如何在Docker容器中向前端口？

Question

我想通过Docker容器中的iptables将8080端口转发到80。 在构建中，我有一条错误消息，如下所示。

这里是Dockerfile：

FROM fedora 
RUN whoami && \ 
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 

这里是输出：

[~]# docker build -t temp /home/edfromhadria/Documents/Docker/temp/. 
Sending build context to Docker daemon 2.048 kB 
Sending build context to Docker daemon 
Step 0 : FROM fedora 
---> 834629358fe2 
Step 1 : RUN whoami && iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 
---> Running in 95046cf959bf 
root 
iptables v1.4.21: can't initialize iptables table `nat': Permission denied (you must be root) 
Perhaps iptables or your kernel needs to be upgraded. 
INFO[0001] The command [/bin/sh -c whoami && iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080] returned a non-zero code: 3 

预先感谢您的任何帮助，您可以提供。

Answer 1

首先，在docker build进程中运行iptables命令永远不会有意义;即使它起作用，iptables命令也只会修改内核的运行时配置。这些更改不会在Docker镜像上持续存在，并且在启动容器时不可用。其次，即使您在启动容器（而不是构建容器）后运行iptables容器，它仍然会失败，因为默认情况下，Docker容器没有修改iptables配置的必要权限（或修改一般网络，或挂载文件系统等）。您可以使用--privileged标志启动一个容器，但这可能不是您想要执行的操作（因为这会对容器赋予许多可能不必要的额外特权，并且从安全角度来看，只允许授予绝对必要的特权）。

你通常会处理这个使用多克的-p选项，您的主机上的端口连接到端口在你的容器，例如：

docker run -p 80:8080 temp 

这将您的主机上的容器上链路端口80到端口8080。

如果这不是您想要的，更简单的解决方案就是将容器中的应用程序配置为在所需的端口上运行。