Docker 容器运行在隔离的网络命名空间中，每个容器拥有独立的 IP 地址和网络堆栈。默认情况下，容器可以与同一主机上的其他容器或主机通信，但外部网络（例如主机外部的客户端或设备）无法直接访问容器内部的服务。端口映射通过将主机上的端口与容器内的端口绑定，打破这一隔离，使容器服务对外可见。

• 「主机端口」：主机上用于接收外部请求的端口。
• 「容器端口」：容器内部服务监听的端口。
• 「映射关系」：通过 Docker 的 -p 标志或 Docker Compose 的 ports 指令，将主机端口与容器端口关联。

假设你运行了两个 Nginx 容器，均监听容器内的 80 端口。通过端口映射，你可以将它们分别映射到主机的 8080 和 8090 端口。这样，外部用户可以通过 http://localhost:8080 和 http://localhost:8090 访问不同的 Nginx 服务，避免端口冲突。

何时需要端口映射？

端口映射适用于多种场景，以下是常见的使用情况：

1. 「开发与调试」：

在本地开发时，开发者需要通过 localhost 访问容器中的 Web 应用或 API。例如，将 Node.js 应用的 3000 端口映射到主机的 3000 端口。

2. 「测试环境」：

在 CI/CD 管道中，测试工具需要访问容器化的服务（如数据库或 API 端点）。

3. 「生产部署」：

生产环境中，服务（如 Web 服务器、数据库）需要对外暴露以供客户端访问。例如，将 MySQL 的 3306 端口映射到主机端口。

4. 「多容器协作」：

在微服务架构中，多个容器可能需要通过特定端口通信，端口映射确保外部服务能够访问这些容器。

5. 「特殊协议支持」：

对于使用 UDP 协议的服务（如 DNS 或流媒体），需要映射 UDP 端口。

6. 「集群或动态服务」：

当服务需要动态分配多个端口（例如分布式系统），端口范围映射可以简化配置。

「注意」：端口映射不仅仅是为了外部访问。在安全性要求高的场景中，你可能需要限制映射到特定 IP 或仅用于内部网络通信。

如何在 Docker 中映射端口？

Docker 提供了多种方式来实现端口映射，以下是通过 docker run 命令和 Docker Compose 的详细操作指南。

1. 使用 docker run 进行端口映射

docker run 命令通过 --publish（或简写 -p）标志实现端口映射。以下是常见用法：

基本端口映射

将主机端口映射到容器端口。

「命令」：

docker run -d -p 8080:80 nginx

• -d：后台运行容器。
• -p 8080:80：将主机的 8080 端口映射到容器的 80 端口。
• 「效果」：通过 http://localhost:8080 访问 Nginx 网页。

映射所有暴露端口

如果 Dockerfile 使用了 EXPOSE 指令声明了端口，可以使用 --publish-all（或 -P）自动映射所有暴露的端口到随机主机端口。

「命令」：

docker run -d -P nginx

• 「效果」：Docker 随机分配主机端口（例如 32768）并映射到容器内的暴露端口。
• 「查看映射」：

docker ps

输出示例：

CONTAINER ID   IMAGE   ...   PORTS

abcd1234       nginx   ...   0.0.0.0:32768->80/tcp

映射多个端口

当服务需要监听多个端口（如 HTTP 和 HTTPS），可以多次使用 -p。

「命令」：

docker run -d -p 8080:80 -p 8443:443 nginx

• 「效果」：主机 8080 映射到容器 80（HTTP），8443 映射到容器 443（HTTPS）。

「绑定特定 IP 地址」

限制端口映射到主机的特定 IP 地址，增强安全性。

「命令」：

docker run -d -p 192.168.1.100:8080:80 nginx

• 「效果」：仅通过 http://192.168.1.100:8080 访问 Nginx，其他 IP 无法访问。

端口范围映射

映射一系列端口，适用于需要多个端口的集群服务。

「命令」：

docker run -d -p 5000-5100:5000-5100 nginx

• 「效果」：主机端口 5000–5100 映射到容器端口 5000–5100。

使用不同主机和容器端口

避免端口冲突或满足特定需求时，可以映射不同的端口号。

「命令」：

docker run -d -p 8081:80 nginx

• 「效果」：容器内 80 端口映射到主机 8081 端口，访问 http://localhost:8081。

映射 UDP 端口

对于使用 UDP 协议的服务（如 DNS），需明确指定 /udp。

「命令」：

docker run -d -p 53:53/udp ubuntu/bind9

• 「效果」：主机 UDP 53 端口映射到容器 UDP 53 端口，适用于 DNS 查询。

2. 使用 Docker Compose 进行端口映射

Docker Compose 通过 docker-compose.yml 文件简化多容器应用的端口配置。以下是常见配置示例。

基本端口映射

在 ports 指令中指定主机和容器端口。

「示例」：

version: '3.8'

services:

  web:

    image: nginx:latest

    ports:

      - "8080:80"

• 「运行」： docker-compose up -d
  
  
• 「效果」：主机 8080 端口映射到容器 80 端口。

仅暴露端口（内部通信）

使用 expose 指令使端口仅对同一 Docker 网络中的容器可见，不对外开放。

「示例」：

version: '3.8'

services:

  app:

    image: myapp

    expose:

      - "3000"

• 「效果」：端口 3000 可被同一网络中的其他容器访问，但主机无法直接访问。

映射多个端口

支持多个端口映射，适合复杂服务。

「示例」：

version: '3.8'

services:

  web:

    image: nginx:latest

    ports:

      - "8080:80"

      - "8443:443"

• 「效果」：支持 HTTP 和 HTTPS 访问。

绑定特定 IP

限制端口绑定到特定 IP 地址。

「示例」：

version: '3.8'

services:

  web:

    image: nginx:latest

    ports:

      - "192.168.1.100:8080:80"

• 「效果」：仅 192.168.1.100:8080 可访问。

短语法与长语法

Docker Compose 支持两种端口配置语法：

• 「短语法」："8080:80"
• 「长语法」：更灵活，支持协议指定。

「示例」：

version: '3.8'

services:

  web:

    image: nginx:latest

    ports:

      - target: 80

        published: 8080

        protocol: tcp

        mode: host

• 「效果」：明确指定协议（tcp）和映射模式（host）。

端口映射与暴露的区别

端口映射和暴露是 Docker 网络中两个相关但不同的概念：

• 「端口映射」（-p 或 ports）： 将容器端口转发到主机端口，允许外部访问。 示例：-p 8080:80 使容器 80 端口通过主机 8080 端口对外可见。
• 「暴露」（EXPOSE 或 expose）： 仅声明容器使用的端口，供同一 Docker 网络中的其他容器访问。 不创建主机端口映射，外部无法直接访问。 示例：在 Dockerfile 中 EXPOSE 3000 或 Docker Compose 中 expose: ["3000"]。

「实际案例」：

假设你运行一个 Node.js 应用（监听 3000 端口）和一个前端服务（监听 80 端口）：

• 使用 expose: ["3000"] 让前端容器访问 Node.js 应用。
• 使用 ports: ["8080:80"] 让前端服务通过主机 8080 端口对外开放。

验证与排查端口映射

配置端口映射后，验证其正确性至关重要。以下是常用命令：

1. 「查看容器端口映射」：

docker ps

输出示例：

CONTAINER ID   IMAGE   ...   PORTS

abcd1234       nginx   ...   0.0.0.0:8080->80/tcp

2. 「列出容器端口详情」：

docker port <container_id>

输出示例：

80/tcp -> 0.0.0.0:8080

3. 「检查容器配置」：

docker inspect <container_id> | grep -i "HostPort"

输出示例：

"HostPort": "8080"

4. 「测试连接」：

使用 curl 或浏览器访问映射端口：

curl http://localhost:8080

5. 「网络诊断」：

检查主机端口是否被占用：

netstat -tuln | grep 8080

如果端口被占用，需更换主机端口或释放端口。

常见问题

1. 「端口冲突」：

Error: Bind for 0.0.0.0:8080 failed: port is already allocated。

「解决」：更换主机端口或释放占用端口：

kill $(lsof -t -i :8080)

2. 「无法访问服务」：

映射端口后无法通过 localhost 访问。

「解决」：

• 确认容器运行：docker ps。
• 检查防火墙规则：ufw status。
• 验证服务监听端口：docker exec <container_id> netstat -tuln。

3. 「随机端口分配」：

使用 -P 导致端口不可预测。

「解决」：显式指定端口映射（-p）。