docker

关注公众号 jb51net

关闭
首页 > 网站技巧 > 服务器 > 云和虚拟化 > docker > docker内部容器端口访问

docker内部容器之间的端口访问实现方法

作者:tanbushi

alpine-client 与 alpine-server 两容器,前者访问后者监听之端口,以此探析 Docker 内部容器间端口访问机制,这篇文章主要介绍了如何实现docker内部容器之间的端口访问,需要的朋友可以参考下

Docker 的普及促使众多应用迁至其上部署,得益其诸多优势。然而,相较于传统非 Docker 环境中各应用通过 127.0.0.1:端口 即可轻松互访,Docker 容器若未经端口映射,彼此间端口则无法直接相通。是否存在更优方案以应对这一挑战?

1 场景描述

场景简述:alpine-client 与 alpine-server 两容器,前者访问后者监听之端口,以此探析 Docker 内部容器间端口访问机制。

2 建立两个容器

2.1 通过 Dockerfile 构建镜像

由于这次测试功能很简单,可以通过一个 Dockerfile 来创建容器,一个镜像加载成两个容器,容器里执行的代码不同而已。

2.1.1 创建 Dockerfile 文件

此 Dockerfile 可以用做一个通用的模板,包含了基本功能框架,用户可以自行在此基础上修改。

# 以 alpine:3.10 为基础镜像
FROM alpine:3.10
# 设置镜像源为清华大学镜像
RUN echo "https://mirrors.tuna.tsinghua.edu.cn/alpine/v3.10/main" > /etc/apk/repositories \
    && echo "https://mirrors.tuna.tsinghua.edu.cn/alpine/v3.10/community" >> /etc/apk/repositories \
    && apk update && apk upgrade
# 安装依赖包及工具
RUN apk add --no-cache \
    bash \ 
    netcat-openbsd
# 设置工作目录
WORKDIR /root
# 拷贝需要的文件,支持通配符
# COPY *.sh /root/
# 在 Dockerfile 中添加Entrypoint test.sh,根据需要添加即可
# ENTRYPOINT ["/bin/bash", "-c", "/root/test.sh"]

简单解释一下这个 Dockerfile 模板文件:

1)引用基础镜像
这个必须有(此语句后面的语句都是可选项),且必须是第一句。我习惯引用 alpine 镜像,体积小巧、功能强大。

2)设置镜像源
先改写镜像路径文件,并运行 update、upgrade,使更改生效。关于镜像源,清华、阿里、根据您的喜好选择就可以了,主要是用来加快软件安装速度。

3)安装依赖包及工具
使用 RUN 命令来执行依赖包及工具的安装,安装工作最好是在一个命令里执行完成,这样镜像就不会添加很多层,导致镜像文件变大。其中"\“是用来将分行的命令字符串串接起来,”&&"是用来按序依次安装多个命令。

4)设置工作目录
设置工作目录后,容器内部默认目录就是设置的工作目录,方便操作。

5)拷贝需要的文件
这一步可以将需要的文件从本机拷入镜像文件。

6)执行 ENTRYPOINT 入口脚本(或者使用CMD)
当容器启动时,会执行此处指定的脚本或命令。

2.1.2 编译镜像

docker build -t alpine-net:1.0.0 .

2.2 生成容器

生成 alpine-client 容器:

docker run -itd --name alpine-client alpile-net:1.0.0

生成 alpine-server 容器:`

docker run -itd -p 8888:8888 --name alpine-server alpile-net:1.0.0

alpine-server 容器加了一个端口映射,将 alpine-server 里监听的 8888 端口映射到该容器的宿主机的 8888 端口。

3 获取 IP 地址

3.1 获取 alpine-client 相关 IP 地址

3.1.1 获得 alpine-client 容器本身的 IP 地址

在 alpine-client 终端输入:

ifconfig

运行后返回结果如下:

eth0      Link encap:Ethernet  HWaddr 02:42:AC:11:00:02  
          inet addr:172.17.0.2  Bcast:172.17.255.255  Mask:255.255.0.0
          UP BROADCAST RUNNING MULTICAST  MTU:65535  Metric:1
          RX packets:197 errors:0 dropped:0 overruns:0 frame:0
          TX packets:89 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:22832 (22.2 KiB)  TX bytes:5821 (5.6 KiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:7 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:524 (524.0 B)  TX bytes:524 (524.0 B)

得到两个 IP ,127.0.0.1 和 172.17.0.2

3.1.2 获取 alpine-client 容器网关 IP 地址

在 alpine-client 终端输入:

route -n

运行后返回结果如下:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.17.0.1      0.0.0.0         UG    0      0        0 eth0
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 eth0

得到网关 IP 地址:172.17.0.1。

3.1.3 获取 alpine-server 容器网关 IP 地址

同上操作,过程略。
可以得到 alpine-server 相关地址:
alpine-server 本机地址:127.0.0.1 和 和 172.17.0.3
alpine-server 网关地址:172.17.0.1

4 测试访问

在 alpine-server 的终端里输入网络端口监听命令:

nc -lk 8888 # 监听 8888 端口

监听 8888 端口,测试让 alpine-client 连接。以下如果没有特殊说明,默认命令行运行窗口为 alpine-client 的终端窗口

4.1 通过容器名称访问

nc alpine-server 8888

返回:

nc: getaddrinfo: Name does not resolve

提示:目标容器名 alpine-server 找不到,所以连接失败!

4.2 通过容器 IP 访问

nc 127.17.0.3 8888

连接失败!说明容器端口并没有对“隔壁”容器开放。

4.3 通过网关 IP 访问

nc 127.17.0.1 8888

连接失败!说明容器端口映射,并不是映射到网关上。

4.4 通过 docker 宿主机名访问

docker 提供了一个宿主机名:host.docker.internal,所有容器都可以访问到这个主机名。测试:

nc host.docker.internal 8888

连接成功!且在 alpine-client 输入的信息可以成功发送到 alpine-server,且实现的是双向通讯。可以通过 host.docker.internal 这个主机名可以访问到容器映射/出来的端口,但无法访问到容器内部的端口。

4.5 通过 docker-compose 创建容器的方案

此部分在我的博文《docker安装、调试qsign签名服务器》里已经应用过,此处就不再赘述。这种方式的 docker-compose.yml 文件已经定义好了容器之间的关系,将各个容器纳入一个统一的网卡里,灵活性稍差一点,推荐用在成熟、稳定的项目里。

此文描述的方式是采用“分离式”,各个容器是独立的,容器之间的联系通过映射端口的方式,通过 host.docker.internal 进行连接,便于动态灵活调整连接关系,以及系统的扩展等。

5 总结

在未实施容器分组编排的场景中,本文深入探究并揭示了一种利用 host.docker.internal 实现容器间直接互访的有效途径。相较于传统的基于 IP 地址的访问方式,选用 host.docker.internal 作为连接标识具有显著优势:
1)稳定性增强:
在容器内部的配置文件中,可以将 host.docker.internal 作为固定的目标地址进行硬编码(即“写死”)。此举消除了因依赖动态分配或可能变动的 IP 地址而导致的配置脆弱性。当容器重启、迁移或者网络环境发生调整时,IP 地址可能会发生变化,而使用 host.docker.internal 则能确保连接指向始终有效,无需随 IP 变动而频繁更新配置。
2)简化管理:
采用 host.docker.internal 作为连接字符串,简化了容器间交互的管理复杂度。运维人员无需跟踪每个容器的具体 IP 地址,也不必在 IP 变化时手动调整关联容器的配置文件。这种抽象化的寻址方式使得容器间的依赖关系更为清晰,易于理解和维护。
3)兼容性与可移植性提升:
host.docker.internal 是 Docker 系统内建的特殊域名,旨在提供一种标准、跨平台的方式来访问宿主机提供的服务。这意味着无论宿主机的实际IP如何变化,或者在不同的部署环境中(如开发、测试、生产),只要支持 Docker,该域名即可确保容器间的互访顺利进行。这种设计增强了容器应用在不同环境中的兼容性和可移植性。

综上所述,在无编排工具介入的情况下,利用 host.docker.internal 进行容器间的互访是一种既稳健又便捷的选择。它不仅避免了因 IP 变动引发的连接失败问题,还简化了管理流程,提升了应用在不同 Docker 环境下的适应性。

到此这篇关于如何实现docker内部容器之间的端口访问的文章就介绍到这了,更多相关docker内部容器端口访问内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文