学而实习之 不亦乐乎

Docker 端口映射与容器互联

2023-09-16 08:17:23

在实践中,经常会需要多个服务组件容器共同协作的情况,这往往需要多个容器之间能够互相访问到对方的服务。Docker 除了通过网络访问外,还提供了两个很方便的功能来满足服务访问的基本需求:一个是允许映射容器内应用的服务端口到本地宿主主机;另一个是互联机制实现多个容器间通过容器名来快速访问。

毫无疑问,容器服务的访间是很关键的一个用途。本章通过具体案例讲解了 Docker 器服务访问的两大基本操作,包括基础的容器端口映射机制和容器互联机制。同时, Docker 目前可以成熟支持 Linux 系统自带的网络服务和功能,这既可以利用现有成熟的技术提供稳定支持,又可以实现快速的高性能转发。

在生产环境中,网络方面的需求更加复杂和多变,包括跨主机甚至跨数据中心的通信,这时候往往就需要引人额外的机制,例如 SDN (软件定义网络)或 NFV (网络功能虚拟化)的相关技术。需要进一步探讨如何通过 libnetwork 来实现跨主机的容器通信,以及 Docker 网络的高级功能和配置。

一、端口映射实现容器访问

1、从外部访间容器应用

在启动容器的时候,如果不指定对应参数,在容器外部是无法通过网络来访问容器内的网络应用和服务的。

当容器中运行一些网络应用,要让外部访问这些应用时,可以通过 -P 或 -p 参数来指定端口映射。当使用 -P 时, Docker 会随机映射一个 49000-49900 的端口到内部容器开放的网络端口:

$ docker run -d -P training/webapp python app.py
$ docker ps -1
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
bc533791f3f5 training/webapp:la est py hon app. py 5 seconds ago Up 2 seconds 0.0.0.0:49155->5000/tcp nos algic_morse

此时,可以使用 docker ps 看到,本地主机的 49155 被映射到了容器的 5000 端口。访问宿主主机的 49155 端口即可访间容器内 web 应用提供的界面。同样,可以通过 docker logs 命令来查看应用的信息:

$ docker logs -f nostalgic_morse
* Running on http://0.0.0.0:5000/
10.0.2.2 - - [20:16:31] "GET/ HTTP/1.1" 200 -
10.0.2.2 - - [20:16:31] "GET /favicon.ico HTTP/1.1" 404 -

-p 则可以指定要映射的端口,并且在一个指定端口上只可以绑定一个容器。支持的格式有 IP:HostPort:ContainerPort | IP::ContainerPort | HostPort:ContainerPort。

2、映射所有接口地址

使用 HostPort:ContainerPort 格式本地的 5000 端口映射到容器的 5000 端口,可以执行如下命令:

$ docker run -d -p 5000:5000 training/webapp python app.py

此时默认会绑定本地所有接口上的所有地址。多次使用 -p 标记可以绑定多个端口。例如:

$ docker run -d -p 5000:5000 -p 3000:80 training/webapp python app.py

3、映射到指定地址的指定端口

可以使用 IP:HostPort:ContainerPort 格式指定映射使用一个特定地址,比如 localhost 地址 127.0.0.1:

$ docker run -d -p 127.0.0.1:5000:5000 training/webapp Python app.py

4、映射到指定地址的任意端口

使用 IP::ContainerPort 绑定 localhost 的任意端口到容器的 5000 端口,本地主机会自动分配一个端口:

$ docker run -d -p 127.0.0.1::5000 training/webapp python app.py

还可以使用 udp 标记来指定 udp 端口:

$ docker run -d -p 127.0.0.1:5000:5000/udp training/webapp python app.py

5、查看映射端口配置

使用 docker port 来查看当前映射的端口配置,也可以查看到绑定的地址:

$ docker port nostalgic_morse 5000
127.0.0.1:49155.

容器有自己的内部网络和 IP 地址,使用 docker [container] inspect + 容器 ID 可以获取容器的具体信息。

二、互联机制实现便捷互访

容器的互联 (linking) 是一种让多个容器中的应用进行快速交互的方式。它会在源和接收容器之间创建连接关系,接收容器可以通过容器名快速访问到源容器,而不用指定具体的 IP 地址。

1、自定义容器命名

连接系统依据容器的名称来执行。因此,首先需要自定义一个好记的容器命名。虽然当创建容器的时候,系统默认会分配一个名字,但自定义命名容器有两个好处:

自定义的命名,比较好记,比如一个 Web 应用容器我们可以给它起名叫 web, 一目了然;

当要连接其他容器时候(即便重启),也可以使用容器名而不用改变,比如连接 web 容器到 db 容器。

使用 --name 标记可以为容器自定义命名:

$ docker run -d -P --name web training/webapp Python app.py

使用 docker ps 来验证设定的命名:

$ docker ps -1
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
aed84ee2lbde raining/webapp:la es Python app. py 12 hours ago Up 2 seconds 0.0.0.0:49154->5000/tcp web

也可以使用 docker [container] inspect 来查看容器的名字:

$ docker inspect -f "{{ .Name }}" aed84ee2lbde
/web

容器的名称是唯一的。如果巳经命名了一个叫 web 的容器,当你要再次使用 web 这个名称的时候,需要先用 docker rm 命令删除之前创建的同名容器。

在执行 docker [container] run 的时候如果添加 --rm 标记,则容器在终止后会立刻删除。注意, --rm 和 -d 参数不能同时使用。

2、容器互联

使用 --link 参数可以让容器之间安全地进行交互。

下面先创建一个新的数据库容器:

$ docker run -d --name db training/postgres

删除之前创建的 web 容器:

$ docker rm -f web

然后创建一个新的 web 容器,并将它连接到 db 容器:

$ docker run -d -P --name web --link db:db training/webapp python app.py

此时, db 容器和 web 容器建立互联关系。--link 参数的格式为 --link name:alias, 其中 name 是要链接的容器的名称,alias 是别名。

使用 docker ps 来查看容器的连接:

$ docker ps
... ...

可以看到自定义命名的容器: db 和 web, db 容器的 names 列有 db 也有 web/db 。这表示 web 容器链接到 db 容器, web 容器将被允许访问 db 容器的信息。

Docker 相当于在两个互联的容器之间创建了一个虚机通道,而且不用映射它们的端口到宿主主机上。在启动 db 容器的时候并没有使用 -p 和 -P 标记,从而避免了暴露数据库服务端口到外部网络上。

Docker 通过两种方式为容器公开连接信息:

  1. 更新环境变量;
  2. 更新 /etc/hosts 文件。

使用 env 命令来查看 web 容器的环境变量:

$ docker run --rm --name web2 --link db:db training/webapp env
DB NAME=/web2/db
DB_PORT=tcp://172.17.0.5:5432
DB_PORT_SOOO_TCP=tcp://172.17.0.5:5432
... ...

其中 DB_ 开头的环境变量是供 web 容器连接 db 容器使用,前缀采用大写的连接别名。除了环境变量, Docker 还添加 host 信息到父容器的 /etc/host 的文件。下面是父容器 web host 文件:

$ docker run -t -i --rm --link db:db training/webapp /bin/bash
root@aed84ee2lbde:/opt/webapp# cat /etc/hosts
172.17.0.7 aed84ee21bde
... ...
172.17.0.5 db

这里有两个 host 信息,第一个是 web 容器, web 容器用自己的 id 作为默认主机名,第二个是 db 容器的 IP 和主机名。

可以在 web 容器中安装 ping 命令来测试跟 db 容器的连通:

root@aed84ee2lbde:/opt/webapp# apt-get install -yqq inetutils-ping
root@aed84ee21bde:/opt/webapp# ping db
PING db (172.17.0.5): 48 data bytes
56 bytes from 172.17.0.5: icmp_seq=O 1=64 ime=0.267 ms
... ...

用 ping 来测试 db 容器,它会解析成 172.17.0.5。

用户可以链接多个子容器到父容器,比如可以链接多个 web 到同一个 db 容器上。