docker-proxy

例子：docker run -name zxy-nginx -itd -p 8080:80 mynginx:v1 /bin/bash

分析：在docker默认配置时刻，docker端口暴露是通过docker-proxy加适当的iptables规则实现的。

 

 如图，

docker-proxy 通过-host-ip指定了docker-proxy在主机上监听的网络接口，通过-host-port指定了监听的端口号；通过-container-ip和-container-port 指定了docker-proxy链接到容器内部的容器ip和端口号。也就是说，在做完端口映射后，docker-proxy负责去监听主机的端口号，并做好容器内部的连接。在上例中docker-proxy监听0.0.0.0:514，那么当主机任何网络接口上有netfliter模块处理后input链到达的目标端口为8080的tcp数据包时刻，docker-proxy会接受这个链接（accept，记为input链接），并主动在连接container-ip+container-port建立一个tcp链接（记为output链接）。当此新建的与容器的链接建立后，docker-proxy会将所有来自input链接的包 发送给output链接。

 

附图，docker-proxy不起作用的情况，即外部访问

 

参考连接：https://www.jianshu.com/p/91002d316185