在Docker中，我們可以通過(guò)不暴露端口的方式來(lái)保護(hù)容器的安全。簡(jiǎn)而言之，不暴露端口意味著容器的服務(wù)只能在容器內(nèi)部使用。

我們可以通過(guò)在 Dockerfile 中或者使用命令行的方式來(lái)控制容器中的端口是否對(duì)外部暴露。

docker run -p host_port:container_port# 暴露容器內(nèi)部端口到宿主機(jī)上
docker run -p container_port# 只暴露容器內(nèi)部端口到Docker虛擬網(wǎng)絡(luò)
docker run -P# 隨機(jī)分配端口并暴露到宿主機(jī)上

其中，-p參數(shù)用于將宿主機(jī)上的特定端口映射到容器內(nèi)部的端口上。如果省略宿主機(jī)上的端口，則Docker會(huì)隨機(jī)選取一個(gè)未被占用的端口。而-P參數(shù)會(huì)將容器中所有暴露的端口都映射到宿主機(jī)上。

如果我們只想在容器內(nèi)部使用服務(wù)，就可以使用不暴露端口的方式創(chuàng)建容器。

docker run# 不暴露端口

當(dāng)然，這種方式有很多的應(yīng)用場(chǎng)景，比如，在多個(gè)容器之間的通信上，我們可以將每個(gè)容器都設(shè)為只開放內(nèi)部端口，然后通過(guò)在Docker虛擬網(wǎng)絡(luò)中建立連接的方式，實(shí)現(xiàn)容器間的通信。

總之，只開放內(nèi)部端口是一種增加Docker容器安全性的方式，可以根據(jù)實(shí)際需求靈活使用。