Переслати порт хоста на контейнер докера

Чи можливо відкрити хост до портів контейнерів Docker? Конкретно у мене MongoDB та RabbitMQ працюють на хості, і я хотів би запустити процес у контейнері Docker, щоб прослухати чергу та (необов'язково) записати в базу даних.

Я знаю, що можу переслати порт від контейнера до хоста (через опцію -p) і мати зв’язок із зовнішнім світом (тобто Інтернетом) зсередини контейнера Docker, але я хотів би не виставляти порти RabbitMQ та MongoDB від господаря до зовнішнього світу.

EDIT: деяке уточнення:

Starting Nmap 5.21 ( http://nmap.org ) at 2013-07-22 22:39 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00027s latency).
PORT     STATE SERVICE
6311/tcp open  unknown

joelkuiper@vps20528 ~ % docker run -i -t base /bin/bash
root@f043b4b235a7:/# apt-get install nmap
root@f043b4b235a7:/# nmap 172.16.42.1 -p 6311 # IP found via docker inspect -> gateway

Starting Nmap 6.00 ( http://nmap.org ) at 2013-07-22 20:43 UTC
Nmap scan report for 172.16.42.1
Host is up (0.000060s latency).
PORT     STATE    SERVICE
6311/tcp filtered unknown
MAC Address: E2:69:9C:11:42:65 (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 13.31 seconds

Мені довелося зробити цей трюк, щоб отримати будь-яке з'єднання з Інтернетом під час контейнера: Мій брандмауер блокує мережеві з'єднання від контейнера докера до зовні

EDIT : Врешті-решт я пішов зі створенням власного мосту, використовуючи трубопроводи та надаючи послуги прослуховуванню IP-адрес мосту. Я пішов із таким підходом замість того, щоб MongoDB та RabbitMQ слухали на докерському мосту, оскільки це дає більшу гнучкість.

Ваш хокер-докер виставляє адаптер для всіх контейнерів. Якщо припустити, що ви перебуваєте на останньому ubuntu, ви можете запустити

ip addr

Це дасть вам список мережевих адаптерів, один з яких буде виглядати приблизно так

3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 22:23:6b:28:6b:e0 brd ff:ff:ff:ff:ff:ff
inet 172.17.42.1/16 scope global docker0
inet6 fe80::a402:65ff:fe86:bba6/64 scope link
   valid_lft forever preferred_lft forever

Вам потрібно буде сказати кролику / монго, щоб прив’язатись до цього IP (172.17.42.1). Після цього ви зможете відкрити з'єднання до 172.17.42.1 зсередини контейнерів.

Простим, але відносно небезпечним способом було б використовувати --net=hostваріант для docker run.

Цей параметр робить це таким чином, що контейнер використовує мережевий стек хоста. Потім ви можете підключитися до служб, що працюють на хості, просто використовуючи "localhost" як ім'я хоста.

Це простіше налаштувати, оскільки вам не доведеться конфігурувати службу, щоб приймати з'єднання з IP-адреси контейнера докера, і вам не доведеться повідомляти контейнеру докера конкретну IP-адресу або ім'я хоста, до якого потрібно підключитися, просто порт.

Наприклад, ви можете перевірити це, виконавши таку команду, яка передбачає, що ваше зображення викликається my_image, ваше зображення включає telnetутиліту, а послуга, до якої потрібно підключитися, знаходиться на порту 25:

docker run --rm -i -t --net=host my_image telnet localhost 25

Якщо ви вирішили зробити це таким чином, будь ласка, зверніть увагу на безпеку на цій сторінці:

https://docs.docker.com/articles/networking/

Він говорить:

--net = хост - повідомляє Docker пропустити розміщення контейнера всередині окремого мережного стеку. По суті, цей вибір підказує Docker не використовувати контейнерну мережу! Хоча контейнерні процеси все ще будуть обмежені власною файловою системою та списком процесів та обмеженнями ресурсів, швидка команда ip addr покаже вам, що в мережевому режимі вони живуть «поза» у головному хості Докера та мають повний доступ до його мережевих інтерфейсів. . Зауважте, що це не дозволяє контейнеру перенастроювати стек хост-мережі - що вимагатиме --privileged = true - але це дозволяє контейнерним процесам відкривати порти з невеликим числом, як і будь-який інший кореневий процес. Він також дозволяє контейнеру отримати доступ до таких послуг локальної мережі, як D-bus. Це може призвести до того, що процеси в контейнері можуть робити несподівані речі, такі як перезавантажити комп'ютер.

Ви також можете створити ssh тунель.

docker-compose.yml:

---

version: '2'

services:
  kibana:
    image: "kibana:4.5.1"
    links:
      - elasticsearch
    volumes:
      - ./config/kibana:/opt/kibana/config:ro

  elasticsearch:
    build:
      context: .
      dockerfile: ./docker/Dockerfile.tunnel
    entrypoint: ssh
    command: "-N elasticsearch -L 0.0.0.0:9200:localhost:9200"

docker/Dockerfile.tunnel:

FROM buildpack-deps:jessie

RUN apt-get update && \
    DEBIAN_FRONTEND=noninteractive \
    apt-get -y install ssh && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/*

COPY ./config/ssh/id_rsa /root/.ssh/id_rsa
COPY ./config/ssh/config /root/.ssh/config
COPY ./config/ssh/known_hosts /root/.ssh/known_hosts
RUN chmod 600 /root/.ssh/id_rsa && \
    chmod 600 /root/.ssh/config && \
    chown $USER:$USER -R /root/.ssh

config/ssh/config:

# Elasticsearch Server
Host elasticsearch
    HostName jump.host.czerasz.com
    User czerasz
    ForwardAgent yes
    IdentityFile ~/.ssh/id_rsa

Таким чином у elasticsearchтунелю є сервер із запущеною службою (Elasticsearch, MongoDB, PostgreSQL) і відкриває порт 9200 з цією службою.

У мене була подібна проблема з доступом до LDAP-сервера з докерного контейнера. Я встановив фіксовану IP-адресу для контейнера і додав правило брандмауера.

docker-compose.yml:

version: '2'
services:
  containerName:
    image: dockerImageName:latest
    extra_hosts:
      - "dockerhost:192.168.50.1"
    networks:
      my_net:
        ipv4_address: 192.168.50.2
networks:
  my_net:
    ipam:
      config:
      - subnet: 192.168.50.0/24

Правило iptables:

iptables -A INPUT -j ACCEPT -p tcp -s 192.168.50.2 -d $192.168.50.1 --dport portnumberOnHost

Всередині контейнера доступ dockerhost:portnumberOnHost

Якщо MongoDB і RabbitMQ працюють на хості, порт повинен уже відкриватися, оскільки його немає в Docker.

Вам не потрібна -pопція, щоб виставити порти з контейнера до хоста. За замовчуванням відкриваються всі порти. Цей -pпараметр дозволяє виставити порт від контейнера до зовнішньої сторони хоста.

Отже, я здогадуюсь, що вам це зовсім не потрібно, -pі це повинно працювати нормально :)