CLOUD云枢在轻量服务器上部署 Docker 本身并不强制要求开启特定端口,但根据你的使用场景,可能需要开放一些端口来支持容器服务的访问或管理。以下是常见需要考虑的端口及其用途:
一、Docker 自身相关端口
-
2375 / 2376(Docker Remote API)
- 2375:非加密的 Docker 远程 API 端口(不推荐在生产环境开启,存在安全风险)
- 2376:启用 TLS 加密的远程 API 端口
- ✅ 只有当你需要从外部远程管理 Docker 守护进程时才需要开启
- 🔒 建议:如非必要,不要暴露这些端口;若必须使用,请启用 TLS 并配置防火墙限制 IP
-
2377(Swarm 模式集群通信)
- 用于 Docker Swarm 的管理节点之间通信
- 如果你使用
docker swarm init创建集群,则需开放此端口(TCP)
-
7946(节点发现与通信)
- TCP/UDP,用于 Docker 容器网络中节点之间的控制和数据平面通信
-
4789(VXLAN 端口,Overlay 网络)
- UDP,用于 Docker Swarm 中的 overlay 网络通信
⚠️ 注意:以上 2377、7946、4789 主要在使用 Docker Swarm 集群模式 时才需要开启。
二、应用容器暴露的端口(按需开放)
这是最常见的情况:你在容器中运行服务,需要通过端口对外提供访问。
例如:
| 容器服务 | 默认端口 | 协议 | 是否建议开放 |
|---|---|---|---|
| Web 服务 (Nginx, Apache) | 80 | TCP | ✅ 是 |
| HTTPS 服务 | 443 | TCP | ✅ 是 |
| SSH 服务 | 22 | TCP | ⚠️ 谨慎开放(建议改端口+密钥登录) |
| 数据库(MySQL) | 3306 | TCP | ❌ 不建议直接暴露公网 |
| Redis | 6379 | TCP | ❌ 避免暴露,内网访问即可 |
| MongoDB | 27017 | TCP | ❌ 同上 |
| 自定义应用 API | 如 3000, 8080, 5000 等 | TCP | ✅ 按需开放 |
📌 原则:
- 尽量只开放必要的业务端口(如 80、443)
- 数据库、缓存等内部服务应通过内网连接或反向X_X访问,避免直接暴露
- 使用 Nginx 或 Traefik 作为反向X_X统一入口,减少暴露端口数量
三、系统与安全建议
-
关闭不必要的端口
- 使用防火墙(如
ufw、iptables、云平台安全组)限制入站流量 - 默认策略:拒绝所有,仅放行必需端口
- 使用防火墙(如
-
修改默认 SSH 端口
- 避免暴力破解,将 SSH 从 22 改为其他端口(如 2222)
-
使用反向X_X
- 用 Nginx/Traefik 统一管理多个容器服务,只需开放 80/443
-
定期更新系统与 Docker 版本
- 防止已知漏洞被利用
四、总结:轻量服务器部署 Docker 推荐开放端口
| 端口 | 协议 | 用途 | 是否建议开放 |
|---|---|---|---|
| 22 | TCP | SSH 管理服务器 | ✅(建议改端口) |
| 80 | TCP | HTTP 流量 | ✅(常用) |
| 443 | TCP | HTTPS 流量 | ✅(常用) |
| 2376 | TCP | 安全的 Docker 远程 API | ⚠️ 按需开启,加 TLS |
| 2377 | TCP | Docker Swarm 管理 | ✅ 若使用 Swarm |
| 7946 | TCP/UDP | 节点通信 | ✅ 若使用 Swarm |
| 4789 | UDP | Overlay 网络 | ✅ 若使用 Swarm |
✅ 最佳实践示例(普通 Web 应用):
- 开放:22(SSH)、80(HTTP)、443(HTTPS)
- 所有容器通过
docker run -p 8080:80 myapp启动,再由 Nginx 反向X_X到 80/443 - 不开启 Docker Remote API
- 不使用 Swarm 则无需开放 2377/7946/4789
如有具体应用场景(如部署 WordPress、Node.js API、数据库等),可进一步细化端口策略。