如何实现docker内部容器之间的端口访问

Docker 的普及促使众多应用迁至其上部署，得益其诸多优势。然而，相较于传统非 Docker 环境中各应用通过 127.0.0.1:端口即可轻松互访，Docker 容器若未经端口映射，彼此间端口则无法直接相通。是否存在更优方案以应对这一挑战？

1 场景描述

场景简述：alpine-client 与 alpine-server 两容器，前者访问后者监听之端口，以此探析 Docker 内部容器间端口访问机制。

2 建立两个容器

2.1 通过 Dockerfile 构建镜像

由于这次测试功能很简单，可以通过一个 Dockerfile 来创建容器，一个镜像加载成两个容器，容器里执行的代码不同而已。

2.1.1 创建 Dockerfile 文件

此 Dockerfile 可以用做一个通用的模板，包含了基本功能框架，用户可以自行在此基础上修改。

# 以 alpine:3.10 为基础镜像
FROM alpine:3.10# 设置镜像源为清华大学镜像
RUN echo "https://mirrors.tuna.tsinghua.edu.cn/alpine/v3.10/main" > /etc/apk/repositories \&& echo "https://mirrors.tuna.tsinghua.edu.cn/alpine/v3.10/community" >> /etc/apk/repositories \&& apk update && apk upgrade# 安装依赖包及工具
RUN apk add --no-cache \bash \ netcat-openbsd# 设置工作目录
WORKDIR /root# 拷贝需要的文件，支持通配符
# COPY *.sh /root/# 在 Dockerfile 中添加Entrypoint test.sh，根据需要添加即可
# ENTRYPOINT ["/bin/bash", "-c", "/root/test.sh"]

简单解释一下这个 Dockerfile 模板文件：

1）引用基础镜像
这个必须有（此语句后面的语句都是可选项），且必须是第一句。我习惯引用 alpine 镜像，体积小巧、功能强大。

2）设置镜像源
先改写镜像路径文件，并运行 update、upgrade，使更改生效。关于镜像源，清华、阿里根据您的喜好选择就可以了，主要是用来加快软件安装速度。

3）安装依赖包及工具
使用 RUN 命令来执行依赖包及工具的安装，安装工作最好是在一个命令里执行完成，这样镜像就不会添加很多层，导致镜像文件变大。其中"\“是用来将分行的命令字符串串接起来，”&&"是用来按序依次安装多个命令。

4）设置工作目录
设置工作目录后，容器内部默认目录就是设置的工作目录，方便操作。

5）拷贝需要的文件
这一步可以将需要的文件从本机拷入镜像文件。

6）执行 ENTRYPOINT 入口脚本（或者使用CMD）
当容器启动时，会执行此处指定的脚本或命令。

2.1.2 编译镜像

docker build -t alpine-net:1.0.0 .

2.2 生成容器

生成 alpine-client 容器：

docker run -itd --name alpine-client alpile-net:1.0.0

生成 alpine-server 容器：`

docker run -itd -p 8888:8888 --name alpine-server alpile-net:1.0.0

alpine-server 容器加了一个端口映射，将 alpine-server 里监听的 8888 端口映射到该容器的宿主机的 8888 端口。

3 获取 IP 地址

3.1 获取 alpine-client 相关 IP 地址

3.1.1 获得 alpine-client 容器本身的 IP 地址

在 alpine-client 终端输入：

ifconfig

运行后返回结果如下：

eth0      Link encap:Ethernet  HWaddr 02:42:AC:11:00:02  inet addr:172.17.0.2  Bcast:172.17.255.255  Mask:255.255.0.0UP BROADCAST RUNNING MULTICAST  MTU:65535  Metric:1RX packets:197 errors:0 dropped:0 overruns:0 frame:0TX packets:89 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0 RX bytes:22832 (22.2 KiB)  TX bytes:5821 (5.6 KiB)lo        Link encap:Local Loopback  inet addr:127.0.0.1  Mask:255.0.0.0UP LOOPBACK RUNNING  MTU:65536  Metric:1RX packets:7 errors:0 dropped:0 overruns:0 frame:0TX packets:7 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:1000 RX bytes:524 (524.0 B)  TX bytes:524 (524.0 B)

得到两个 IP ，127.0.0.1 和 172.17.0.2

3.1.2 获取 alpine-client 容器网关 IP 地址

在 alpine-client 终端输入：

route -n

运行后返回结果如下：

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.17.0.1      0.0.0.0         UG    0      0        0 eth0
172.17.0.0      0.0.0.0         255.255.0.0     U     0      0        0 eth0

得到网关 IP 地址：172.17.0.1。

3.1.3 获取 alpine-server 容器网关 IP 地址

同上操作，过程略。
可以得到 alpine-server 相关地址：
alpine-server 本机地址：127.0.0.1 和和 172.17.0.3
alpine-server 网关地址：172.17.0.1

4 测试访问

在 alpine-server 的终端里输入网络端口监听命令：

nc -lk 8888 # 监听 8888 端口

监听 8888 端口，测试让 alpine-client 连接。以下如果没有特殊说明，默认命令行运行窗口为 alpine-client 的终端窗口

4.1 通过容器名称访问

nc alpine-server 8888

nc: getaddrinfo: Name does not resolve

提示：目标容器名 alpine-server 找不到，所以连接失败！

4.2 通过容器 IP 访问

nc 127.17.0.3 8888

连接失败！说明容器端口并没有对“隔壁”容器开放。

4.3 通过网关 IP 访问

nc 127.17.0.1 8888

连接失败！说明容器端口映射，并不是映射到网关上。

4.4 通过 docker 宿主机名访问

docker 提供了一个宿主机名：host.docker.internal，所有容器都可以访问到这个主机名。测试：

nc host.docker.internal 8888

连接成功！且在 alpine-client 输入的信息可以成功发送到 alpine-server，且实现的是双向通讯。可以通过 host.docker.internal 这个主机名可以访问到容器映射出来的端口，但无法访问到容器内部的端口。

4.5 通过 docker-compose 创建容器的方案

此部分在我的博文《docker安装、调试qsign签名服务器》里已经应用过，此处就不再赘述。这种方式的 docker-compose.yml 文件已经定义好了容器之间的关系，将各个容器纳入一个统一的网卡里，灵活性稍差一点，推荐用在成熟、稳定的项目里。

此文描述的方式是采用“分离式”，各个容器是独立的，容器之间的联系通过映射端口的方式，通过 host.docker.internal 进行连接，便于动态灵活调整连接关系，以及系统的扩展等。

5 总结

在未实施容器分组编排的场景中，本文深入探究并揭示了一种利用 host.docker.internal 实现容器间直接互访的有效途径。相较于传统的基于 IP 地址的访问方式，选用 host.docker.internal 作为连接标识具有显著优势：
1）稳定性增强：
在容器内部的配置文件中，可以将 host.docker.internal 作为固定的目标地址进行硬编码（即“写死”）。此举消除了因依赖动态分配或可能变动的 IP 地址而导致的配置脆弱性。当容器重启、迁移或者网络环境发生调整时，IP 地址可能会发生变化，而使用 host.docker.internal 则能确保连接指向始终有效，无需随 IP 变动而频繁更新配置。
2）简化管理：
采用 host.docker.internal 作为连接字符串，简化了容器间交互的管理复杂度。运维人员无需跟踪每个容器的具体 IP 地址，也不必在 IP 变化时手动调整关联容器的配置文件。这种抽象化的寻址方式使得容器间的依赖关系更为清晰，易于理解和维护。
3）兼容性与可移植性提升：
host.docker.internal 是 Docker 系统内建的特殊域名，旨在提供一种标准、跨平台的方式来访问宿主机提供的服务。这意味着无论宿主机的实际IP如何变化，或者在不同的部署环境中（如开发、测试、生产），只要支持 Docker，该域名即可确保容器间的互访顺利进行。这种设计增强了容器应用在不同环境中的兼容性和可移植性。