docker如何查看宿主机到容器端口映射

docker/Docker如何查看宿主机到容器端口映射关系

背景

前些天的时候, 在定位问题时发现docker emqx 连接websocket (8083)端口出现异常. 经过很长时间定位, 才发现是端口映射出现问题
为什么那么长时间才定位到端口映射方面出现了问题呢? 主要是因为对docker端口映射方面的知识点有所遗忘
为了能帮助你快速理解, 请思考下面的问题:

通过docker ps 查看某容器运行情况如下图, 你觉得该容器的 8083端口可以通过外网访问吗(排除防火墙相关问题)?

如果你觉得可以, 那建议你继续往下看.
如果你能够确定不可以, 那你考虑可以跳过本篇文章

---

如何查看宿主机到端口映射?

方式一(docker ps)

1. 我们不妨回顾下, docker 如何建立端口的映射:
   在建立端口映射时, 我们通常会采用docker run 容器id 的方式去运行容器并添加容器到宿主机的映射. 下面是该命令介绍

   docker run [OPTIONS] IMAGE [COMMOND] [ARGS...]
   
   # OPTIONS 说明
   	--name="容器新名字": 为容器指定一个名称；
   	-d: 后台运行容器，并返回容器ID，也即启动守护式容器；
   	-i：以交互模式运行容器，通常与 -t 同时使用；
   	-t：为容器重新分配一个伪输入终端，通常与 -i 同时使用；
   	-P: 随机端口映射；
   	-p: 指定端口映射，有以下四种格式
   	      ip:hostPort:containerPort
   	      ip::containerPort
   	      hostPort:containerPort
   	      containerPort
   
   # eg: 运行mysql 的 docker 镜像->将宿主机的3307端口映射到docker容器内部3306端口
   docker run -p 3307:3306 --name mysql -v /datebase/mysql/conf:/etc/mysql/conf.d -v /datebase/mysql/logs:/logs -v /datebase/mysql/data:/var/lib/mysql -e MYSQL_ROOT_PASSWORD=root -d mysql:5.6
   

2. 从上面我们可以看到, docker 指定端口的映射时 宿主机端口到运行容器端口的映射
   因此我们在运行docker ps中, 查看的结果就是按照 宿主机端口->运行容器端口 显示的
   

3. 从上图可以看出, 宿主机的 3307端口绑定到了docker 容器中的3306端口, 0.0.0.0是真正表示网路中的本地.
   因此一开始的: 8083-8084/tcp 代表放开docker容器内部8083,8084端口, 但无法通过宿主机访问到这两个端口,
   因为他们之间没有建立端口映射, 下面列举了在docker ps 下, 几种端口映射的介绍

   0.0.0.0:3307->3306/tcp		# 当前宿主机网络的的3307端口绑定了docker容器的3306端口
   :::3307->3306/tcp 			# ::等价于“0:0:0:0:0:0:0:0”的缩写，相当于IPv6的“0.0.0.0”，就是本机的所有IPv6地址. 这里相当于在ipv6中做了端口映射
   							
   27017/tcp					# 如果没有箭头 -> , 说明没有建立映射, 且当前代表的是docker容器内开放的端口
   

方式二(docker inspect)

1. 根据上一种方式介绍, 我们可以知道: 当前只有 1883, 8883, 18083 这三个端口建立了映射(如下图所示).
   
2. 我们可以通过使用 docker inspect 容器id, 查看容器的属性. 端口映射情况如在 NetworkSettings.Ports属性下
   可以明显地看到, 在已建立端口映射的属性下会有 HostIp和HostPort 两个子属性; 在没有建立映射情况下, 子属性为null
   
3. 因此再根据 docker inspect 查的8083/tcp的子属性为null .
   我们也可以从这里确认没有建立宿主机8083端口->容器8083端口的映射

---

如何添加宿主机到端口映射?

上面问题解决了, 但有新的问题出现了.
那就是: 当发现某些端口没有建立映射时, 我们如何添加这些端口映射关系呢?
你可以直接删除容器, 然后重新配置端口映射后再运行容器. 但如果在不删除容器的情况下. 依旧有两种方式:

方式一

第一种方式不做过多解释, 通过修改docker 基础配置文件, 然后重启docker 服务使其生效 传送门

• 优点: 配置简单
• 缺点: 需要在配置前关闭docker服务, 配置后再启动, 如果docker上的软件没有设置重启自启也会很麻烦

方式二

通过修改路由表的方式来添加端口映射. 本人也是通过这种方式进行动态修改 参考文章

• 优点: 无需重启docker服务
• 缺点: 配置较为麻烦

步骤

1. 获取当前docker 容器ip, 用于后续配置使用

   docker inspect 容器id | grep IPAddress
   

   

2. 配置iptables

   # 这里需要注意所有ip和端口的配置(黄色字体)
   # 配置docker防火墙开放宿主机端口(这里开放8083)
   sudo iptables -A DOCKER ! -i docker0 -o docker0 -p tcp --dport 8083 -d 172.17.0.16 -j ACCEPT
   # 配置宿主机8083端口到docker的ip路由转发
   sudo iptables -t nat -A POSTROUTING -p tcp --dport 8083 -s 172.17.0.16 -d 172.17.0.16 -j MASQUERADE
   # 将容器的8083端口(后者)映射到宿主机的8083端口(前者)
   sudo iptables -t nat -A DOCKER ! -i dokcer0 -p tcp --dport 8083 -j DNAT --to-destination 172.17.0.16:8083
   

3. 查看配置结果

   sudo iptables -t nat -nvL
   

   

4. 如果没有生效, 可以重启下容器

   sudo docker restart 容器id
   

---