侦听端口和使其可访问之间的区别
Difference between listening on ports and making them accessible
我实际上正在通读 Docker 文件的 Docker 文档。您可以在其中定义容器中的端口 公开 的方式。在阅读该描述时,我发现我无法理解此处的特定差异。
来自:https://docs.docker.com/engine/reference/builder/#expose
The EXPOSE instruction informs Docker that the container listens on the specified network ports at runtime. EXPOSE does not make the ports of the container accessible to the host.
侦听端口和使其可访问的容器(或服务器应用程序)之间有什么区别?
如果应用程序正在侦听端口 - 例如,我可以在其上启动 HTTP 请求,它会回答我,对吗?这不是某种 access 我必须把它作为 host ( 在这里定义了外部上下文)?
它将侦听端口,但默认情况下不允许主机访问它。您可以传入 -P,如 docker run -P my-docker-image 来启动一个容器,该容器具有主机可访问的端口,但您仍然需要检查集群 (docker ps) 以查看您必须访问哪个端口从主机发送请求时使用。
这样您就可以控制在 运行 图像时它在主机上侦听的端口,而不是硬编码值。您可以使用相同的图像启动两个容器,并且单独的主机端口将映射到公开的每个 container/image 端口。
Expose 只是提供一个提示(信息)哪些端口正在被图像公开。假设您正在询问桥接(默认)容器 - 它们是隔离的并且无法从主机网络访问,受到主机防火墙的保护。因此,如果您对入站流量感兴趣,则需要在主机网络和容器接口之间创建映射。可以把它想象成在特定端口上向外界开放 window。
假设您对我们感兴趣的图像公开了端口 5000 和 6000,并且您希望将您的容器端口映射到外部世界。
使用 -P (--publish-all) 您可以要求 Docker 守护程序为所有端口创建映射,该映像公开。或者使用 -p 可以动态分配映射。
例如:
docker run -d --name my_app -p 5000 -p 6000 my_image // this will map both exposed ports
与
相同
docker run -d --name my_app -P my_image // this will map all exposed ports (5000 and 5000)
或者您甚至可以添加要公开的其他端口
docker run -d --name my_app -expose 8000 -P my_image // now 5000, 6000, 8000 are mapped
或者您可以重新映射到不同的端口,例如:
docker run ... -p 3000:4000 ... //
host_port:container_port
映射后您可以查看所有端口映射
docker port my_app(或容器 ID 而不是 my_app)
这会给你这样的东西
5000/tcp -> 0.0.0.0:32773
6000/tcp -> 0.0.0.0:32772
8000/tcp -> 0.0.0.0:32771
文档有点混乱。
使用默认桥接网络,主机 上的所有容器 运行 和主机本身 都可以通过它们的 internal(网桥)ip 地址(当然,除非主机或容器上的防火墙配置为阻止访问)。此行为独立于任何 EXPOSE、-p 和 -P 选项。
由于默认桥接网络是主机内部的,因此您的外部网络上的其他主机将无法通过内部 网络。这是 -p 和 -P 选项通过暴露主机的 外部 接口上转发到容器的端口的地方。
-p选项要求您指定要转发到的容器端口,但指定主机端口是可选的(如果不指定主机端口将随机选择)。
-P 依靠 EXPOSED 端口自动设置端口转发到容器的侦听端口。自动选择主机端口。
我实际上正在通读 Docker 文件的 Docker 文档。您可以在其中定义容器中的端口 公开 的方式。在阅读该描述时,我发现我无法理解此处的特定差异。
来自:https://docs.docker.com/engine/reference/builder/#expose
The EXPOSE instruction informs Docker that the container listens on the specified network ports at runtime. EXPOSE does not make the ports of the container accessible to the host.
侦听端口和使其可访问的容器(或服务器应用程序)之间有什么区别?
如果应用程序正在侦听端口 - 例如,我可以在其上启动 HTTP 请求,它会回答我,对吗?这不是某种 access 我必须把它作为 host ( 在这里定义了外部上下文)?
它将侦听端口,但默认情况下不允许主机访问它。您可以传入 -P,如 docker run -P my-docker-image 来启动一个容器,该容器具有主机可访问的端口,但您仍然需要检查集群 (docker ps) 以查看您必须访问哪个端口从主机发送请求时使用。
这样您就可以控制在 运行 图像时它在主机上侦听的端口,而不是硬编码值。您可以使用相同的图像启动两个容器,并且单独的主机端口将映射到公开的每个 container/image 端口。
Expose 只是提供一个提示(信息)哪些端口正在被图像公开。假设您正在询问桥接(默认)容器 - 它们是隔离的并且无法从主机网络访问,受到主机防火墙的保护。因此,如果您对入站流量感兴趣,则需要在主机网络和容器接口之间创建映射。可以把它想象成在特定端口上向外界开放 window。
假设您对我们感兴趣的图像公开了端口 5000 和 6000,并且您希望将您的容器端口映射到外部世界。
使用 -P (--publish-all) 您可以要求 Docker 守护程序为所有端口创建映射,该映像公开。或者使用 -p 可以动态分配映射。
例如:
docker run -d --name my_app -p 5000 -p 6000 my_image // this will map both exposed ports
与
相同docker run -d --name my_app -P my_image // this will map all exposed ports (5000 and 5000)
或者您甚至可以添加要公开的其他端口
docker run -d --name my_app -expose 8000 -P my_image // now 5000, 6000, 8000 are mapped
或者您可以重新映射到不同的端口,例如:
docker run ... -p 3000:4000 ... //
host_port:container_port
映射后您可以查看所有端口映射
docker port my_app(或容器 ID 而不是 my_app)
这会给你这样的东西
5000/tcp -> 0.0.0.0:32773
6000/tcp -> 0.0.0.0:32772
8000/tcp -> 0.0.0.0:32771
文档有点混乱。
使用默认桥接网络,主机 上的所有容器 运行 和主机本身 都可以通过它们的 internal(网桥)ip 地址(当然,除非主机或容器上的防火墙配置为阻止访问)。此行为独立于任何 EXPOSE、-p 和 -P 选项。
由于默认桥接网络是主机内部的,因此您的外部网络上的其他主机将无法通过内部 网络。这是 -p 和 -P 选项通过暴露主机的 外部 接口上转发到容器的端口的地方。
-p选项要求您指定要转发到的容器端口,但指定主机端口是可选的(如果不指定主机端口将随机选择)。
-P 依靠 EXPOSED 端口自动设置端口转发到容器的侦听端口。自动选择主机端口。