正在运行的Docker容器增加端口映射
为什么有这个需求
假设有如下情况:
- 这个服务很重要,很多服务在连,停服不知道会有什么影响。
- 服务是运行在 docker 里的,但是 docker 启动命令找不到了。
- 想给 docker 容器临时增加一个端口映射。
方法一、使用工具反向代理
这个方法性能不如上面的 iptables 规则,比如可以用 nginx 的 stream 四层代理,或者用 socat 一条命令搞定。
查看容器的 IP 地址
1 | docker inspect postgres |
在结果中找到 NetworkSettings -> Networks -> <你的网络名称> -> IPAddress
1 | # 安装 socat |
方法二、参照 Docker 原生的方式
docker 的 -p 命令来进行端口映射,本质上也是维护了一套 iptables 规则来实现的,docker-proxy 会维护 docker 需要的 iptables 规则,执行 iptables-save 可以查看所有的规则 (iptables-save 并不会真的 save,想保存 iptables 规则还需要额外的操作)。
获取容器的 IP 地址
1 | docker inspect postgres |
在结果中找到 NetworkSettings -> Networks -> <你的网络名称> -> IPAddress
查看 docker 的虚拟网卡
docker 的一个 bridge 网卡就对应了 linux 机器上的一个网卡,要新增端口映射,需要知道你的容器连接的虚拟网卡是什么。
比如我想让 Postgres 的 5432 端口映射到外网,先查看 Postgres 的容器信息。
1 | docker inspect postgres |
在结果中找到 NetworkSettings -> Networks -> <你的网络名称> -> Gateway ,记录一下网关的 IP
1 | ip addr |
可以知道网卡的名称是 br-342eceae259f
配置 iptables 规则
比如我的容器 IP:172.18.0.2
Docker 虚拟网卡:br-342eceae259f
要映射的端口:5432
1 | iptables -A DOCKER-USER -o br-342eceae259f ! -i br-342eceae259f -d 172.18.0.2/32 -m tcp -p tcp --dport 5432 -j ACCEPT |
不需要做 SNAT,因为 Docker 默认已经做了 SNAT 了。
方法三、传统的 iptables 规则
1 |
|
如果规则不加,或加在了 DOCKER-USER 的下面,会兜兜转转,最后匹配到了 DROP
知道了原理后,那么还有一种方法:删除这个 DROP(不要这么做)
1 | # iptables -D DOCKER ! -i docker0 -o docker0 -j DROP |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 杂烩饭!
相关推荐
2025-01-13
iptables使用记录实战
iptables 四表五链四表五链:链就是位置:共有五个 进路由 (PREROUTING)、进系统 (INPUT) 、转发 (FORWARD)、出系统 (OUTPUT)、出路由 (POSTROUTING);表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。 具体的四表 表 说明 filter 过滤数据包 Nat 用于网络地址转换(IP、端口) Mangle 修改数据包的服务类型、TTL、并且可以配置路由实现...
2025-09-27
Iptables进行持久化配置,重启不丢失
操作文档针对 ubuntu20 和 centos 系统,其他系统类似。iptables-save 命令其实只是把配置文件打印出来,并不会真的 save,这个有点容易让人误解。 针对 ubuntu 平台ubuntu20 需要安装 iptables-persistent 才能实现持久化 1apt install iptables-persistent 持久化的配置文件保存在 12345# 针对ipv4/etc/iptables/rules.v4# 针对ipv6/etc/iptables/rules.v6 手动保存当前配置 12345# 针对ipv4sudo iptables-save > /etc/iptables/rules.v4# 针对ipv6sudo ip6tables-save > /etc/iptables/rules.v6 针对 centos 平台安装包 iptables-services 1sudo dnf install...
2025-05-28
PHP应用容器化遇到的一些问题
这里以 WordPress 为例,我们不用官方的镜像,而是用 php 镜像 php 官方有个自带 apache 的版本,如:php:8.1.32-apache, 建议用这个版本,这个版本不用考虑 Nginx 和 php 的文件共享问题,启动容器: 1234docker run --rm -d --name php-test \ -v ./app:/var/www/html \ -p 8080:80 \php:8.1.32-apache 自定义 php 配置文件比如调整 PHP 上传文件大小限制 docker run 的时候挂载 php.ini 123docker run ... \ -v ./php.ini:/usr/local/etc/php/conf.d/php.ini \... php.ini 增加 1upload_max_filesize = 1024M 安装 Core 扩展这个时候说明 php 正常工作了,但是缺扩展。 123FROM php:8.1.32-apacheRUN docker-php-ext-configure mysqli...
2025-09-27
通过docker容器查看run命令
公司有一台服务器上运行着一个服务,通过 docker start 启动,已经没有文档记录如何搭建的了。现在需要迁移,记录一下获取 docker run 命令的方法 通过模版处理 docker inspect 的数据来获取使用 runlike 来获取模版文件来自https://gist.githubusercontent.com/efrecon/8ce9c75d518b6eb863f667442d7bc679/raw/run.tpl 假设容器名是 mysql, 命令后面可以跟容器名或者容器...
2025-09-27
WSL新的网络模式-mirrored镜像网络
刚开始我用 Hyper-V 自定义内部网络网段和IP地址 配置 Hyper-V 并创建了几台虚拟机, 但是和 WSL 的网络不通, 解决方案可以是将 Hyper-V 虚拟机只接使用 WSL 的网络适配器。不过 2023 年 9 月的 WSL 更新添加了一些新的实验性功能,其中包括一些关于新的网络模式“镜像”。镜像网络带来了一些实用的特性,例如将 WSL 中的服务开放到局域网(之前是 NAT 网络,只有主机可以通过 localhost 访问)。更新日志中提到,镜像网络带来的新特性如下: IPv6 支持 在 Linux 中通过 127.0.0.1 访问 Windows 服务 通过局域网直接连接 WSL 对 VPN 更好的兼容性 多播支持 安装使用首先,这项特性需要 22621.2359 及以上版本的 Windows 11 以及 2.0 以上版本的 WSL。使用 wsl --version 命令可以检查是否符合需求,wsl --update 命令可以更新 WSL。 12345678C:\Users\iuxt>wsl --versionWSL 版本: 2.1.5.0内核版本:...
2025-03-27
使用 PowerShell 修改 Windows 防火墙规则
修改网络位置(专用网络或共用网络)在 windows 7 时代在控制面板里是可以直接修改的, 但是在 Windows 11 已经不能修改了。 使用公用网络会影响到防火墙策略, 比如在专用网络下, 局域网内是可以网络发现其他设备的。 比如我用 zerotier 这个软件会给电脑安装一个虚拟网卡,家里的电脑 zerotier 的网卡设置成了公用网络,那么就不能 rdp 远程连接家里电脑了。 修改方法需要以管理员身份运行 PowerShell 来执行: 12345678910111213141516171819PS C:\Users\iuxt> Get-NetConnectionProfileName : CMCC-CaptainInterfaceAlias : WLANInterfaceIndex : 13NetworkCategory : PrivateDomainAuthenticationKind : NoneIPv4Connectivity :...
评论
公告
此博客为我记录运维工作总结所用,供网友阅读参考,如有侵权,请通知我,我会核实后进行处理。
欢迎加入技术交流群:
