一、说明
使用 Docker 能实现服务的容器化,并使用容器间网络在它们之间进行通信。有时您可能需要一个容器来与宿主机上非容器化的服务通信。以下是如何从 Docker 容器中访问本地主机或 127.0.0.1的具体方法。
二、方法1:简单的选择
适用于 Windows 和 Mac 的 Docker Desktop 18.03+ 支持 host.docker.internal 作为 localhost 的功能别名。在您的容器中使用此字符串来访问您的主机。注意,这里区分实体的办法
指定通信个体 | 别名 |
解释成容器 |
|
解释成主机 |
|
比如,您在主机上运行 MySQL 服务器,Docker 容器可以通过网络访问连接到主机的mysql 具体名为host.docker.internal:3306 。当您在 Windows 或 Mac 计算机上工作时,这是最简单的技术。
--add-host 标志启用主机的默认名称 host.docker.internal。使用此标志启动容器以公开主机字符串:
docker run -d --add-host host.docker.internal:host-gateway my-container:latest
--add-host 标志向容器的 /etc/hosts 文件添加一个条目。上面显示的值将 host.docker.internal 映射到容器的主机网关,这与真实的 localhost 值相匹配。如果您愿意,可以用您的主机真实名称替换 host.docker.internal 。
三、方法2:连接到主机网络
Docker 提供了一个主机网络,让容器可以共享主机的网络堆栈。这种方法意味着容器内的本地主机解析为物理主机,而不是容器本身。
通过添加 --network=host 标志与主机网络一起启动容器:
docker run -d --network=host my-container:latest
现在您的容器可以直接引用本地主机或 127.0.0.1。
如果您使用的是 Docker Compose,请修改容器的服务定义以包含 network_mode 字段:
services: my-service: network_mode: host
这种方法有几个注意事项。在使用它之前考虑所有的影响很重要。容器通常会获得自己的私有网络,该网络独立于主机的堆栈。来自主机的设置。
容器公开的任何端口都将在主机上公开,即使它们没有使用 -p 标志明确声明。
主机网络可能是一个安全问题,它打破了 Docker 容器的隔离模型。在您确信正在运行的容器不会相互冲突或导致主机环境出现问题的情况下,它仍然很有用。主机网络模式也比默认桥接模式更快,因为没有供流量通过的虚拟化层。
四、方法3:使用默认桥接模式访问主机
您的主机仍然可以在默认桥接网络模式下从容器访问。您只需要通过其 Docker 网络 IP 引用它,而不是 localhost 或 127.0.0.1。
大多数 Docker 引擎安装会将主机表示为默认 docker0 桥接网络上的 172.17.0.1。您可以通过在主机上运行以下命令来检查自己的 IP:
ip addr show docker0
您的主机的 Docker IP 将显示在 inet 行上。从您的容器中连接到此 IP 地址以成功访问在您的主机上运行的服务。
这种方法的一个缺陷是您可能无法连接到直接绑定到本地主机的服务。您会在容器中看到连接被拒绝或类似错误。
五、总结
当您需要从 Docker 容器外部访问机器的本地主机时,您有多种选择。如果您使用的是 Windows 或 Mac,最好使用内置的 host.docker.internal 别名。Linux 用户可以设置类似的东西在启动容器时使用 --add-hostflag。
主机网络模式是一种通用的替代方案,它允许容器共享主机的网络堆栈。您可以直接引用本地主机,但需要了解风险和限制。当需要强大的网络隔离时,这不是一个合适的选择。
坚持使用桥接模式可能是支持它的工作负载的最佳选择。将主机的服务绑定到它的 Docker IP,然后使用该地址从容器内部进行连接。这使您可以使用 Docker 的每个容器虚拟化网络,同时提供一个路由到你的主机在需要的时候。