Порекомендуете другу?⁠⁠

блин, может я не совсем понимаю задачу. Но, смотри, запущенный докер контейнер это же не сам сервис, а окружение. можно сделать чтобы ip-адрес внутри контейнера был точно такой же как у хоста. То есть если сам хост имеет "белый" ip, то внутри контейнера при --net=host будет он же.

Далее, для своего сервиса ты должен знать в каком диапазоне портов он работает, ибо не может софтина юзать вообще все порты рандомно. Ну там врятли в рандомно юзаемый порт попадет 80/443/8080/etc. Этот диапазон портов ты и открываешь. В итоге получается что у тебя есть хост, с белым ip, есть докер контейнер запущенный на этом же хосте, и он тоже думает что у него такой же ip, и если будет комуто сообщать свой адрес, то даст этот ip и порт. и когда клиент снаружи по этому адресу:порту будет ломиться на хост комп, докер редиректнет все пакеты внутрь контейнера.

Проще говоря, если ты можешь настроить окружение и сервис на хост компе без докера, то с докером ты тоже это сможешь сделать. разница только в том что в случае использования докера  у тебя изолированное окружение, и через хост можно следить за ее состоянием и прочим барахлом, при желании. Так же внутри докер окружения ты можешь понаставить всяких библиотек и утилит которые необходимы твоему сервису, в то время как на хосте их не будет. И в итоге на условно "чистом" хосте у тебя есть легко переносимое на другой хост настроенное окружение, с нужными версиями либ и пакетов именно для твоего сервиса.