传统容器链接

警告

--link 标志是 Docker 的一项传统功能。它最终可能会被移除。除非您绝对需要继续使用它，否则我们建议您使用用户定义网络而不是 --link 来促进两个容器之间的通信。用户定义网络不支持但 --link 可以实现的一个功能是在容器之间共享环境变量。但是，您可以使用卷等其他机制以更可控的方式在容器之间共享环境变量。

请参阅 用户定义桥接网络与默认桥接网络的区别，了解使用 --link 的一些替代方案。

本节信息解释了 Docker 默认 bridge 网络中的传统容器链接，该网络在安装 Docker 时自动创建。

在 Docker 网络功能 出现之前，您可以使用 Docker 链接功能让容器相互发现，并安全地将一个容器的信息传输到另一个容器。随着 Docker 网络功能的引入，您仍然可以创建链接，但在默认 bridge 网络和 用户定义网络 中的行为有所不同。

本节简要讨论了通过网络端口连接，然后详细介绍了默认 bridge 网络中的容器链接。

使用网络端口映射连接

假设您使用此命令运行一个简单的 Python Flask 应用

$ docker run -d -P training/webapp python app.py

注意

容器具有内部网络和 IP 地址。Docker 可以有多种网络配置。您可以在 这里 查看更多关于 Docker 网络的信息。

创建该容器时，使用了 -P 标志来自动将容器内的任何网络端口映射到 Docker 主机上临时端口范围内的随机高端口。接下来，运行 docker ps 后，您会看到容器内的端口 5000 绑定到了主机上的端口 49155。

$ docker ps nostalgic_morse

CONTAINER ID  IMAGE                   COMMAND       CREATED        STATUS        PORTS                    NAMES
bc533791f3f5  training/webapp:latest  python app.py 5 seconds ago  Up 2 seconds  0.0.0.0:49155->5000/tcp  nostalgic_morse

您还看到如何使用 -p 标志将容器端口绑定到特定端口。此处将主机端口 80 映射到容器端口 5000

$ docker run -d -p 80:5000 training/webapp python app.py

您还了解了为什么这不是一个好主意，因为它将您限制在特定端口上只能运行一个容器。

相反，您可以指定一个与默认临时端口范围不同的主机端口范围来绑定容器端口

$ docker run -d -p 8000-9000:5000 training/webapp python app.py

这将把容器内的端口 5000 绑定到主机上 8000 到 9000 之间的一个随机可用端口。

您还可以通过其他几种方式配置 -p 标志。默认情况下，-p 标志将指定的端口绑定到主机上的所有接口。但您也可以指定绑定到特定接口，例如只绑定到 localhost。

$ docker run -d -p 127.0.0.1:80:5000 training/webapp python app.py

这将把容器内的端口 5000 绑定到主机上的 localhost 或 127.0.0.1 接口的端口 80。

或者，要将容器端口 5000 绑定到动态端口，但仅在 localhost 上，您可以使用

$ docker run -d -p 127.0.0.1::5000 training/webapp python app.py

您还可以通过添加尾随的 /udp 或 /sctp 来绑定 UDP 和 SCTP 端口（通常用于电信协议，如 SIGTRAN、Diameter 和 S1AP/X2AP）。例如

$ docker run -d -p 127.0.0.1:80:5000/udp training/webapp python app.py

您还了解了有用的 docker port 快捷方式，它可以显示当前的端口绑定。这对于显示特定的端口配置也很有用。例如，如果您已将容器端口绑定到主机上的 localhost，那么 docker port 输出会反映这一点。

$ docker port nostalgic_morse 5000

127.0.0.1:49155

注意

-p 标志可以多次使用来配置多个端口。

使用链接系统连接

注意

本节介绍默认 bridge 网络中的传统链接功能。有关用户定义网络中链接的更多信息，请参阅 用户定义桥接网络与默认桥接网络的区别。

网络端口映射并非 Docker 容器相互连接的唯一方式。Docker 还有一个链接系统，允许您将多个容器链接在一起，并从一个容器发送连接信息到另一个容器。当容器被链接时，有关源容器的信息可以发送到接收容器。这使得接收容器能够看到描述源容器方面的一些选定数据。

命名的重要性

为了建立链接，Docker 依赖于容器的名称。您已经看到，您创建的每个容器都有一个自动生成的名称；事实上，在本指南中您已经熟悉了我们的老朋友 nostalgic_morse。您也可以自己命名容器。这种命名提供了两个有用的功能

1. 以一种更容易记住的方式为执行特定功能的容器命名会很有用，例如将包含 Web 应用的容器命名为 web。

2. 它为 Docker 提供了一个参考点，使其能够引用其他容器，例如，您可以指定将容器 web 链接到容器 db。

您可以使用 --name 标志来命名容器，例如

$ docker run -d -P --name web training/webapp python app.py

这将启动一个新的容器，并使用 --name 标志将其命名为 web。您可以使用 docker ps 命令查看容器的名称。

$ docker ps -l

CONTAINER ID  IMAGE                  COMMAND        CREATED       STATUS       PORTS                    NAMES
aed84ee21bde  training/webapp:latest python app.py  12 hours ago  Up 2 seconds 0.0.0.0:49154->5000/tcp  web

您还可以使用 docker inspect 返回容器的名称。

注意

容器名称必须是唯一的。这意味着您只能将一个容器命名为 web。如果您想重复使用容器名称，必须先删除旧容器（使用 docker container rm），然后才能创建同名的新容器。作为替代方案，您可以在 docker run 命令中使用 --rm 标志。这会在容器停止后立即删除它。

跨链接通信

链接允许容器相互发现，并安全地将一个容器的信息传输到另一个容器。当您设置链接时，您会在源容器和接收容器之间创建一个通道。然后，接收容器可以访问有关源容器的选定数据。要创建链接，您可以使用 --link 标志。首先，创建一个新容器，这次是一个包含数据库的容器。

$ docker run -d --name db training/postgres

这将从 training/postgres 镜像创建一个名为 db 的新容器，该镜像包含一个 PostgreSQL 数据库。

现在，您需要删除之前创建的 web 容器，以便用一个链接容器替换它

$ docker container rm -f web

现在，创建一个新的 web 容器，并将其与您的 db 容器链接。

$ docker run -d -P --name web --link db:db training/webapp python app.py

这将把新的 web 容器与您之前创建的 db 容器链接起来。--link 标志的形式为

--link <name or id>:alias

其中 name 是我们链接到的容器的名称，alias 是链接名称的别名。该别名稍后会用到。--link 标志也采用以下形式

--link <name or id>

在这种情况下，别名与名称匹配。您可以将前面的示例写成

$ docker run -d -P --name web --link db training/webapp python app.py

接下来，使用 docker inspect 检查您已链接的容器

$ docker inspect -f "{{ .HostConfig.Links }}" web

[/db:/web/db]

您可以看到 web 容器现在链接到了 db 容器 web/db。这使得它可以访问有关 db 容器的信息。

那么链接容器究竟做了什么？您已经了解到，链接允许源容器向接收容器提供自身信息。在我们的示例中，接收方 web 可以访问源方 db 的信息。为此，Docker 在容器之间创建了一个安全隧道，无需在容器上外部暴露任何端口；当我们启动 db 容器时，我们没有使用 -P 或 -p 标志。这是链接的一个巨大好处：我们无需将源容器（这里是 PostgreSQL 数据库）暴露给网络。

Docker 通过两种方式向接收容器暴露源容器的连接信息：

• 环境变量，
• 更新 /etc/hosts 文件。

环境变量

当您链接容器时，Docker 会创建多个环境变量。Docker 根据 --link 参数自动在目标容器中创建环境变量。它还会暴露源容器中所有源自 Docker 的环境变量。这些包括来自以下位置的变量：

• 源容器 Dockerfile 中的 ENV 命令
• 启动源容器时 docker run 命令上的 -e、--env 和 --env-file 选项

这些环境变量使得从目标容器内部通过编程方式发现与源容器相关的信息成为可能。

警告

重要的是要理解，容器内所有源自 Docker 的环境变量都会暴露给任何链接到该容器的其他容器。如果这些变量中存储了敏感数据，这可能会带来严重的安全隐患。

Docker 会为 --link 参数中列出的每个目标容器设置一个名为 <alias>_NAME 的环境变量。例如，如果一个名为 web 的新容器通过 --link db:webdb 链接到一个名为 db 的数据库容器，那么 Docker 会在 web 容器中创建一个 WEBDB_NAME=/web/webdb 变量。

Docker 还为源容器暴露的每个端口定义了一组环境变量。每个变量都有一个独一无二的前缀，格式为 <name>_PORT_<port>_<protocol>

此前缀中的组成部分包括：

• 在 --link 参数中指定的别名 <name>（例如，webdb）
• 暴露的端口号 <port>
• 协议 <protocol>，可以是 TCP 或 UDP

Docker 使用此前缀格式定义了三个不同的环境变量：

• prefix_ADDR 变量包含 URL 中的 IP 地址，例如 WEBDB_PORT_5432_TCP_ADDR=172.17.0.82。
• prefix_PORT 变量仅包含 URL 中的端口号，例如 WEBDB_PORT_5432_TCP_PORT=5432。
• prefix_PROTO 变量仅包含 URL 中的协议，例如 WEBDB_PORT_5432_TCP_PROTO=tcp。

如果容器暴露了多个端口，则会为每个端口定义一套环境变量。这意味着，例如，如果一个容器暴露了 4 个端口，Docker 会创建 12 个环境变量，每个端口 3 个。

此外，Docker 还会创建一个名为 <alias>_PORT 的环境变量。此变量包含源容器的第一个暴露端口的 URL。这里的“第一个”端口被定义为端口号最低的暴露端口。例如，考虑变量 WEBDB_PORT=tcp://172.17.0.82:5432。如果该端口同时用于 tcp 和 udp，则会指定 tcp 协议的 URL。

最后，Docker 还会将源容器中每个源自 Docker 的环境变量作为目标容器中的环境变量进行暴露。对于每个变量，Docker 会在目标容器中创建一个名为 <alias>_ENV_<name> 的变量。该变量的值被设置为 Docker 在启动源容器时所使用的值。

回到我们的数据库示例，您可以运行 env 命令来列出指定容器的环境变量。

$ docker run --rm --name web2 --link db:db training/webapp env

<...>
DB_NAME=/web2/db
DB_PORT=tcp://172.17.0.5:5432
DB_PORT_5432_TCP=tcp://172.17.0.5:5432
DB_PORT_5432_TCP_PROTO=tcp
DB_PORT_5432_TCP_PORT=5432
DB_PORT_5432_TCP_ADDR=172.17.0.5
<...>

您可以看到 Docker 创建了一系列包含源 db 容器有用信息的环境变量。每个变量都带有 DB_ 前缀，这个前缀来自于您上面指定的 alias。如果 alias 是 db1，则变量前缀将是 DB1_。您可以使用这些环境变量来配置您的应用程序，使其连接到 db 容器上的数据库。连接是安全和私密的；只有链接的 web 容器才能与 db 容器通信。

Docker 环境变量重要说明

与 /etc/hosts 文件中的主机条目不同，存储在环境变量中的 IP 地址在源容器重启时不会自动更新。我们建议使用 /etc/hosts 中的主机条目来解析链接容器的 IP 地址。

这些环境变量仅为容器中的第一个进程设置。某些守护进程（例如 sshd）在为其连接生成 shell 时会清除这些变量。

更新 /etc/hosts 文件

除了环境变量之外，Docker 还将源容器的主机条目添加到 /etc/hosts 文件中。以下是 web 容器的一个条目：

$ docker run -t -i --rm --link db:webdb training/webapp /bin/bash

root@aed84ee21bde:/opt/webapp# cat /etc/hosts
172.17.0.7  aed84ee21bde
<...>
172.17.0.5  webdb 6e5cdeb2d300 db

您可以看到两个相关的主机条目。第一个是使用容器 ID 作为主机名的 web 容器条目。第二个条目使用链接别名来引用 db 容器的 IP 地址。除了您提供的别名之外，如果链接容器的名称与提供给 --link 参数的别名不同，该名称以及链接容器的主机名也会被添加到 /etc/hosts 中，指向链接容器的 IP 地址。您可以通过这些条目中的任何一个来 ping 该主机：

root@aed84ee21bde:/opt/webapp# apt-get install -yqq inetutils-ping
root@aed84ee21bde:/opt/webapp# ping webdb

PING webdb (172.17.0.5): 48 data bytes
56 bytes from 172.17.0.5: icmp_seq=0 ttl=64 time=0.267 ms
56 bytes from 172.17.0.5: icmp_seq=1 ttl=64 time=0.250 ms
56 bytes from 172.17.0.5: icmp_seq=2 ttl=64 time=0.256 ms

注意

在示例中，您需要安装 ping，因为它最初不包含在容器中。

在这里，您使用了 ping 命令，通过其主机条目来 ping db 容器，该条目解析为 172.17.0.5。您可以使用此主机条目来配置应用程序，使其能够使用您的 db 容器。

注意

您可以将多个接收容器链接到同一个源容器。例如，您可以将多个（不同名称的）web 容器连接到您的 db 容器。

如果您重启源容器，链接容器上的 /etc/hosts 文件会自动更新为源容器的新 IP 地址，从而允许链接通信继续进行。

$ docker restart db
db

$ docker run -t -i --rm --link db:db training/webapp /bin/bash

root@aed84ee21bde:/opt/webapp# cat /etc/hosts
172.17.0.7  aed84ee21bde
<...>
172.17.0.9  db