Frage Was ist der Sinn des Docker-Proxy-Prozesses? Warum wird ein Userspace-TCP-Proxy benötigt?


Ich habe festgestellt, dass für jeden veröffentlichten Port ein Docker-Proxy-Prozess ausgeführt wird. Was ist der Zweck dieses Prozesses? Warum wird ein User Space TCP Proxy benötigt?

$ ps -Af | grep proxy
root      4776  1987  0 01:25 ?        00:00:00 docker-proxy -proto tcp -host-ip 127.0.0.1 -host-port 22222 -container-ip 172.17.0.2 -container-port 22
root      4829  1987  0 01:25 ?        00:00:00 docker-proxy -proto tcp -host-ip 127.0.0.1 -host-port 5555 -container-ip 172.17.0.3 -container-port 5555

und einige verwandte iptable-Regeln, die von docker erstellt wurden:

$ sudo iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 1 packets, 263 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 1 packets, 263 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1748 packets, 139K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   32  7200 DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 1719 packets, 132K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   32  7200 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0           

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  !docker0 *       0.0.0.0/0            127.0.0.1            tcp dpt:22222 to:172.17.0.2:22
    0     0 DNAT       tcp  --  !docker0 *       0.0.0.0/0            127.0.0.1            tcp dpt:5555 to:172.17.0.3:5555

33
2017-10-04 23:48


Ursprung


Stimme nicht zum Schließen dieser Frage zu. Es ist ein gültiges architektonisches Problem, das ein Ableger von ist serverfault.com/questions/615372 ; wenn wir abstimmen, was zu sein scheint undokumentiert (zumindest auf der Website) einen Teil des Dienstes, dann stellt sich die Frage, ob wir blindlings neue und glänzende Dienste installieren sollten, von denen wir die interne Funktionsweise nicht verstehen? - Avery Payne
Auch auf so stackoverflow.com/a/37809857/1318694 - Matt


Antworten:


Anscheinend gibt es einige Edge Cases ohne einen besseren Workaround (vorerst):

  • localhost <-> localhost routing
  • Andock-Instanz ruft über ihren veröffentlichten Port in sich selbst auf
  • und möglicherweise mehr

https://github.com/docker/docker/issues/8356

AKTUALISIEREN: Seit 1.7.0 (2015-06-16) kann der Userland-Proxy zugunsten von Hairpin-NAT mit dem --userland-proxy = false-Flag des Daemons deaktiviert werden.


21
2017-10-23 02:08