问题描述
我想从 docker 容器内连接到主机上的 unix 域套接字。具体来说,我在主机上运行这个:
socat - ABSTRACT-LISTEN:/tmp/.X11-unix/X1
并在容器中运行:
socat ABSTRACT-CONNECT:/tmp/.X11-unix/X1 -
预期的结果是双向通信。但这只有在容器使用 --net=host 运行时才会满足:
docker run -it --net=host ubuntu bash
省略 --net=host 给我 ECONNREFUSED (Connection refused):
docker run -it ubuntu bash
问题:为什么 --net 对 unix 域套接字连接很重要?
问题:最好的做法是使用 --net=host 只允许 unix 域套接字连接吗?
解决方法
docker 的一个关键卖点是隔离。使用 --net=host 可以放松网络隔离,虽然您肯定可以在某些情况下使用,但我通常会认为它是“代码异味”,然后先尝试其他方法。
就您而言,我相信您需要在容器中安装您想要的任何可用套接字(未经测试)。
$ docker run -it -e DISPLAY -v /tmp/.X11-unix/X1:/tmp/.X11-unix/X1 ...