将容器端口绑定到主机（引擎） | Bind container ports to the host (Engine)

本节中的信息解释了 Docker 默认网桥中的绑定容器端口。这是一个在安装 Docker 时自动创建名为bridge的bridge网络。

注意：通过 Docker 网络功能，您可以创建除默认网桥以外的用户定义网络。

默认情况下，Docker 容器可以连接到外部世界，但外部世界无法连接到容器。由于 Docker 服务器在启动时创建的主机上的iptables伪装规则，每个传出连接似乎都源自主机自己的一个 IP 地址：

Docker 服务器创建伪装规则，允许容器连接到外部世界的 IP 地址。

如果你想容器接受传入的连接，你需要在调用docker run时提供特殊的选项。有两种方法。

首先，您可以向docker run提供-P或--publish-all=true|false执行一揽子操作，该操作使用EXPOSE图像Dockerfile或--expose <port>命令行标志中的一行标识每个端口，并将其映射到临时端口范围内的某个主机端口。docker port然后该命令需要用于检查创建的映射。的临时端口范围由配置/proc/sys/net/ipv4/ip_local_port_range内核参数，典型地为32768〜61000。

映射可以使用-p SPEC或--publish=SPEC选项明确指定。它允许您详细分析 docker 服务器上的哪个端口 - 可以是任何端口，而不仅仅是临时端口范围内的一个端口 - 要映射到容器中的哪个端口。

无论哪种方式，您都应该能够通过检查 NAT 表来了解 Docker 在网络堆栈中完成的工作。

您可以看到 Docker 已经公开了这些容器端口0.0.0.0，通配符 IP 地址将与主机上任何可能的传入端口相匹配。如果您希望更具限制性，只允许通过主机上的特定外部接口联系容器服务，则有两种选择。当您调docker run用时，您可以使用-p IP:host_port:container_port或-p IP::port指定一个特定绑定的外部接口。

或者，如果您始终希望 Docker 端口转发绑定到一个特定的 IP 地址，则可以编辑系统范围的 Docker 服务器设置并添加该选项--ip=IP_ADDRESS。请记住在编辑此设置后重新启动 Docker 服务器。

注意：在启用发夹（hairpin） NAT（--userland-proxy=false）的情况下，容器端口暴露是纯粹通过 iptables 规则实现的，并且不会尝试绑定暴露的端口。这意味着没有任何东西可以通过为容器公开相同的端口来阻止在 Docker 之外的以前的侦听服务。在这种相互冲突的情况下，Docker 创建的 iptables 规则将优先并发送到容器。

--userland-proxy参数，默认为true，为容器间和外部到容器的通信提供了一个用户区实现。禁用时，Docker 会同时使用额外的MASQUERADEiptable 规则和net.ipv4.route_localnet内核参数，它们允许主机通过常用的环回地址连接到本地容器公开端口：由于性能的原因，此替代方案是首选。

相关信息

• 了解 Docker 容器网络

• 使用网络命令

• 旧版容器链接

Examples, Usage, network, docker, documentation, user guide, multihost, cluster