Docker Compose中ports和expose的区别

技术背景

在使用Docker Compose编排容器时，ports 和 expose 是两个常用的配置选项，用于管理容器的端口映射和暴露。理解它们之间的区别，对于正确配置容器网络、确保服务的安全性和可用性至关重要。

实现步骤

ports的使用

ports 用于将容器的端口映射到宿主机的端口，使得容器内的服务可以从宿主机外部访问。在 docker-compose.yml 文件中，可以指定具体的宿主机端口和容器端口，或者只指定容器端口，让Docker自动分配宿主机端口。

示例 docker-compose.yml 文件：

mysql:
  image: mysql:5.7
  ports:
    - "3306"  # 只指定容器端口，随机分配宿主机端口
    - "3307:3306"  # 指定宿主机端口3307映射到容器端口3306

运行 docker-compose ps 后，会显示类似如下信息：

  Name                     Command               State            Ports
-------------------------------------------------------------------------------------
  mysql_1       docker-entrypoint.sh mysqld      Up      0.0.0.0:32769->3306/tcp, 0.0.0.0:3307->3306/tcp

expose的使用

expose 用于声明容器打算暴露的端口，但并不将这些端口映射到宿主机上，这些端口只能被同一网络中的其他容器访问。

示例 docker-compose.yml 文件：

mysql:
  image: mysql:5.7
  expose:
    - "3306"

运行 docker-compose ps 后，会显示类似如下信息：

  Name                  Command             State    Ports
---------------------------------------------------------------
 mysql_1      docker-entrypoint.sh mysqld   Up      3306/tcp

核心代码

以下是一个完整的 docker-compose.yml 文件示例，展示了 ports 和 expose 的使用：

version: '3'
services:
  web:
    image: nginx:latest
    ports:
      - "8080:80"  # 将宿主机的8080端口映射到容器的80端口
    depends_on:
      - mysql
  mysql:
    image: mysql:5.7
    expose:
      - "3306"  # 声明容器暴露3306端口，仅供内部网络访问
    environment:
      MYSQL_ROOT_PASSWORD: example

最佳实践

• 使用 ports 时：
  • 明确指定宿主机端口和容器端口的映射关系，避免随机端口带来的管理困难。
  • 确保宿主机的防火墙允许外部访问指定的端口。
• 使用 expose 时：
  • 将其作为一种文档和安全机制，明确声明容器内部服务使用的端口。
  • 结合Docker网络，确保同一网络中的容器可以相互访问。

常见问题

1. ports 是否会覆盖防火墙设置？

ports 本身不会覆盖防火墙设置。如果要从外部访问容器内的服务，需要确保宿主机的防火墙允许相应的端口访问。

2. 使用 docker-compose run 时，端口配置是否生效？

默认情况下，docker-compose run 会忽略 docker-compose.yml 中的端口定义。可以使用 docker-compose up 或者提供 --service-ports 参数来使端口配置生效。

3. expose 是否有实际的网络影响？

在现代Docker版本中，EXPOSE 指令通常只作为一种元数据和文档信息，对网络没有实际影响。要实现容器间的通信，主要依赖于Docker网络配置。