脚本之家 服务器常用软件
快捷导航
您的位置:首页网站技巧服务器云和虚拟化docker → docker proxy原理

docker proxy实现原理解析

 更新时间:2026年04月22日 10:15:55   作者:janeysj  
Docker 是一个开源的容器化平台,它允许开发者打包、分发和运行应用程序,本文给大家介绍docker proxy实现原理,感兴趣的朋友跟随小编一起看看吧

docker-proxy 是 Docker 网络架构中的一个“传声筒”。当你启动一个容器并使用 -p 参数映射端口时,它就在幕后默默工作。如下的一个docker-compose配置:

注意这里的端口映射,就类似于你运行 docker run -p 30003:30003 的命令时,你实际上是要求宿主机将发往 30003 端口的流量转发到容器内部的 30003 端口。

为了实现这个转发,Docker 使用了两种机制:

  • DNAT (iptables 规则): 这是主要方式,效率极高,直接在内核层面处理流量。
  • docker-proxy: 这是一个运行在用户态(Userland)的小程序。每当你映射一个端口,Docker 就会为该端口启动一个独立的 docker-proxy 进程。

以上两个动作是由docker自动完成的,这时,你使用如下命令(netstat, ps)可以查看到该docker-proxy进程:

但是,如果你使用命令sudo kill -9 2152 把这个docker-proxy进程杀死,你再次访问该主机的30003端口,仍然可以正常访问!!!但是你ssnetstat搜索不到任何关于30003端口的信息。

1. 为什么进程杀了,网页还能访问?

这就是 Docker 的“双保险”机制:

  • 保险 A (iptables): 只要容器还在运行,Docker 就会在 Linux 内核中写入一条 iptables 转发规则(DNAT)。这条规则在内核态生效,不依赖任何进程
  • 保险 B (docker-proxy): 这是一个用户态进程,主要负责处理一些 iptables 覆盖不到的边角情况。

当你杀掉 docker-proxy 进程后,内核态的 iptables 规则依然稳如泰山。所以,外部流量打到 30003 时,内核直接把包转给了容器,网页自然能打开。这时你输入命令,大概率会看到:

[root@localhost ~]#  sudo iptables -t nat -L DOCKER -n | grep 30003
DNAT       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:30003 to:172.21.0.3:30003

2. 为什么ss搜不到了?

ssnetstat 查的是系统中的 Socket 监听表

  • docker-proxy 运行时,它会占用(Bind)30003 端口,ss 就能看到它。
  • 你把它杀了,这个端口在用户态就处于“空闲”状态。
  • 但是,内核 iptables 就像一个“隐形拦截者”,它在数据包还没到达 Socket 层之前就把包抢走了。

3. 会有什么后果?

虽然现在访问正常,但杀掉 docker-proxy 可能会导致以下小问题:

  • 宿主机局部回环失效: 在某些配置下,你在宿主机本地执行 curl localhost:30003 可能会失败(尽管从外网访问是好的)。
  • 状态不一致: Docker 此时并不知道你手动杀了它的组件。当你下次 docker stoprm 这个容器时,Docker 可能会因为找不到该进程而报一个小错误(尽管它通常会自动忽略)。

4. 怎么恢复?

如果你想让 docker-proxy 重新出现,最简单的方法是重启容器

docker restart web-ui

重启后,Docker 会重新创建 iptables 规则并启动一个新的 docker-proxy 进程。

总结:

一个很重要的结论:Docker 的端口映射本质上是内核行为(iptables),docker-proxy 只是一个辅助。 只要内核规则在,服务就不会断。

到此这篇关于docker proxy实现原理解析的文章就介绍到这了,更多相关docker proxy原理内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:

相关文章

  • Docker下安装Mongo4.2及客户端工具连接Mongo

    Docker下安装Mongo4.2及客户端工具连接Mongo

    这篇文章主要介绍了Docker下安装Mongo4.2和客户端工具连接Mongo数据库的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2022-01-01
  • 微信小程序Docker+Nginx环境配置业务域名验证文件的操作方法

    微信小程序Docker+Nginx环境配置业务域名验证文件的操作方法

    本文介绍了如何在DockerCompose+Nginx环境下配置并访问静态验证文件,首先下载验证文件并将其挂载到容器中,然后修改Nginx配置文件使其能够正确返回请求路径下的静态文件,最后,测试访问验证文件并提交业务域名,感兴趣的朋友跟随小编一起看看吧
    2025-01-01
  • Docker配置国内镜像源方式

    Docker配置国内镜像源方式

    文章介绍了如何配置Docker的daemon文件以使用国内镜像源,加快镜像拉取速度,同时,也提供了macOS和Windows系统上的配置方法以及临时使用镜像源的示例
    2026-01-01
  • Docker上部署 nps 和 npc 实现内网穿透

    Docker上部署 nps 和 npc 实现内网穿透

    本文介绍了如何使用Docker部署nps和npc实现内网穿透。nps是一款高性能的内网穿透代理服务器,npc是nps的客户端,可以将内网服务映射到公网上。通过Docker的容器化技术,可以方便地部署和管理nps和npc,同时保证了应用的隔离性和安全性。
    2023-04-04
  • 使用docker环境变量动态配置nginx的问题小结

    使用docker环境变量动态配置nginx的问题小结

    这篇文章主要介绍了使用docker环境变量动态配置nginx,整个方案,采用的是通过docker run -e xxxx=xxx先往容器注入环境变量,然后进一步通过envsubst指令将环境变量写入到具体的文件当中,实现动态配置文件内容,需要的朋友可以参考下
    2022-06-06
  • docker容器的几种存储详解

    docker容器的几种存储详解

    本文主要介绍了docker容器的几种存储方式,主要介绍了3种,文中通过示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2021-08-08
  • 部署Docker管理面板DweebUI的实现

    部署Docker管理面板DweebUI的实现

    DweebUI是一款简化Docker容器管理的Web界面,支持实时监控、多用户权限及跨平台操作,本文就来介绍部署Docker管理面板DweebUI的实现,具有一定的参考价值,感兴趣的可以了解一下
    2025-06-06
  • docker中如何启动已存在容器

    docker中如何启动已存在容器

    这篇文章主要介绍了docker中如何启动已存在容器问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2023-05-05
  • Docker安装及阿里云镜像加速器的配置方法

    Docker安装及阿里云镜像加速器的配置方法

    这篇文章主要介绍了Docker安装及阿里云镜像加速器配置方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-06-06
  • win10子系统ubuntu(WSL) 安装Docker的教程(图文详解)

    win10子系统ubuntu(WSL) 安装Docker的教程(图文详解)

    现在 Docker 有专门的 Win10 专业版系统的安装包,需要开启Hyper-V,具体开启方法文中给大家介绍的很详细,这篇文章主要介绍了win10子系统ubuntu(WSL) 安装Docker,需要的朋友可以参考下
    2019-10-10

最新评论