如果没有答案，检查你的目标容器是否已经在docker网络中运行:

CONTAINER=my-target-container
docker inspect $CONTAINER | grep NetworkMode
        "NetworkMode": "my-network-name",

将它保存到变量$NET_NAME中:

NET_NAME=$(docker inspect --format '{{.HostConfig.NetworkMode}}' $CONTAINER)

如果是，您应该在同一网络中运行代理容器。

接下来查找容器的别名:

docker inspect $CONTAINER | grep -A2 Aliases
                "Aliases": [
                    "my-alias",
                    "23ea4ea42e34a"

将它保存到变量$ALIAS中:

ALIAS=$(docker inspect --format '{{index .NetworkSettings.Networks "'$NET_NAME'" "Aliases" 0}}' $CONTAINER)

现在在网络$NET_NAME中的容器中运行socat，桥接到$ALIASed容器的暴露端口(但没有发布):

docker run \
    --detach --name my-new-proxy \
    --net $NET_NAME \
    --publish 8080:1234 \
    alpine/socat TCP-LISTEN:1234,fork TCP-CONNECT:$ALIAS:80

您可以使用像Weave Net这样的覆盖网络，它将为每个容器分配唯一的IP地址，并隐式地将所有端口暴露给网络的每个容器部分。

Weave还提供主机网络集成。缺省情况下是禁用的，但是，如果您还想从主机访问容器IP地址(及其所有端口)，您可以简单地运行weave expose。

坦白说，我在纺织工场工作。

你不能通过Docker来做到这一点，但是你可以从主机上访问容器未暴露的端口。

如果您有一个在端口8000上运行某些内容的容器，您可以运行

wget http://container_ip:8000

要获取容器的IP地址，运行以下2条命令:

docker ps
docker inspect container_name | grep IPAddress

在内部，当你运行一个图像时，Docker外壳会调用iptables，所以这可能会有一些变化。

将容器的端口8000暴露在本地主机的端口8001上:

iptables -t nat -A  DOCKER -p tcp --dport 8001 -j DNAT --to-destination 172.17.0.19:8000

解决这个问题的一种方法是使用您想要的端口映射设置另一个容器，并比较iptables-save命令的输出(尽管如此，我不得不删除一些迫使通信通过docker代理的其他选项)。

注意:这是在颠覆docker，所以应该注意到它可能会产生蓝烟。

OR

另一种选择是查看(new?- p选项-它将使用随机的主机端口，然后将它们连接起来。

OR

在0.6.5中，你可以使用LINKs特性来启动一个与现有容器对话的新容器，并附加一些对该容器的-p标志的中继?(我还没用过LINKs。)

OR

docker 0.11?你可以使用docker run——net host ..将容器直接连接到主机的网络接口(即，net没有命名空间)，因此在容器中打开的所有端口都是公开的。

如果没有答案，检查你的目标容器是否已经在docker网络中运行:

CONTAINER=my-target-container
docker inspect $CONTAINER | grep NetworkMode
        "NetworkMode": "my-network-name",

将它保存到变量$NET_NAME中:

NET_NAME=$(docker inspect --format '{{.HostConfig.NetworkMode}}' $CONTAINER)

如果是，您应该在同一网络中运行代理容器。

接下来查找容器的别名:

docker inspect $CONTAINER | grep -A2 Aliases
                "Aliases": [
                    "my-alias",
                    "23ea4ea42e34a"

将它保存到变量$ALIAS中:

ALIAS=$(docker inspect --format '{{index .NetworkSettings.Networks "'$NET_NAME'" "Aliases" 0}}' $CONTAINER)

现在在网络$NET_NAME中的容器中运行socat，桥接到$ALIASed容器的暴露端口(但没有发布):

docker run \
    --detach --name my-new-proxy \
    --net $NET_NAME \
    --publish 8080:1234 \
    alpine/socat TCP-LISTEN:1234,fork TCP-CONNECT:$ALIAS:80

请先阅读里卡多的回答。这对我很管用。

但是，如果使用docker-compose启动正在运行的容器，则存在这样的情况。这是因为docker-compose(我正在运行docker 1.17)创建了一个新的网络。解决这种情况的方法是

Docker网络ls

然后追加如下内容 Docker运行-d——name sqlplus——link db:db -p 1521:1521 sqlplus——net network_name

虽然不能公开现有容器的新端口，但可以在同一个Docker网络中启动一个新容器，并让它将流量转发到原始容器。

# docker run \
  --rm \
  -p $PORT:1234 \
  verb/socat \
    TCP-LISTEN:1234,fork \
    TCP-CONNECT:$TARGET_CONTAINER_IP:$TARGET_CONTAINER_PORT

工作的例子

启动一个监听80端口的web服务，但不要公开它的内部端口80(哎呀!)

# docker run -ti mkodockx/docker-pastebin   # Forgot to expose PORT 80!

查找其Docker网络IP:

# docker inspect 63256f72142a | grep IPAddress
                    "IPAddress": "172.17.0.2",

启动verb/socat，暴露端口8080，并让它将TCP流量转发到该IP的端口80:

# docker run --rm -p 8080:1234 verb/socat TCP-LISTEN:1234,fork TCP-CONNECT:172.17.0.2:80

现在，您可以访问http://localhost:8080/上的pastebin，您的请求将被发送到socat:1234, socat:1234将它转发到pastebin:80，并且响应反向沿着相同的路径传播。