家,谢谢大家对本站的支持!


  • 上一条:
    Docker 修改文件是否需要重启(命令详解)
    下一条:
    Docker 命令教程(附中文解释)
  • 昵称:

    邮箱:

    0条评论 (评论内容有缓存机制,请悉知!)
    最新最热
    • 分类目录
    • 人生(杂谈)
    • 技术
    • linux
    • Java
    • php
    • 框架(架构)
    • 前端
    • ThinkPHP
    • 数据库
    • 微信(小程序)
    • Laravel
    • Redis
    • Docker
    • Go
    • swoole
    • Windows
    • Python
    • 苹果(mac/ios)
    • 相关文章
    • 在docker环境中实现Laravel项目执行定时任务和消息队列流程步骤(0个评论)
    • 在MacBook下laravel项目多php版本docker开发环境配置方案(0个评论)
    • 在docker环境中部署docker部署elk架构流程步骤(1个评论)
    • docker compose跟Dockerfile的区别浅析(0个评论)
    • Ubuntu 22.04系统中安装podman流程步骤(1个评论)
    • 近期文章
    • 在go语言中使用api.geonames.org接口实现根据国际邮政编码获取地址信息功能(1个评论)
    • 在go语言中使用github.com/signintech/gopdf实现生成pdf分页文件功能(0个评论)
    • gmail发邮件报错:534 5.7.9 Application-specific password required...解决方案(0个评论)
    • 欧盟关于强迫劳动的规定的官方举报渠道及官方举报网站(0个评论)
    • 在go语言中使用github.com/signintech/gopdf实现生成pdf文件功能(0个评论)
    • Laravel从Accel获得5700万美元A轮融资(0个评论)
    • 在go + gin中gorm实现指定搜索/区间搜索分页列表功能接口实例(0个评论)
    • 在go语言中实现IP/CIDR的ip和netmask互转及IP段形式互转及ip是否存在IP/CIDR(0个评论)
    • PHP 8.4 Alpha 1现已发布!(0个评论)
    • Laravel 11.15版本发布 - Eloquent Builder中添加的泛型(0个评论)
    • 近期评论
    • 122 在

      学历:一种延缓就业设计,生活需求下的权衡之选中评论 工作几年后,报名考研了,到现在还没认真学习备考,迷茫中。作为一名北漂互联网打工人..
    • 123 在

      Clash for Windows作者删库跑路了,github已404中评论 按理说只要你在国内,所有的流量进出都在监控范围内,不管你怎么隐藏也没用,想搞你分..
    • 原梓番博客 在

      在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。..
    • 博主 在

      佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章..
    • 1111 在

      佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..
    • 2017-11
    • 2020-06
    • 2021-05
    • 2021-08
    • 2021-09
    • 2021-10
    • 2021-11
    • 2021-12
    • 2022-01
    • 2022-02
    • 2022-03
    • 2022-07
    • 2022-08
    • 2022-09
    • 2022-11
    • 2023-01
    • 2023-02
    • 2023-03
    • 2023-04
    • 2024-03
    Top

    Copyright·© 2019 侯体宗版权所有· 粤ICP备20027696号 PHP交流群

    侯体宗的博客