以前就好奇docker run时的port公开方式-p 8080:8080和--expose(或者Dockerfile里的EXPOSE)的区别,
当时相信了stackoverflow上高手的回答Difference between "expose" and "publish" in docker - Stack Overflow,提到
如果什么都不指定,那么除了该容器自己,谁都不能访问那个port。
**后来有一天细看Docker的网络的时候,觉得不应该是这样。**从Docker主机之外的确不能访问,这点没有疑问,可是从Docker主机之内或者其他容器,其实能够访问,而且很合理。
Docker在主机上做了个docker0网卡172.17.0.1。又为每个容器创建了一个vethXxxx网卡。
网卡是有两头的,一头接外边,一头接容器,就像管道。
这个veth网卡,一头给了容器做eth0 172.17.0.N,另一头被默认地被加入到docker0网卡上,相当把所有的容器的网卡都插到一个hub上了,这就是互通的基础。
照这么说,在其中一个容器里侦听eth0的端口,那么主机和其他容器都应该能够访问到才对。
实验环境: Mac OS X EI Capitan 10.11.5
$ docker-machine -v
docker-machine version 0.8.0-rc1, build fffa6c9
$ docker -v
Docker version 1.12.0-rc3, build 91e29e8, experimental启动一个容器,什么-p -P --expose都不指定。 就用busybox吧,很小。起了以后就是一个bash等在那儿。
$ docker run -it busybox得到他的ip,一般第一个启动的就是172.17.0.2。
/ # ifconfig eth0 |grep 'inet addr:'
inet addr:172.17.0.2 ...在容器里执行一个netcat侦听端口7777。 一旦得到连接就发送date命令的结果给对方。
/ # nc -ll -p 7777 -e date在别的容器里连接这个端口
$ docker run busybox nc 172.17.0.2 7777
Fri Jul 8 03:50:34 UTC 2016能通!
在docker主机里连接这个端口
$ docker-machine ssh default nc 172.17.0.2 7777
Fri Jul 8 03:49:40 UTC 2016自然也能通。
因为不是在Linux主机上,所以这里的docker主机实际值docker-machine这个boot2docker虚拟机。
这个现象应该不是因为实验版本导致的问题,就是这么设计的。
- 如果什么都不指定,那么从Docker主机以及其他容器,都能访问那个port。
- 当有时候忘了加-p端口映射选项就启动了容器做了一堆事儿之后,如果立刻想从Docker主机外访问的,可是却舍不得退出容器,那就还有补救机会。
就在Docker主机里用iptables加个端口转发规则,(VirtualBox里也可以加一个端口映射让本地访问):
$ docker ssh default
docker@default:~$ sudo iptables -A PREROUTING -t nat -p tcp --dport 7777 -j DNAT --to 172.17.0.2:7777或者在真正的Mac OS X上加个路由,允许经Docker主机(一般为192.168.99.100)访问到172.17.0.N
sudo route -n add 172.17.0.0/24 192.168.99.100- 而对于-p 7777:7777这样的用法,这是没有疑问的,的确就在Docker主机上被加了个端口转接的rule了,所以和从Docker主机之外能够访问这个端口了。
- 剩下一个--expose 7777(或者Dockerfile里的EXPOSE 7777),实质没有什么用,也许是给发现服务用的。并没有对iptables做任何改变。
- 直到-P(--publish-all)时才会被用到--expose里的端口信息。
- 就是说, 只有既指定--expose 7777(或者Docerfile里的EXPOSE 7777)又指定-P(--publish-all)时,才会有实际动作。但这是把Docker主机上的随机端口映射给容器里的7777,所以一般不用。
例如,先做一个EXPOSE 7777端口的Docker image。
$ cat Dockerfile
FROM busybox
EXPOSE 7777
$ docker build -t busybox_expose_7777 - < Dockerfile
Sending build context to Docker daemon 2.048 kB
Step 1 : FROM busybox
---> 2b8fd9751c4c
Step 2 : EXPOSE 7777
---> Running in bddf30c42dcd
---> 2c92defacdd4
Removing intermediate container bddf30c42dcd
Successfully built 2c92defacdd4然后运行时加上 --publish-all,
docker run -it --publish-all busybox_expose_7777
/ # nc -ll -p 7777 -e date这时再看看到底Docker主机的哪个端口被映射到容器里的7777了。
docker ps
...
fca504f3bc49 busybox_expose_7777 "sh" ... 0.0.0.0:32769->7777/tcp nostalgic_galileo就是这个32769端口了。那访问Docker主机的32769端口看看。
(Docker主机的ip一般是192.168.99.100(可以从DOCKER_HOST环境变量里看出来))
$ nc 192.168.99.100 32769
Fri Jul 8 11:14:08 UTC 2016的确如此。
真真是聊胜于无的东西,难以置信谁会用这个。却搞得不好理解,文档也说的不明不白。
对于新型的,不用VirtualBox的Docker for Mac或者Docker for Windows,会怎么样呢?
结果:在其他容器里也是可以访问别的容器的端口的。在docker主机里就不知道了,因为进不去,不过应该是行的。
这两种都直接利用Mac/Windows自带的虚拟设备API(例如Hypervisor.framework)直接生成一个linux虚拟机作为docker主机,
而且它刻意淡化这个虚拟机的存在,我暂时找不到命令进入这个虚拟机,所以没做完这个实验,不过无所谓了,原理一样,应该是一样的结果。
顺便,这种新型工具,以xhyve虚拟机为基础,非常轻巧好用,连VirtualBox都不用装了,一切和以前一样的用法,除了docker-machine命令不起作用。
