docker

关注公众号 jb51net

关闭
首页 > 网站技巧 > 服务器 > 云和虚拟化 > docker > Docker端口开放与修改

从入门到日常运维详解Docker端口开放与端口修改的完全指南

作者:渣渣盟

Docker 是一个能让你把应用连根带环境打包成集装箱(容器)的技术,这篇实战指南将手把手教你如何修改Docker端口映射,从零搭建到安全避坑全搞定

一、背景:为什么我们要关心 Docker 端口?

Docker 是一个能让你把应用连根带环境打包成“集装箱”(容器)的技术。它有个关键特性:容器默认和宿主机以及其他容器是网络隔离的。也就是说,你把一个 Web 服务跑在了容器里的 80 端口,但在你电脑的浏览器上直接访问 localhost:80 是进不去的。

要打通这个隔阂,就需要端口映射(端口开放),把宿主机(你的云服务器/本机)的某个端口,映射到容器里的服务端口。

改端口的需求通常来自:

一句话总结:端口映射是外部世界访问 Docker 容器的桥梁;修改端口则是这座桥梁的日常维护和调整。

二、Docker 安装(小白版)

如果你的环境还没装 Docker,下面是两种主流系统的极简安装法。

CentOS 7 / Rocky Linux

# 1. 卸载旧版本(如果有)
sudo yum remove docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine

# 2. 安装必要依赖
sudo yum install -y yum-utils

# 3. 添加 Docker 官方仓库
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

# 4. 安装 Docker CE(社区版)
sudo yum install -y docker-ce docker-ce-cli containerd.io

# 5. 启动并设置开机自启
sudo systemctl start docker
sudo systemctl enable docker

# 6. 验证安装
docker version

Ubuntu / Debian

# 1. 卸载旧版本
sudo apt-get remove docker docker-engine docker.io containerd runc

# 2. 安装依赖
sudo apt-get update
sudo apt-get install -y ca-certificates curl gnupg lsb-release

# 3. 添加 Docker 官方 GPG 密钥
sudo mkdir -p /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

# 4. 设置仓库
echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

# 5. 安装 Docker
sudo apt-get update
sudo apt-get install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

# 6. 启动服务
sudo systemctl start docker
sudo systemctl enable docker

提示:非 root 用户每次执行 docker 都要加 sudo,如果嫌麻烦,可以把自己加入 docker 组:sudo usermod -aG docker $USER,然后重新登录生效。

三、核心概念:容器端口 vs 宿主机端口

先分清两个概念,这是理解端口映射的基础:

Docker 的 -p 参数就是在这两者之间建立映射关系,格式如下:

-p 宿主机端口:容器端口

来看一个跑 Nginx 的例子:

docker run -d --name myweb -p 8080:80 nginx

解释:

现在,访问 http://你的服务器IP:8080 就能看到 Nginx 欢迎页了。容器里的 80 端口只对容器内部可见,但对宿主机来说,现在 8080 就是它的入口。

四、端口映射的多种玩法

4.1 指定映射接口(绑定 IP)

如果你只想让本机访问这个端口,不让外网连,可以绑定 127.0.0.1

docker run -d -p 127.0.0.1:3306:3306 --name mysql mysql:8.0

这样只有服务器自己用 127.0.0.1:3306 能连上数据库,公网访问被屏蔽,安全性提升。

4.2 映射多个端口

一个容器可以映射多个端口,比如一个应用同时需要 Web 端口和 API 端口:

docker run -d -p 80:80 -p 443:443 -p 8000:8000 myapp

4.3 动态分配宿主机端口

如果不想手动指定宿主机端口,让 Docker 随机分配一个,可以用大写的 -P 配合镜像内 EXPOSE 指令:

docker run -d -P nginx

然后用 docker port 容器名 查看自动分配了什么端口。

4.4 UDP 端口映射

默认映射的是 TCP 端口,如果需要 UDP,加 /udp

docker run -d -p 53:53/udp bind9

同时映射 TCP 和 UDP 同一个端口:

docker run -d -p 53:53/tcp -p 53:53/udp bind9

五、如何修改 Docker 容器的端口映射

重要原则:容器本身是静态的,一旦运行,端口映射规则无法直接修改。 所以修改端口 = 重新创建一个新容器,并挂载同样的数据卷和配置

几乎所有生产实践都遵循这个思路,下面给出最安全的操作步骤。

场景:将 Nginx 的宿主机端口从 8080 改成 8088

当前有一个正在运行的容器 myweb,映射为 8080:80,现在希望改成 8088:80

保留原容器的数据(如有挂载卷)

首先检查容器是否挂载了卷(数据目录):

docker inspect myweb | grep -A 10 Mounts

如果输出里有 "Source": "/data/nginx/html" 这样的路径,说明有宿主机目录挂载进去,这就是你的持久化数据,一定要记下来。

如果没有挂载任何卷,而且容器内已经有重要数据,可以先用 docker cp 把它拷贝出来。

停止并重命名原容器(留作备份)

docker stop myweb
docker rename myweb myweb_backup

这样原容器变成一个不会启动的备份,随时可以恢复。

用新端口创建全新容器

带上和原来一模一样的挂载参数,加上新的端口映射:

docker run -d --name myweb -p 8088:80 \
  -v /data/nginx/html:/usr/share/nginx/html \
  nginx

验证新容器正常,清理旧备份

curl http://localhost:8088    # 看看是否返回 Nginx 页面
docker rm myweb_backup        # 确认没问题后删除旧容器

如果不想记原来的启动参数,怎么办?

可以用 docker run --rm -v /var/run/docker.sock:/var/run/docker.sock assaflavie/runlike 容器名 这个命令来自动还原出完整的 docker run 命令,然后你只需要改掉 -p 的部分再执行即可。

修改容器内服务监听的端口(特殊情形)

有时候你确实想改容器内部应用的端口,比如让 Nginx 监听 8080 而不是 80。这需要修改配置文件再配合端口映射。

# 1. 进入容器修改 nginx 配置
docker exec -it myweb bash
# 容器内执行
sed -i 's/listen 80;/listen 8080;/' /etc/nginx/conf.d/default.conf
exit

# 2. 重启容器让配置生效
docker restart myweb

# 3. 如果你外部映射保持不变(比如仍映射 80:80),现在服务就断了,因为你改了监听端口。
# 正确做法是:停止容器,重新创建,映射改为 -p 80:8080
docker stop myweb
docker rm myweb
docker run -d --name myweb -p 80:8080 \
  -v /data/nginx/conf:/etc/nginx/conf.d \
  nginx

通常更推荐用数据卷挂载配置文件直接修改宿主机上的文件,这样不用进容器。

六、日常运维常用命令详解

下面这些命令是排查端口问题和日常管理的法宝。

6.1 查看当前正在运行的容器及端口映射

docker ps

输出里的 PORTS 列展示映射关系,例如:

CONTAINER ID   IMAGE     PORTS
abc123         nginx     0.0.0.0:8080->80/tcp

表示宿主机所有网卡的 8080 端口映射到容器的 80/tcp。

6.2 查看某个容器的具体端口映射

docker port myweb

输出:

80/tcp -> 0.0.0.0:8080

6.3 查看容器网络详细配置

docker inspect myweb | grep -i "ports" -A 20

会显示完整的端口绑定信息,包括绑定的 IP 地址。

6.4 查看容器日志(快速定位服务是否监听正常)

docker logs myweb

如果应用没监听在预期端口,日志里通常会报错,比如 Address already in use

6.5 检查宿主机端口占用

netstat -tulpn | grep 8080

ss -tulpn | grep 8080

看看某个宿主机端口是否被别的进程占用,避免映射失败。

6.6 从宿主机测试容器端口连通性

curl localhost:8080

telnet localhost 8080

6.7 Docker Compose 中的端口配置

如果用 docker-compose.yml 管理容器,端口部分这样写:

services:
  web:
    image: nginx
    ports:
      - "8080:80"
      - "443:443"

修改端口只需编辑这个文件,然后执行:

docker-compose down
docker-compose up -d

数据会保留在有命名卷或绑定挂载的目录里,容器会被重新创建,端口映射立即更新。

七、常见问题与避坑指南

Q:启动容器时报错“port is already allocated”怎么办?

A:说明宿主机端口已被占用,换个空闲端口,或者先用 sudo lsof -i:端口号 找到占用进程并停止它。

Q:容器里服务监听在 127.0.0.1 而不是 0.0.0.0,外部能访问吗?

A:不能。容器内的服务必须监听在 0.0.0.0 才能被 Docker 的端口映射转发,如果只监听 127.0.0.1,就需要修改应用配置。

Q:能多个容器映射同一个宿主机端口吗?

A:绝对不行,端口是独占资源。但可以通过反向代理(比如 Nginx、Traefik)根据域名或路径转发到不同容器的内部端口,实现端口复用。

Q:修改端口后忘了挂载数据卷,数据丢了怎么办?

A:如果原容器还在(没有删除),可以用 docker cp 把数据拷贝出来。如果已经 rm 了但没清理卷,可以用 docker volume ls 找到之前的匿名卷,再挂载新容器恢复。删除容器时用 docker rm -v 才会同时删除匿名卷,所以平时不要轻易加 -v

八、总结

Docker 的端口开放与修改,本质上就是在宿主机和容器之间建立并调整映射关系。牢记以下几点:

  1. 端口映射通过 -p 参数在容器创建时指定,运行后无法直接改变。
  2. 修改端口 = 停止旧容器 → 用相同数据卷启动新容器,映射新端口。
  3. 善用 docker psdocker portdocker inspect 排查问题。
  4. 生产环境尽量用 Docker Compose 或编排工具管理端口,方便版本控制和快速变更。

掌握了这些,你就拿到了 Docker 网络通信的钥匙,无论是搭建环境还是调试疑难杂症,都能应对自如。动手试试,在服务器上启动两个不同端口的 Nginx 玩玩,很快就能熟能生巧了!

到此这篇关于从入门到日常运维详解Docker端口开放与端口修改的完全指南的文章就介绍到这了,更多相关Docker端口开放与修改内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文