Я экспериментирую с Dockerfiles и думаю, что понимаю большую часть логики. Однако я не вижу разницы между «выставлением» и «публикацией» порта в этом контексте.

Все учебники, которые я видел, сначала включают EXPOSEкоманду в Dockerfile:

...
EXPOSE 8080
...

Затем они создают образ из этого Dockerfile:

$ docker build -t an_image - < Dockerfile

А затем опубликуйте тот же порт, что и выше, при запуске образа:

$ docker run -d -p 8080 an_image

или опубликовать все порты, используя

$ docker run -d -P an_image

Какой смысл выставлять порт в Dockerfile, если он все равно будет опубликован? Возникает ли когда-нибудь необходимость выставлять порт, а не публиковать его позже? По сути, я хотел бы указать все порты, которые я буду использовать в Dockerfile при создании образа, а затем не беспокоиться о них снова, запустив их просто с помощью:

$ docker run -d an_image

Это возможно?

По сути, у вас есть три варианта:

1. Ни указать, EXPOSEни-p
2. Только указать EXPOSE
3. Укажите EXPOSEи-p

1) Если вы не укажете ни то, EXPOSEни другое -p, услуга в контейнере будет доступна только внутри самого контейнера.

2) Если у вас EXPOSEпорт, служба в контейнере не доступна снаружи Docker, но из других контейнеров Docker. Так что это хорошо для межконтейнерного общения.

3) Если вы EXPOSEи -pпорт, служба в контейнере доступна из любой точки мира, даже за пределами Docker.

Причина, по которой оба разделены, ИМХО, потому что:

• выбор порта хоста зависит от хоста и, следовательно, не принадлежит Dockerfile (иначе это будет зависеть от хоста),
• и часто достаточно, чтобы служба в контейнере была доступна из других контейнеров.

В документации прямо говорится:

EXPOSEИнструкция предоставляет порты для использования в ссылки.

Он также указывает на то, как связать контейнеры , что в основном является межконтейнерным взаимодействием, о котором я говорил.

PS: если вы делаете -p, но не делаете EXPOSE, Docker делает неявное EXPOSE. Это связано с тем, что если порт открыт для общего доступа, он автоматически также открывается для других контейнеров Docker. Следовательно -pвключает EXPOSE. Вот почему я не перечислил это как четвертый случай.

Короткий ответ:

• EXPOSEэто способ документирования
• --publish(или -p) является способом отображения на хост - порт к включенному контейнерного порта

Обратите внимание, что ниже:

• EXPOSEсвязано с Dockerfiles( документирование )
• --publishсвязано с docker run ...( выполнение / время выполнения )

Разоблачение и публикация портов

В сети Docker есть два разных механизма, которые напрямую задействуют сетевые порты: открывающие и публикующие порты. Это относится к мостовой сети по умолчанию и пользовательским мостовым сетям.

• Вы EXPOSEоткрываете порты, используя ключевое слово в Dockerfile или --exposeфлаг для запуска Docker . Предоставление портов - это способ документировать, какие порты используются, но на самом деле не отображает и не открывает какие-либо порты . Разоблачение портов не является обязательным.

• Вы публикуете порты, используя --publishили--publish-all флагаdocker run . Это сообщает Docker, какие порты открывать в сетевом интерфейсе контейнера. Когда порт публикуется, он сопоставляется с доступным портом высокого порядка (выше, чем 30000) на хост-компьютере, если только вы не укажете порт, который будет отображаться на хост-компьютере во время выполнения. Вы не можете указать порт для сопоставления на хост-машине при создании образа (в Dockerfile), потому что нет способа гарантировать, что порт будет доступен на хост-машине, на которой вы запускаете образ .

от: Docker контейнерные сети

Обновление за октябрь 2019 года : вышеуказанный фрагмент текста больше не находится в документации, но архивная версия находится здесь: docs.docker.com/v17.09/engine/userguide/networking/#exposing-and-publishing-ports

Возможно текущая документация ниже:

Опубликованные порты

По умолчанию при создании контейнера он не публикует свои порты во внешнем мире. Чтобы сделать порт доступным для служб вне Docker или для контейнеров Docker, которые не подключены к сети контейнера, используйте флаг --publishили -p. Это создает правило брандмауэра, которое сопоставляет порт контейнера с портом на хосте Docker.

и можно найти здесь: docs.docker.com/config/containers/container-networking/#published-ports

Также,

ПОДВЕРГАТЬ

... EXPOSEИнструкция фактически не публикует порт . Он функционирует как тип документации между человеком, который создает образ, и человеком, который запускает контейнер, о том, какие порты предназначены для публикации.

от: ссылка на Dockerfile

Доступ к услуге, когда EXPOSE/ --publishне определены:

В ответе @Golo Roden говорится, что:

«Если вы не укажете ни один из них, служба в контейнере не будет доступна нигде, кроме как внутри самого контейнера».

Возможно, именно так и было во время написания ответа, но теперь кажется, что даже если вы не используете EXPOSEили --publish, hostи другие containersпользователи той же сети смогут получить доступ к службе, которую вы можете запустить внутри этого контейнера.

Как проверить это:

Я использовал следующее Dockerfile. По сути, я начинаю с Ubuntu и устанавливаю крошечный веб-сервер:

FROM ubuntu
RUN apt-get update && apt-get install -y mini-httpd

Я buildизображение как «testexpose» и runновый контейнер с:

docker run --rm -it testexpose bash

Внутри контейнера я запускаю несколько экземпляров mini-httpd:

root@fb8f7dd1322d:/# mini_httpd -p 80
root@fb8f7dd1322d:/# mini_httpd -p 8080
root@fb8f7dd1322d:/# mini_httpd -p 8090

Затем я могу использовать curlхост или другие контейнеры для загрузки домашней страницы mini-httpd.

См. Официальную ссылку на документацию: https://docs.docker.com/engine/reference/builder/#expose.

EXPOSEПозволяют определить частный (контейнер) и общественных (хост) портов , чтобы выставить на изображение время сборки, когда контейнер работает , если вы запустите контейнер -P.

$ docker help run
...
  -P, --publish-all                    Publish all exposed ports to random ports
...

Публичный порт и протокол являются необязательными, если не указан общедоступный порт, на хосте docker будет выбран случайный порт, чтобы открыть указанный порт контейнера в Dockerfile.

Хорошая практика - не указывать публичный порт, поскольку он ограничивает только один контейнер на хост (второй контейнер выбрасывает порт, который уже используется).

Вы можете использовать -pв docker runконтролировать то , что общественный порт открытые контейнерные порты будут соединяться.

Во всяком случае, если вы не используете EXPOSE(с -Pвключенным Docker), ни -pодин порт не будет открыт.

Если вы всегда использовать -pна которые docker runвам не нужны , EXPOSEно если вы используете EXPOSEвашу docker runкоманду может быть более простым, EXPOSEможет быть полезно , если вы не все равно , что порт будет экспонировать на хосте, или , если вы уверены , что только один контейнер будет загружен.

Вы открываете порты, используя ключевое слово EXPOSE в Dockerfile или флаг --expose для запуска Docker. Предоставление портов - это способ документировать, какие порты используются, но на самом деле не отображает и не открывает какие-либо порты. Разоблачение портов не является обязательным.

Источник: github commit

Большинство людей используют docker compose с сетями. В документации говорится:

Сетевая функция Docker поддерживает создание сетей без необходимости выставлять порты внутри сети, подробную информацию см. В обзоре этой функции).

Это означает, что если вы используете сети для связи между контейнерами, вам не нужно беспокоиться о разоблачении портов.

EXPOSE используется для сопоставления локального порта с контейнерным портом, т. Е. Если вы указываете expose в файле Docker, например

EXPOSE 8090

Что он сделает, это отобразит локальный хост-порт 8090 на контейнерный порт 8090