环境描述：

主机ip：172.16.10.161

使用官方镜像，实例化一个container，命名myngnix，端口使用-P随机映射。

在同一台主机docker托管webapi服务1 使用3000:80端口映射，通过测试发现docker容器虚拟化出来的Ip是172.17.0.2

在同一台主机docker托管webapi服务2 使用3001:80端口映射，通过测试发现docker容器虚拟化出来的Ip是172.17.0.3

问题描述：

利用其它机器访问172.16.10.161:3000和172.16.10.161:3000的web服务均正常。

单独访问Nginx服务也正常

配置Nginx负载均衡，upstream对应两个server，分别172.16.10.161:3000、172.16.10.161:3000

配置文件完全正确，可以排除配置文件的问题

但访问Nginx服务报502错误。

问题排查：

使用 docker exec -it myngnix /bin/bash 进入Nginx的docker容器内，安装curl工具后，发现curl http://172.16.10.161:3000失败，不能访问。但是curl 172.17.0.2:80端口正常访问。

解决方案：

将upstream的server替换为：172.17.0.2:80、172.17.0.3:80（:80不能省略，此坑也被我踩了）

访问Nginx代理地址即正常。

问题分析：

初步分析原因是docker对于容器有严格资源限制，在不显示开放端口的前提下，不能随意访问主机端口，导致在nginx内部不能访问webapi服务，但是同一个docker客户端内部虚拟出来的子网络是可以互相访问的。

对docker理解不深，只能分析到这一步。