Docker如何使用端口2375和4243？ [英] How does Docker use ports 2375 and 4243?

问题描述

在互联网上搜索时，我看到端口2375和4243的各种实例似乎是用来做同一件事的。此外，我的本地计算机要求我使用2375进行连接，而当我将其推送到CI服务器时，它要求将其设置为4243。

Docker将这些端口用于什么，它们有何不同？

推荐答案

可以使用dockerd -H选项在任何端口上配置坞站套接字。我看到的常见坞站端口包括：

• 2375：未加密的坞站套接字，对主机的远程root无密码访问
• 2376：TLS加密套接字，这很可能是您的CI服务器4243端口，作为https 443端口的修改
• 2377：群集模式套接字，用于群集管理器，不适用于停靠客户端
• 5000：Docker注册表服务
• 4789和7946：覆盖网络

只有前两个是用dockerd -H设置的，群组模式可以配置为docker swarm init --listen-addr或docker swarm join --listen-addr的一部分。

我强烈建议禁用2375端口并保护坞站插座。在没有远程密码的情况下，远程利用此端口来获得完全root访问权限是很容易的。执行此操作的命令非常简单：

docker -H $your_ip:2375 run -it --rm 
  --privileged -v /:/rootfs --net host --pid host busybox

它可以在任何装有docker客户端的计算机上运行，为某人提供您主机上的根shell，其中完整的文件系统在/rootfs下可用，您的网络在ip a下可见，每个进程在ps -ef下可见。

要在坞站套接字上设置TLS安全，请参阅这些说明。https://docs.docker.com/engine/security/https/

这篇关于Docker如何使用端口2375和4243？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！