Docker 中的“公开”和“发布”有什么区别？

简短的回答：

• EXPOSE 是一种 记录 方式
• --publish （或 -p ）是一种将 主机端口 映射 到正在运行的 容器端口 的方法

请注意以下：

• EXPOSE 与 Dockerfiles 相关（ 记录）
• --publish 与 docker run ... 相关（ 执行/运行时）

公开和发布端口

在 Docker 网络中，有两种不同的机制直接涉及网络端口：暴露和发布端口。这适用于默认桥接网络和用户定义的桥接网络。

• 您可以使用 Dockerfile 中的 EXPOSE 关键字或 --expose 标志向 docker run 公开端口。公开端口是 记录 使用了哪些端口的一种方式， 但实际上并不映射或打开任何端口。暴露端口是可选的。

• 您使用 --publish 或 --publish-all 标志发布端口到 docker run 。这告诉 Docker 在容器的网络接口上打开哪些端口。发布端口时，它会映射到主机上可用的高位端口（高于 30000 ），除非您在运行时在主机上指定要映射到的端口。构建映像时（在 Dockerfile 中），您无法在主机上指定要映射到的端口，因为 无法保证该端口在您运行映像的主机上可用。

来自： Docker 容器网络

2019 年 10 月更新：以上文本不再在文档中，但存档版本在这里： docs.docker.com/v17.09/engine/userguide/networking/#exposing-and-publishing-ports

也许当前的文档如下：

已发布的端口

默认情况下，当您创建容器时，它不会向外界发布任何端口。要使端口可用于 Docker 外部的服务或未连接到容器网络的 Docker 容器，请使用 --publish 或 -p 标志。这将创建一个防火墙规则，将容器端口映射到 Docker 主机上的端口。

可以在这里找到： docs.docker.com/config/containers/container-networking/#published-ports

还，

暴露

… EXPOSE 指令 实际上并未发布端口。它充当构建映像的人和运行容器的人之间的一种 文档 类型，关于打算发布哪些端口。

来自： Dockerfile 参考

EXPOSE / --publish 时的服务访问：

在 @Golo Roden 的 回答中指出：

“如果您不指定其中任何一项，则容器中的服务将无法从容器本身内部以外的任何地方访问。”

也许在编写答案时就是这种情况，但现在看来，即使您不使用 EXPOSE 或 --publish ， host 和同一网络的其他 containers 将能够访问您可以在该容器内启动的服务。

如何测试这个：

我使用了以下 Dockerfile 。基本上，我从 ubuntu 开始并安装一个小型网络服务器：

 FROM ubuntu
RUN apt-get update && apt-get install -y mini-httpd

我 build 图像为“testexpose”和 run 一个新容器：

 docker run --rm -it testexpose bash

在容器内，我启动了一些 mini-httpd 的实例：

 root@fb8f7dd1322d:/# mini_httpd -p 80
root@fb8f7dd1322d:/# mini_httpd -p 8080
root@fb8f7dd1322d:/# mini_httpd -p 8090

然后我可以使用 curl 从主机或其他容器获取 mini-httpd 的主页。

进一步阅读

Ivan Pepelnjak 关于该主题的非常详细的文章：

• 暴露的端口
• 已发布的端口

原文由 tgogos 发布，翻译遵循 CC BY-SA 4.0 许可协议