我可以使用什么方法将网络连接到docker容器(即:使其无法从主机操作系统访问)?非容器的典型方法是更改iptables,但对于Docker我不知道如何解决这个问题。
答案 0 :(得分:0)
默认情况下这种方式大部分都是这样。如果您没有expose任何端口并且不在操作系统中运行网络服务(通常只是运行您的应用程序),则容器中无法触及任何内容。
您可以准确地澄清您的意思"可达"。可以从哪里到达目的?如果您没有公开任何端口,则无法从任何其他主机访问您的容器。您的容器可能仍然可以到达"来自主机上docker网络中的其他容器,因此如果您关心的是同一个docker主机中的其他docker容器,docker会提供--icc=false标志来禁用容器间通信,默认已启用。 More info here in the docs