特别声明:
博文主要是学习过程中的知识整理,以便之后的查阅回顾。部分内容来源于网络(如有摘录未标注请指出)。内容如有差错,也欢迎指正!
=============系列文章=============
3. Docker学习(三): Dockerfile指令介绍
=================================
一、端口映射
-p 或 -P 参数来指定端口映射,当-P标记时,Docker会随机映射一个49000~49900的端口内部容器开放的网络端口。
-p:可以指定要映射的端口,并且在一个指定端口上只可以绑定一个容器。
格式:ip:hosrtPort:containerPort | ip::containerPort | hostPort:containerPort
映射所有接口地址:默认绑定本地所有接口上的所有地址
docker run -d -p 5000:5000 IMAGE COMMAND
映射到指定地址的知道端口:
docker run -d -p 127.0.0.1:5000:5000 IMAGE COMMAND
映射到指定地址的任意端口:
docker run -d -p 127.0.0.1::5000 IAMGE COMMAND
查看映射端口配置:
docker port nostalgic_morse 5000
二·、容器互联
容器的连接系统是除了端口映射外,另一种跟容器中应用交互的方式。该系统会在源和接收容器之间创建一个隧道,接收容器可以看到源容器指定的信息。
--link name:alias(name是要链接容器的名称,alias是这个连接的别名)
docker run -d -P --name web --link db:db IAMGE COMMAND
Docker在两个互联的容器之间创建了一个安全隧道,而且不用映射它们的端口到宿主机上。Docker通过2中方式为容器公开连接信息:
1.环境变量,用env命令查看
docker run --rm --name web2 --link db:db IMAGE env
2.更新/etc/hosts文件
docker run -it --rm --link db:db IMAGE /bin/bash
cat /etc/hosts #查看主机配置包含了连接的两个容器
三、网络配置选项
指定容器挂在的网桥:-b BRIDGE 或 --bridge=BRIDGE
定制docker0的掩码:--bip=CIDR
Docker服务端接收命令的通道:-H SOCKET... 或 --host=SOCKET...
是否支持容器之间进行通信:--icc=true|false
容器间通信:--ip-forward=true|false
是否允许添加iptables规则:--iptables=true|false
容器网络中的MTU:--mtu=BYTES
以下2个选项既可以在启动服务时指定,也可以Docker容器启动时候指定。在Docker服务启动的时候指定则会成为默认值,后面执行docker run时可以覆盖设置的默认值。
指定DNS服务器:--dns=IP_ADDRESS...
指定DNS搜索域:--dns-search=DOMAIN...
以下选项只有在docker run执行时使用,针对容器的特性内容。
配置容器主机名:-h HOSTNAME 或 --hostname=HOSTNAME
添加到另一个容器的连接:--link=CONTAINER_NAME:ALIAS
配置容器的桥接模式:--net=bridge|none|container:NAME_or_ID|host
映射容器端口到宿主主机:-p SPEC 或 --publish=SPEC
映射容器所有端口到宿主主机:-P 或 --publish-all=true|false
四、容器访问控制(iptables防火墙来实现)
容器访问外部网路:需要本地系统的转发支持。
sysctl net.ipv4.ip_forward #检查转发是否打开
net.ipv4.ip_forward = 1 #如果为0,说明没有开启
sysctl -w net.ipv4.ip_forward=1 #开启转发
在启动Docker服务的时候设定--ip-forward=true,Docker就会自动开启转发。
容器之间访问:容器的网络拓扑是否已经互联。默认情况下,所有容器都会被连接到docker0网桥上;本地系统的防火墙iptables是否允许通过。
访问所有端口:当启动Docker服务时候,默认会添加一条转发策略到iptables的FORWARD链上。策略为通过(ACCEPT)还是禁止(DROP)取决于配置--icc=true(缺省值)还是--icc=false。如果收到指定--iptables=false则不会添加iptables规则。默认情况下,不同容器之间是允许网络互通的。如果为了安全考虑,可以在/etc/default/docker文件中配置DOCKER_OPTS=--icc=false来禁止。
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
参考:
1.《docker_practice》
原文地址:https://www.cnblogs.com/konrad/p/8637890.html