Dockerfile 里面的 expose,是标记信息,不能直接打开端口,方便运维人员在使用容器时,知道要打开哪些端口。使用时 docker run -itd -P xxx:xxx ,大写 -P,会映射在Dockerfile文件中使用EXPOSE定义的端口,不需要手动 -p : 这种形式。
这里主要记录的是我最近使用docker发现的一个小小的疑惑。总结起来就是:
docker里,命令行启动时候docker run -p暴露接口和dockerfile里expose一个接口之间有什么区别和联系。
具体的描述如下:
比如我先在Dockerfile里Expose一个8080的端口
EXPOSE 8080
然后我build这个image以备后期使用
docker build -t myimage - Dockerfile
接下来就是使用docker run启动这个image的一个container实例,并且publish一个端口
docker container run -d -p 8080 myimage
这里就出现了一个我所说的一个疑问,既然我已经在Dockerfile里声明了Expose端口8080,为什么,我还需要publish这个端口(-p)呢。这两者有什么区别和联系,我是否能够直接
docker container run -d myimage
呢,这种情况下,是否还有端口暴露出来呢?
经过测试,(测试过程被省略,感兴趣的朋友可以自行去测试下,其实这两者之间是有着本质的区别的,同时也有着一定程度的关联
我这边列出这这四种组合
A, 既没有在Dockerfile里Expose,也没有run -p
B, 只在Dockerfile里Expose了这个端口
C,同时在Dockerfile里Expose,又run -p
D, 只有run -p
1------针对情况A,启动在这个container里的服务既不能被host主机和外网访问,也不能被link的container访问,只能在此容器内部使用
2--------针对情况B,启动在这个container里的服务不能被docker外部世界(host和其他主机)访问,但是可以通过container
link,被其他link的container访问到3--------针对情况C,启动的这个cotnainer既可以被docker外部世界访问,也可以被link的container访问
4---------针对情况D,其实docker做了特殊的隐式转换,等价于情况C,既可以被外部世界访问,也可以被link的container访问到(真对这种情况,原因是docker认为,既然你都要把port
open到外部世界了,等价于其他的container肯定也能访问,所以docker做了自动的Expose