你有没有遇到过这样的情况:在本地用ref="/tag/2019/" style="color:#3D6345;font-weight:bold;">Docker跑了个Web服务,比如一个博客程序,启动后浏览器却打不开?明明服务在容器里运行正常,日志也没报错。其实问题很可能出在容器和宿主机之间的网络通信上,尤其是NAT(网络地址转换)这一环。
容器默认走的是NAT模式
Docker安装后,默认会创建一个叫docker0的虚拟网桥。每个新启动的容器都会被分配一个私有IP,比如172.17.0.2,这个IP只能在宿主机内部访问。外部网络,包括你本机的其他程序,根本不知道这个地址的存在。
这时候,NAT就派上用场了。Docker利用Linux内核的iptables规则,在宿主机上做了一层网络转发。简单说,就是把发往宿主机某个端口的请求,偷偷转给容器里的对应服务。这个过程对用户是透明的,但理解它能帮你更快定位问题。
端口映射就是打开通路的钥匙
你在docker run时加的-p 8080:80,就是在设置这条通路。它的意思是:把宿主机的8080端口对外暴露,所有进来流量都转发到容器的80端口。没有这一步,哪怕容器里服务监听着80端口,你也访问不到。
举个例子,你用Docker部署了一个Node.js应用:
docker run -d -p 3000:3000 my-node-app这条命令执行后,Docker会在iptables里添加一条DNAT规则,把目标为“宿主机IP:3000”的数据包,修改成发往“容器IP:3000”。同时,返回的数据包也会被自动还原,确保通信完整。
有时候映射了也访问不了?
别急着重装Docker。先检查宿主机的防火墙是不是拦住了端口。比如Ubuntu上启用了ufw,或者CentOS用了firewalld,这些都可能屏蔽外部访问。可以临时关掉试试:
sudo ufw disable另外,云服务器上还得看安全组规则。阿里云、腾讯云的后台默认只开放部分端口,3000这种非标准端口得手动添加允许规则,不然外面根本连不上。
还有一个容易忽略的点:应用本身是否绑定了正确的地址。有些程序默认只监听127.0.0.1,这意味着它拒绝来自外部的连接。应该让程序监听0.0.0.0,这样才能接收从宿主机转发过来的请求。
查看NAT规则的小技巧
想看看Docker到底做了啥?可以直接查iptables:
sudo iptables -t nat -L -n | grep :80这条命令会列出所有涉及80端口的NAT规则。你会看到类似DNAT的条目,指向某个172.17.0.x的容器IP。这就是你服务的实际落点。
如果容器重启过,IP可能变了,但Docker会自动更新这些规则,不需要你手动干预。这也是为什么推荐用-p而不是直接操作iptables的原因——Docker已经帮你兜底了。
理解NAT通信机制,不只是为了修bug。当你开始组合多个容器,用Docker Compose搭建复杂应用时,清楚每条流量怎么走,才能设计出更稳定、更安全的架构。