文档章节

外部世界如何访问容器? - 每天5分钟玩转 Docker 容器技术(37)

CloudMAN
 CloudMAN
发布于 2017/07/05 06:30
字数 460
阅读 93
收藏 1
点赞 0
评论 7

上节我们学习了容器如何访问外部网络,今天讨论另一个方向:外部网络如何访问到容器?


答案是:端口映射

docker 可将容器对外提供服务的端口映射到 host 的某个端口,外网通过该端口访问容器。容器启动时通过-p参数映射端口:

容器启动后,可通过 docker ps 或者 docker port 查看到 host 映射的端口。在上面的例子中,httpd 容器的 80 端口被映射到 host 32773 上,这样就可以通过 <host ip>:<32773> 访问容器的 web 服务了。

183.png

除了映射动态端口,也可在 -p 中指定映射到 host 某个特定端口,例如可将 80 端口映射到 host 的 8080 端口:

每一个映射的端口,host 都会启动一个 docker-proxy 进程来处理访问容器的流量:

以 0.0.0.0:32773->80/tcp 为例分析整个过程:

  1. docker-proxy 监听 host 的 32773 端口。

  2. 当 curl 访问 10.0.2.15:32773 时,docker-proxy 转发给容器 172.17.0.2:80。

  3. httpd 容器响应请求并返回结果。

本章小结

在这一章我们首先学习了 Docker 的三种网络:none, host 和 bridge 并讨论了它们的不同使用场景;然后我们实践了创建自定义网络;最后详细讨论了如何实现容器与容器之间,容器与外部网络之间的通信。

本章重点关注的是单个主机内的容器网络,对于跨主机网络通信将在后面章节详细讨论。下一节开始学习 Docker 存储。

二维码+指纹.png

© 著作权归作者所有

共有 人打赏支持
CloudMAN
粉丝 501
博文 360
码字总数 221704
作品 0
海淀
加载中

评论(7)

OSC_SWMYKm
OSC_SWMYKm

引用来自“CloudMAN”的评论

引用来自“OSC_SWMYKm”的评论

引用来自“CloudMAN”的评论

引用来自“OSC_SWMYKm”的评论

引用来自“OSC_SWMYKm”的评论

你好,你在后面总结的时候说docker-proxy会监听主机的端口,但是实际文章中所使用的方式通过当前主机的所有网络接口都能访问容器,哪怕直接访问docker0接口,因此这里我有两个疑问:
1.httpd对应的容器挂在在docker0下,那么为什么通过其他自定义的bridge网络接口地址也能访问,是因为他们最终都在主机之下吗?
2.直接通过访问docker0 ip:port的形式岂不是绕开了docker-proxy过程?
谢谢

引用来自“CloudMAN”的评论

从主机外面进来访问容器的流量才由docker-proxy处理。外面的流量不可能直接访问到docker0的,docker0是私有地址
这样啊,我是在本机下作的实验,对于第一个问题还是不理解,能麻烦解答一下吗,谢谢

回复@OSC_SWMYKm : "通过其他自定义的bridge网络接口地址也能访问"具体是什么意思,能举个例子吗?

就是我在同一台电脑下创建了多个自定义的网络,就是前面几篇文章里定义my_net2那种,然后通过他们的ip地址:端口号的形式也能访问挂载在docker0的容器,

回复@OSC_SWMYKm : 这个我就不清楚了,你可以tcpdump一下,看看流量是怎么转发到容器的

好的,谢谢,这个我也试过,但是没发现有任何流量经过两个网络地址,很奇怪
CloudMAN
CloudMAN

引用来自“OSC_SWMYKm”的评论

引用来自“CloudMAN”的评论

引用来自“OSC_SWMYKm”的评论

引用来自“OSC_SWMYKm”的评论

你好,你在后面总结的时候说docker-proxy会监听主机的端口,但是实际文章中所使用的方式通过当前主机的所有网络接口都能访问容器,哪怕直接访问docker0接口,因此这里我有两个疑问:
1.httpd对应的容器挂在在docker0下,那么为什么通过其他自定义的bridge网络接口地址也能访问,是因为他们最终都在主机之下吗?
2.直接通过访问docker0 ip:port的形式岂不是绕开了docker-proxy过程?
谢谢

引用来自“CloudMAN”的评论

从主机外面进来访问容器的流量才由docker-proxy处理。外面的流量不可能直接访问到docker0的,docker0是私有地址
这样啊,我是在本机下作的实验,对于第一个问题还是不理解,能麻烦解答一下吗,谢谢

回复@OSC_SWMYKm : "通过其他自定义的bridge网络接口地址也能访问"具体是什么意思,能举个例子吗?

就是我在同一台电脑下创建了多个自定义的网络,就是前面几篇文章里定义my_net2那种,然后通过他们的ip地址:端口号的形式也能访问挂载在docker0的容器,

回复@OSC_SWMYKm : 这个我就不清楚了,你可以tcpdump一下,看看流量是怎么转发到容器的
OSC_SWMYKm
OSC_SWMYKm

引用来自“CloudMAN”的评论

引用来自“OSC_SWMYKm”的评论

引用来自“OSC_SWMYKm”的评论

你好,你在后面总结的时候说docker-proxy会监听主机的端口,但是实际文章中所使用的方式通过当前主机的所有网络接口都能访问容器,哪怕直接访问docker0接口,因此这里我有两个疑问:
1.httpd对应的容器挂在在docker0下,那么为什么通过其他自定义的bridge网络接口地址也能访问,是因为他们最终都在主机之下吗?
2.直接通过访问docker0 ip:port的形式岂不是绕开了docker-proxy过程?
谢谢

引用来自“CloudMAN”的评论

从主机外面进来访问容器的流量才由docker-proxy处理。外面的流量不可能直接访问到docker0的,docker0是私有地址
这样啊,我是在本机下作的实验,对于第一个问题还是不理解,能麻烦解答一下吗,谢谢

回复@OSC_SWMYKm : "通过其他自定义的bridge网络接口地址也能访问"具体是什么意思,能举个例子吗?

就是我在同一台电脑下创建了多个自定义的网络,就是前面几篇文章里定义my_net2那种,然后通过他们的ip地址:端口号的形式也能访问挂载在docker0的容器,
CloudMAN
CloudMAN

引用来自“OSC_SWMYKm”的评论

引用来自“OSC_SWMYKm”的评论

你好,你在后面总结的时候说docker-proxy会监听主机的端口,但是实际文章中所使用的方式通过当前主机的所有网络接口都能访问容器,哪怕直接访问docker0接口,因此这里我有两个疑问:
1.httpd对应的容器挂在在docker0下,那么为什么通过其他自定义的bridge网络接口地址也能访问,是因为他们最终都在主机之下吗?
2.直接通过访问docker0 ip:port的形式岂不是绕开了docker-proxy过程?
谢谢

引用来自“CloudMAN”的评论

从主机外面进来访问容器的流量才由docker-proxy处理。外面的流量不可能直接访问到docker0的,docker0是私有地址
这样啊,我是在本机下作的实验,对于第一个问题还是不理解,能麻烦解答一下吗,谢谢

回复@OSC_SWMYKm : "通过其他自定义的bridge网络接口地址也能访问"具体是什么意思,能举个例子吗?
OSC_SWMYKm
OSC_SWMYKm

引用来自“OSC_SWMYKm”的评论

你好,你在后面总结的时候说docker-proxy会监听主机的端口,但是实际文章中所使用的方式通过当前主机的所有网络接口都能访问容器,哪怕直接访问docker0接口,因此这里我有两个疑问:
1.httpd对应的容器挂在在docker0下,那么为什么通过其他自定义的bridge网络接口地址也能访问,是因为他们最终都在主机之下吗?
2.直接通过访问docker0 ip:port的形式岂不是绕开了docker-proxy过程?
谢谢

引用来自“CloudMAN”的评论

从主机外面进来访问容器的流量才由docker-proxy处理。外面的流量不可能直接访问到docker0的,docker0是私有地址
这样啊,我是在本机下作的实验,对于第一个问题还是不理解,能麻烦解答一下吗,谢谢
CloudMAN
CloudMAN

引用来自“OSC_SWMYKm”的评论

你好,你在后面总结的时候说docker-proxy会监听主机的端口,但是实际文章中所使用的方式通过当前主机的所有网络接口都能访问容器,哪怕直接访问docker0接口,因此这里我有两个疑问:
1.httpd对应的容器挂在在docker0下,那么为什么通过其他自定义的bridge网络接口地址也能访问,是因为他们最终都在主机之下吗?
2.直接通过访问docker0 ip:port的形式岂不是绕开了docker-proxy过程?
谢谢
从主机外面进来访问容器的流量才由docker-proxy处理。外面的流量不可能直接访问到docker0的,docker0是私有地址
OSC_SWMYKm
OSC_SWMYKm
你好,你在后面总结的时候说docker-proxy会监听主机的端口,但是实际文章中所使用的方式通过当前主机的所有网络接口都能访问容器,哪怕直接访问docker0接口,因此这里我有两个疑问:
1.httpd对应的容器挂在在docker0下,那么为什么通过其他自定义的bridge网络接口地址也能访问,是因为他们最终都在主机之下吗?
2.直接通过访问docker0 ip:port的形式岂不是绕开了docker-proxy过程?
谢谢
如何访问 Service?- 每天5分钟玩转 Docker 容器技术(99)

前面我们已经学习了如何部署 service,也验证了 swarm 的 failover 特性。不过截止到现在,有一个重要问题还没有涉及:如何访问 service?这就是本节要讨论的问题。 为了便于分析,我们重新部...

CloudMan6
2017/11/29
0
0
神奇的 routing mesh - 每天5分钟玩转 Docker 容器技术(100)

接上一节案例,当我们访问任何节点的 8080 端口时,swarm 内部的 load balancer 会将请求转发给 web_server 其中的一个副本。 这就是 routing mesh 的作用。 所以,无论访问哪个节点,即使该...

CloudMan6
2017/12/01
0
0
网络模型 - 每天5分钟玩转 Docker 容器技术(169)

本节我们讨论 Kubernetes 网络这个重要主题。 Kubernetes 作为编排引擎管理着分布在不同节点上的容器和 Pod。Pod、Service、外部组件之间需要一种可靠的方式找到彼此并进行通信,Kubernetes ...

cloudman6
05/16
0
0
每天5分钟玩转Docker容器技术(一)

写在最前面 《每天5分钟玩转Docker容器技术》是一个有关容器技术的教程,有下面两个特点: 系统讲解当前最流行的容器技术 从容器的整个生态环境到各种具体的技术,从整体到细节逐一讨论。 重...

2017/12/25
0
0
部署 Graylog 日志系统 - 每天5分钟玩转 Docker 容器技术(92)

Graylog 是与 ELK 可以相提并论的一款集中式日志管理方案,支持数据收集、检索、可视化 Dashboard。本节将实践用 Graylog 来管理 Docker 日志。 Graylog 架构 Graylog 架构如下图所示: Gray...

CloudMan6
2017/11/10
0
0
Docker 如何支持多种日志方案?- 每天5分钟玩转 Docker 容器技术(88)

将容器日志发送到 STDOUT 和 STDERR 是 Docker 的默认日志行为。实际上,Docker 提供了多种日志机制帮助用户从运行的容器中提取日志信息。这些机制被称作 logging driver。 Docker 的默认 lo...

CloudMan6
2017/11/01
0
0
用 k8s 管理机密信息 - 每天5分钟玩转 Docker 容器技术(155)

应用启动过程中可能需要一些敏感信息,比如访问数据库的用户名密码或者秘钥。将这些信息直接保存在容器镜像中显然不妥,Kubernetes 提供的解决方案是 Secret。 Secret 会以密文的方式存储数据...

cloudman6
04/15
0
0
Docker 如何支持多种日志方案?- 每天5分钟玩转 Docker 容器技术(88)

将容器日志发送到 STDOUT 和 STDERR 是 Docker 的默认日志行为。实际上,Docker 提供了多种日志机制帮助用户从运行的容器中提取日志信息。这些机制被称作 logging driver。 Docker 的默认 lo...

CloudMAN
2017/11/01
0
0
Swarm 如何实现 Failover?- 每天5分钟玩转 Docker 容器技术(98)

故障是在所难免的,容器可能崩溃,Docker Host 可能宕机,不过幸运的是,Swarm 已经内置了 failover 策略。 创建 service 的时候,我们没有告诉 swarm 发生故障时该如何处理,只是说明了我们...

CloudMan6
2017/11/27
0
0
数据收集利器 cAdvisor - 每天5分钟玩转 Docker 容器技术(82)

cAdvisor 是 google 开发的容器监控工具,我们来看看 cAdvisor 有什么能耐。 在 host 中运行 cAdvisor 容器。 docker run --volume=/:/rootfs:ro --volume=/var/run:/var/run:rw --volume=/s......

CloudMan6
2017/10/18
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

mysql导入导出包括函数或者存储过程

mysql导入导出包括函数或者存储过程 2012-11-16 10:12:20 0个评论 收藏 我要投稿 mysql导入导出包括函数或者存储过程 1.mysql导出整个数据库 mysqldump -h hostname -u username -p databas...

rootliu
5分钟前
0
0
Hyperledger Fabric 客户端开发一

前面介绍了hyperledger Fabric 安装, Chaincode的开发和运维, 现在来说说hyperledger fabric的客户端相关的开发。hyperledger 的客户端开发, 实际上指的是Chaincode的客户端开发。 同传统...

十一月不远
8分钟前
0
0
第18章 Linux集群架构

keepalived介绍 在这里使用keepalived来实现高可用集群,因为heartbeat在centos6上有一些问题,影响实验效果 heartbeat 切换的时候,会不是很及时——>比如:主 已经宕机了,但 从 却一直启动...

Linux学习笔记
9分钟前
0
0
awk常用的几条命令组合

前言 最近在生产上查问题,也是练就了一下awk的命令。 生产上的数据安全性要求比较高,一般要拿到测试环境都需要脱敏,但是脱敏的数据会有很多程序上的不适应。 所以有时候查询问题,查询一条...

码代码的小司机
10分钟前
0
0
python 多版本安装及切换

1.安装必要的扩展 # yum install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-de 2.下载python3.7源码 # wget https://www.python.org/ftp/python......

青-争
10分钟前
0
0
看看8年阿里架构师怎样讲述Dubbo和Spring Cloud微服务架构

微服务架构是互联网很热门的话题,是互联网技术发展的必然结果。它提倡将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合,为用户提供最终价值。虽然微服务架构没有公认的技术标...

Java大蜗牛
11分钟前
0
0
CDH的坑之Sqoop导出数据到MySQL

CDH的坑之Sqoop导出数据到MySQL 最近使用Sqoop从Hive导出数据到MySQL中,出现了一系列的问题,下面将这个问题记录一下,避免再度踩坑! 导出语句 sqoop export --connect jdbc:mysql://192....

星汉
13分钟前
0
0
PowerDesigner连接MySQL和逆向工程图

最近想梳理公司项目的表间关系,从项目后台管理系统的操作入手,以及代码的hibernate注解入手,都不算特别尽人意,于是最后还是鼓捣了一下PowerDesigner的逆向工程图,这样更直观一些。 想着...

Oo若离oO
14分钟前
0
0
威胁web应用安全的错误

一般绝大部分的web应用攻击都是没特定目标的大范围漏洞扫描,只有少数攻击确实是为入侵特定目标而进行的针对性尝试。这两种攻击都非常频繁,难以准确检测出来,许多网站的web应用防火墙都无法...

上树的熊
17分钟前
2
0
pypy2 install crypto error

install pycryptodome instead pip install pycryptodome

coord
21分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部