你们把 Nginx 放宿主机上跑，那怎么转发请求到 Docker 容器？

container can expose the port to host machine
你只要转发给暴露出来的端口就好啦

@dcalsky 就是不想暴露端口，服务器上只开个 nginx 的 80

@thisisgpy 你是怕暴露端口有安全问题吗？没事的，你暴露出的是内网端口，只要不暴露到外网去都不会有问题，如果实在害怕，就加安全组。

docker-gen

难道不是自己组建一个 network，然后指定 ip 么…………

大概这样

docker run --network=jarln.com --ip=10.1.1.2 --name blog -v /var/www/data:/goapp --entrypoint=/goapp/bin/blog --restart always debian

publish 可以选地址的
-p 127.0.0.1:8000:80
就可以
@thisisgpy
@dcalsky
@jarlyyn

还有一种更安全一点的做法，适合配合 compose 或其他编排系统：
再开一个 socat 容器，link 后端容器，socat 转发后端端口到 socs 文件
socks 文件所在文件夹 mount 出来用
通过对 socks 文件设置权限，可以实现更精细的权限控制
不过一般来说本地程序都可信，127.0.0.1 也算够用了

@ryd994

我试下来这个方案最好

-p 127.0.0.1 的访问问题有两个，第一次每次都必须是不同的端口，端口和配置文件会很混乱

第二是效率问题。
做压力测试的时候会发现 docker-proxy 占用很高。

用 socks 的问题就更坑了，有个不同容器启动顺序的问题。

所以后来都是自己组个 network，异常好用。

@jarlyyn 我 userland-proxy=false，docker-proxy 根本不走数据，只负责占用端口
有些内核 iptables 不支持 nat 到 127.0.0.1
我用的是 CentOS 7
不要单纯-p 127.0.0.1，-p 到随机端口还有什么意思嘛。明确指定本地端口号，人工维护本地端口号分配。一共就那么几种服务，按自己习惯分配一下就行了
启动顺序这个，所以我说要配合编排系统。compose 里 link 会隐含 depend
组 network 你还不是要人工维护地址分配

@ryd994

组 network 优点是有 dns 啊

link 已经不推荐使用了 还是自己组网好。