设置
我正在尝试进行一种设置,使我能够从我的 LAN 直接连接到 docker 容器,而无需将各个端口绑定到 docker 主机的 IP 地址。
我已使用 开启了 IP 转发sysctl -w net.ipv4.ip_forward=1。
症状
我可以使用 SSH 连接并使用 SFTP 传输非常小的文件。但是,如果我尝试发送大于 30K 的文件,传输就会挂起。我需要 killsftp来停止它。
编辑:文件大小限制似乎有所不同。现在介于 50-100KB 之间。可以使用和的不同变体进一步更改-B它-l-Rsftp
小文件达到 100% 后会停止,大文件读取速度较慢。速度缓慢降至零,读取次数- stalled -
sftp> put testfile35k
Uploading testfile35k to /home/user/testfile35k
testfile35k 100% 35KB 0.4KB/s 01:29
(killall -9 sftp)
sftp> put testfile
Uploading testfile to /home/user/testfile
testfile 20% 2080KB 0.0KB/s - stalled -
15分钟后,我Write failed: connection timed out终于Write failed: Broken pipe
如果我不用尝试从 转发eth0到 而docker0使用 docker 的端口绑定(-p),SFTP 就可以正常工作。
网络设置:
SSH Server:
[root@b6c9d8f9d30d Python-3.4.3]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
112: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 02:42:ac:11:00:0c brd ff:ff:ff:ff:ff:ff
inet 172.17.0.12/16 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::42:acff:fe11:c/64 scope link
valid_lft forever preferred_lft forever
Docker/"router":
[root@docker ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 52:54:00:21:68:9b brd ff:ff:ff:ff:ff:ff
inet 192.168.0.193/24 brd 192.168.0.255 scope global eth0
valid_lft forever preferred_lft forever
inet 192.168.0.121/24 brd 192.168.0.255 scope global secondary eth0
valid_lft forever preferred_lft forever
inet6 fe80::5054:ff:fe21:689b/64 scope link
valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether 56:84:7a:fe:97:99 brd ff:ff:ff:ff:ff:ff
inet 172.17.42.1/16 scope global docker0
valid_lft forever preferred_lft forever
inet6 fe80::5484:7aff:fefe:9799/64 scope link
valid_lft forever preferred_lft forever
SSH Client:
[root@test ~]# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 52:54:00:99:0b:64 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.201/24 brd 192.168.0.255 scope global eth1
inet6 fe80::5054:ff:fe99:b64/64 scope link
valid_lft forever preferred_lft forever
Docker 主机 iptables:EDIT2:刷新所有 iptables 规则和 NAT,没有任何效果
[root@docker ~]# iptables-save
# Generated by iptables-save v1.4.21 on Sat Sep 12 15:09:53 2015
*nat
:PREROUTING ACCEPT [5:488]
:INPUT ACCEPT [2:284]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [3:204]
:DOCKER - [0:0]
COMMIT
# Completed on Sat Sep 12 15:09:53 2015
# Generated by iptables-save v1.4.21 on Sat Sep 12 15:09:53 2015
*filter
:INPUT ACCEPT [513:54486]
:FORWARD ACCEPT [280:161095]
:OUTPUT ACCEPT [325:35618]
:DOCKER - [0:0]
COMMIT
# Completed on Sat Sep 12 15:09:53 2015
我知道容器通常不应该运行sshd。这是一个远程 Python 开发主机,SSH 用于运行远程解释器。
答案1
问题不在于 docker,甚至不在于 docker 主机上的 ip 转发,而是在于另一个路由器。
我意识到如果我通过 192.168.0.193 手动设置到 172.17./16 的静态路由,SFTP 就会开始工作。
我已经将实际路由器/互联网网关配置为将流量重定向到 172.17/16 到 LAN 上的 docker 主机,而不是转到互联网。在对该路由器的设置进行一些调整后,现在一切正常。这可能与 TCP 状态跟踪和非对称路由有关。