在 Docker 容器中使用内网穿透

插个眼，后期实现一下！

在 Docker 容器中使用内网穿透是完全可行且非常常见的解决方案。

核心原因：
Docker 容器网络模式： Docker 容器默认使用 bridge 网络模式。这意味着容器拥有自己独立的网络命名空间和 IP 地址（通常是 172.17.0.0/16 网段），该地址仅在宿主机内部或连接到同一 Docker 网络的容器之间可达。

内网穿透的本质： 内网穿透工具（如 frp, ngrok, NPS/NPC, ZeroTier, Tailscale, 花生壳等）的作用是建立一个从内部网络到公网服务器的“隧道”。这个隧道可以转发特定端口的流量。

连接点： 内网穿透的客户端需要运行在一个可以连接到目标内网服务（即 Docker 容器内运行的服务）的位置。

因此，关键点在于：内网穿透的客户端运行在哪里？

有两种主要的实现方式，各有利弊：

⚙ 方式一：穿透客户端运行在宿主机上
原理：
在 Docker 宿主机上安装并运行内网穿透的客户端（例如 frpc, ngrok, NPC 等）。

在配置内网穿透客户端时，指定需要穿透的 target 为 localhost:<容器映射的宿主机端口>。例如：

你在容器里运行了一个 Web 应用，监听容器内部的 80 端口。

你通过 docker run -p 8080:80 … 将容器的 80 端口映射到了宿主机的 8080 端口。

配置穿透客户端，将公网访问某个域名或端口的请求，通过隧道转发到宿主机的 localhost:8080。
宿主机上的穿透客户端收到隧道来的流量后，将其转发给 localhost:8080。

Docker 宿主机的网络栈根据端口映射规则，将流量路由给对应容器的 80 端口。

优点:

简单易行： 只需要在宿主机上部署一次穿透客户端，即可穿透主机上的任何端口映射。不需要修改容器镜像。

通用性强： 适用于绝大多数容器和场景。

缺点：

依赖端口映射： 必须使用 -p 参数将容器端口映射到宿主机端口，穿透目标是宿主机的端口。

额外跳转： 流量路径多了一环（隧道客户端 -> 宿主机端口 -> 容器）。

📦 方式二：穿透客户端运行在容器内部
原理：
创建一个自定义的 Docker 镜像，该镜像同时包含你的应用服务和内网穿透的客户端。或者，在启动应用容器时，同时将穿透客户端的二进制文件挂载进去/启动它。

在该容器内部运行内网穿透客户端。

配置穿透客户端，指定需要穿透的 target 为 localhost:<容器内部应用服务端口>。例如：

你的应用在容器内部监听 3000 端口。

直接在容器内配置穿透客户端，将公网流量转发到 localhost:3000。
容器内的穿透客户端直接与容器内的应用通信。

优点:

独立性强： 容器自包含穿透能力，不依赖宿主机配置。迁移方便。

无需宿主机端口映射： 容器内部直接完成穿透，不需要在 docker run 时使用 -p 参数（穿透流量通过隧道进出，不走宿主机的常规端口）。

潜在更短路径： 流量直接在容器内部从穿透客户端交给应用。

缺点:

镜像复杂化： 需要定制 Dockerfile 或在启动脚本中加入穿透客户端的启动逻辑，增加镜像大小和管理复杂性。

耦合度高： 将穿透逻辑与应用紧密绑定在同一容器中，可能不符合“一个容器一个进程”的最佳实践（但技术上可行）。

资源占用： 每个需要穿透的服务容器都需要运行一个穿透客户端实例。

网络模式限制： 如果容器使用 host 网络模式，这种方式与方式一基本相同；如果使用其他模式（如 none），需要确保穿透客户端能联网建立隧道。

🔐 注意事项与选择建议
穿透目标地址： 无论哪种方式，配置穿透客户端时，target 地址都是相对于该客户端运行环境而言的 localhost 或容器/主机内部 IP。

容器网络模式： 最常见的 bridge 模式对两种方式都适用。host 模式下的容器共享宿主机网络栈，那么方式二本质上就等于方式一。

安全组/防火墙： 确保 Docker 宿主机的防火墙（如果开启）允许穿透客户端访问互联网（建立隧道所需端口）。如果是方式一，且配置了端口映射，确保映射的宿主机端口没有被防火墙挡住（不过穿透流量一般通过隧道走，不直接访问映射端口）。容器内部的网络策略也要允许穿透客户端访问应用端口。

选择建议：

对于临时测试、快速验证或穿透多个服务，方式一（客户端在宿主机）通常更方便快捷。

对于需要打包成独立可移植、开箱即用服务（不需要使用者配置宿主机）或不需要依赖宿主机端口映射的场景，可以考虑方式二（客户端在容器内）。

很多成熟的管理工具（如 NPS/NPC, frp）的文档也提供了在 Docker 中部署的示例（通常推荐方式一）。

🧰 常用内网穿透工具在 Docker 中的应用
frp:

方式一：在宿主机运行 frpc。frpc.ini 的 [web] 配置： local_ip = 127.0.0.1; local_port = 8080。

方式二：将 frpc 和应用都放进容器，在容器内运行 frpc，其配置： local_ip = 127.0.0.1; local_port = <应用端口>。

ngrok:

方式一：宿主机运行 ngrok http 8080。

方式二：容器内运行 ngrok http <应用端口>。

NPS/NPC:

NPS 服务端通常部署在公网服务器。

方式一：在宿主机运行 npc（对应配置）。

方式二：在容器内运行 npc。

ZeroTier/Tailscale (SD-WAN类):

这两种是构建虚拟局域网。

方式一（更常见）：在宿主机安装 ZeroTier/Tailscale，并将宿主机加入网络。宿主机获得虚拟 IP。访问这个虚拟 IP+映射端口 即可访问容器服务。

方式二（理论可行但不典型）：在每个容器内安装 ZeroTier/Tailscale，每个容器获得独立的虚拟 IP。直接访问容器的虚拟 IP 和应用端口。但这会增加容器复杂度和资源占用。

📌 结论

是的，在 Docker 容器中使用内网穿透是完全可行且实用的。
最常见和推荐的做法是将内网穿透的客户端（如 frpc, ngrok, NPC）安装在 Docker 宿主机上（方式一），然后穿透目标指向 localhost:<映射的宿主机端口>。

对于需要更高封装性或避免宿主机端口映射的场景，可以将穿透客户端集成到应用容器内部运行（方式二）。

选择哪种方式取决于具体的部署需求、维护复杂度和网络环境。通常先尝试方式一，如果无法满足需求再考虑方式二会更有效率。 部署后务必验证穿透是否成功并关注网络安全配置。