创建容器后手动映射端口

[TOC]

一般我们在创建容器的时候都可以 -p 指定多个端口或者 -P 指定随机端口，但是比较麻烦的是我们在创建了容器之后又想映射多一个或者多个端口，但是这时候docker 又没有支正散让持的命令进行 *** 作。

那首先就需要先了解docker 端口映射是怎么一个工作原理了。

一般情况下掘唤，容器是可以访问外网，而外部网络是不能访问到容器的。

容器所有到外部网络的连接，源地址都举局会被NAT成本地系统的IP地址。这是使用 iptables 的源地址转换实现的。

查看宿主机的NAT表

可以看到上面的iptables的规则把所有源地址在 172.17.0.0/16 网段，目标地址为其他网段（外部网络）的流量都进行了转换（伪装）从宿主机的网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。

以上的端口转换是在创建容器时指定的：

使用 -p 命令来进行端口映射，在这里可以看出，当外部访问宿主机与容器所映射的端口时，iptables 的NAT表会对目的端口进行转换，转换为相应的容器的 ip:port

经过上面的分析我们知道了外部网络是如何访问带容器内部的。

因此我们需要添加 DNAT 规则以及允许访问宿主机的容器IP和端口。

测试

在容器中用 nc 监听一个端口

然后添加了上面两条防火墙规则后，再去测试能否连通宿主机的 123 端口

验证了是可以通的。

一般在运行容器时，我们都会通竖或过参数 -p（使用大写的-P参数则会随机选择宿主机的一个端口进行映射）来指定宿主机和容器端口的映射，例如

docker run -it -d --name [container-name] -p8088:80[image-name]

这里是将容器内的80端口映射到宿主机的8088端口

参数说明

-d 表示后台运行容器

-t 为docker分配一个伪终端氏纤御并绑定到容器的标准输入上

-i 是让容器的标准输入保持打开状态

-p 指定映射端口

在运行容器时指定映射端口运行后，如果想要添加新的端口映射，可以使用以下两种方式：

方式一：将现有的容器打包成镜像，然后在使用新的镜像运行容器时重新指定要映射的端口

大概过程如下：

先停止现有容歼岩器

docker stop container-name

将容器commit成为一个镜像

docker commit container-name  new-image-name

用新镜像运行容器

docker run -it -d --name container-name -pp1:p1-pp2:p2new-image-name

方式二：修改要端口映射的容器的配置文件

查看容器信息 ：

dockerps-a

查看 容器的端口映射 情况，在容器外执行：

docker port 容器ID 或者 docker port 容器名称

查找要修改容器的容器Id

docker inspect f244 |grepId

进到/var/lib/docker/containers 目录下找到与 Id 相同的目录，修改 hostconfig.json 和 config.v2.json文件 ：

若该容器还在运行，先停掉

docker stop 容器ID

停掉docker服务

systemctl stop docker

修改hostconfig.json如下，添加端口绑定"9003/tcp": [{"HostIp": "","HostPort": "9003"}]，表示绑定端口9003

修改config.v2.json在ExposedPorts中加上要暴露的端口，即9003

改完之后保存启动docker

systemctl start docker

之后可以再次查看添加的端口是否已映射绑定上

附注：

1、将容器打包成镜像命令：

docker commit -a"king西阳"-m"a new image"[容器名称或id] [打包的镜像名称]:[标签]

常用OPTIONS说明：

-a :提交的镜像作者

-c :使用Dockerfile指令来创建镜像

-m :提交时的说明文字

-p :在commit时，将容器暂停

2、查看宿主机端口是否和容器内端口映射成功，在容器外执行

netstat -an |grep宿主机的映射端口

如果有进程存在则表示有映射

---