当您使用-P或-p选项在Docker上公开端口时,它只是创建一个iptables目标NAT或DNAT条目.您甚至可以通过运行以下命令来查看这些条目.

iptables -t nat -nL

...

Chain DOCKER (2 references)

target prot opt source destination

DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8001 to:172.17.0.19:80

DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8002 to:172.17.0.20:80

默认情况下,docker将使用0.0.0.0/0(即所有接口)规范来转发端口以及从docker容器主机转发端口.但是,您可以将这些规则替换为仅从选定的接口转发.

所以说我有两个想要在端口80上监听的网络服务器.我会按如下方式运行它们.请注意,我没有暴露任何端口.这样只有我们创建的IP表规则才允许访问这些节点.

docker run --name web1 -t something/web-server

docker run --name web2 -t something/web-server

运行docker inspect以获取容器的虚拟IP

docker inspect web1 | grep IPAddress

IPAddress": "172.17.0.19",

docker inspect web2 | grep IPAddress

IPAddress": "172.17.0.20",

现在为特定接口添加DNAT规则：

iptables -t nat -A DOCKER -p tcp -d [INTERFACE_1_IP] --dport 80 -j DNAT --to-destination 172.17.0.19:80

iptables -t nat -A DOCKER -p tcp -d [INTERFACE_2_IP] --dport 80 -j DNAT --to-destination 172.17.0.20:80