
Kirill
10.07.2016
18:37:53
$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DOCKER-ISOLATION all -- anywhere anywhere
DOCKER all -- anywhere anywhere
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain DOCKER (1 references)
target prot opt source destination
Chain DOCKER-ISOLATION (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Так а че, ip forwarding то включен на хосте?
Спрашиваю, потому что сам неделю назад так наебался )
?

Google


Kirill
10.07.2016
18:37:53
$ sudo sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
98 702.576925365 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=0/0, ttl=64
99 703.577949408 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=1/256, ttl=64
100 704.579024083 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=2/512, ttl=64
101 705.580104913 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=3/768, ttl=64
102 706.581176215 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=4/1024, ttl=64
103 707.578321791 02:42:ac:11:00:02 -> 02:42:bd:46:7f:7e ARP 42 Who has 172.17.0.1? Tell 172.17.0.2
104 707.578357581 02:42:bd:46:7f:7e -> 02:42:ac:11:00:02 ARP 42 172.17.0.1 is at 02:42:bd:46:7f:7e
105 707.582272458 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=5/1280, ttl=64
106 708.583338041 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=6/1536, ttl=64
107 709.584411338 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=7/1792, ttl=64
108 710.585497855 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=8/2048, ttl=64
109 711.586591998 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=9/2304, ttl=64
110 712.587687939 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=10/2560, ttl=64
111 713.588764725 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=11/2816, ttl=64
112 714.589838033 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=12/3072, ttl=64
113 715.590928884 172.17.0.2 -> 8.8.8.8 ICMP 98 Echo (ping) request id=0x001f, seq=13/3328, ttl=64
вот попытка пинговать гугл
А какие на хосте есть интерфейсы докера? Иногда пропадает через который он пускает ноды
я пробовал --dns=8.8.8.8 добавлять в etc/default/docker
пробовал запускать через docker --net=host run -it ubuntu
Покажи интерфейсы
вот так работает инет
$ sudo ifconfig|grep -E 'Link|inet'
docker0 Link encap:Ethernet HWaddr 02:42:bd:46:7f:7e
inet addr:172.17.0.1 Bcast:0.0.0.0 Mask:255.255.0.0
inet6 addr: fe80::42:bdff:fe46:7f7e/64 Scope:Link
dummy0 Link encap:Ethernet HWaddr 7e:c1:32:5a:03:c3
inet addr:188.*.*.* Bcast:188.*.*.* Mask:255.255.255.255
inet6 addr: fe80::**7cc:3c3/64 Scope:Link
eno1 Link encap:Ethernet HWaddr 0c:c4:7a:b2:66:82
inet6 addr: fe80::e**6682/64 Scope:Link
eno2 Link encap:Ethernet HWaddr 0c:c4:7a:b2:66:83
inet addr:10.30.33.50 Bcast:10.30.33.255 Mask:255.255.254.0
inet6 addr: fe80:**12/64 Scope:Link
eno1.3006 Link encap:Ethernet HWaddr 0c:c4:7a:b2:66:82
inet addr:10.44.*.* Bcast:10.44.33.255 Mask:255.255.254.0
inet6 addr: fe80::e**b2:6682/64 Scope:Link
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
vethf84706e Link encap:Ethernet HWaddr 02:08:6b:d8:7b:5e
inet6 addr: fe80::8:6bff:fed8:7b5e/64 Scope:Link
$ docker ps
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES
7ac42fc7a095 debian "/bin/bash" 19 minutes ago Up 19 minutes desperate_noether
ubuntu@gpu1:~/dockers/docker-itorch$ docker inspect 7ac42fc7a095
щас пастбин будет
http://pastebin.com/1eQsFh3L
вот.

Google


Kirill
10.07.2016
18:37:53
Наоборот, аккуратно же -E флаг и только нужная инфа, если не слишком большой копипаст, смотри:
sudo ifconfig|grep -E 'Link|inet'
https://dpaste.de/Vbbo
а тут точно все есть ? iptables -nL -t nat | grep -i masq
$ sudo iptables -nL -t nat | grep -i masq
MASQUERADE all -- 172.17.0.0/16 0.0.0.0/0
вроде есть
может какая нить засада из за интерфейсов ?
rp_filter 1 ?
$ sudo iptables -t nat -L -nv
Chain PREROUTING (policy ACCEPT 62 packets, 4055 bytes)
pkts bytes target prot opt in out source destination
32 1875 DOCKER all -- * * 0.0.0.0/0 0.0.0.0/0 ADDRTYPE match dst-type LOCAL
Chain INPUT (policy ACCEPT 32 packets, 1875 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 49 packets, 3403 bytes)
pkts bytes target prot opt in out source destination
0 0 DOCKER all -- * * 0.0.0.0/0 !127.0.0.0/8 ADDRTYPE match dst-type LOCAL
Chain POSTROUTING (policy ACCEPT 49 packets, 3403 bytes)
pkts bytes target prot opt in out source destination
30 2180 MASQUERADE all -- * !docker0 172.17.0.0/16 0.0.0.0/0
Chain DOCKER (2 references)
pkts bytes target prot opt in out source destination
1 84 RETURN all -- docker0 * 0.0.0.0/0 0.0.0.0/0
root@7ac42fc7a095:/# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
^C--- 8.8.8.8 ping statistics ---
9 packets transmitted, 0 packets received, 100% packet loss
Host : 16.04
Docker 14.04 / Debian latest
Без разницы, факт в том, что в докере не работает интернет. При том, что если юзать --net=host всё пашет.
Причём я пробовал это прописать в /etc/default/docker — не помогает
вручную сейчас прописал Routing — не пашет
где то внутр /etc где все конфиг файлы обычно /etc/network/interfaces
$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
auto dummy0
iface dummy0 inet static
address 188.01.02.90
netmask 255.255.255.255
auto eno1
auto eno1.3006
iface eno1 inet manual
iface eno1.3006 inet static
address 10.44.0.1
netmask 255.255.254.0
post-up ip ro add default via 10.44.0.1 src 188.01.02.90
vlan_raw_device eno1
dns-nameservers 188.01.02.85
10.44.0.1
188.01.02.90 пингуются из докера
route дай еще глянуть
сделай sysctl -a | grep "\.rp_filter"
$ sudo route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.4.2.1 0.0.0.0 UG 0 0 0 eno1.3001
default 10.3.2.1 0.0.0.0 UG 100 0 0 eno2
10.3.2.0 * 255.255.254.0 U 100 0 0 eno2
10.4.2.0 * 255.255.254.0 U 0 0 0 eno1.3001
nerv8.i 10.3.2.1 255.255.255.255 UGH 100 0 0 eno2
172.17.0.0 * 255.255.0.0 U 0 0 0 docker0
$ sudo sysctl -a | grep "\.rp_filter"
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.docker0.rp_filter = 1
net.ipv4.conf.dummy0.rp_filter = 1
net.ipv4.conf.dummy1.rp_filter = 1
net.ipv4.conf.dummy2.rp_filter = 1
net.ipv4.conf.dummy3.rp_filter = 1
net.ipv4.conf.dummy4.rp_filter = 1
net.ipv4.conf.dummy5.rp_filter = 1
net.ipv4.conf.dummy6.rp_filter = 1
net.ipv4.conf.dummy7.rp_filter = 1
net.ipv4.conf.eno1.rp_filter = 1
net.ipv4.conf.eno1/3001.rp_filter = 1
net.ipv4.conf.eno2.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.vetha039bc4.rp_filter = 1
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.docker0.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy0.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy1.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy2.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy3.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy4.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy5.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy6.stable_secret"
sysctl: reading key "net.ipv6.conf.dummy7.stable_secret"
sysctl: reading key "net.ipv6.conf.eno1.stable_secret"
sysctl: reading key "net.ipv6.conf.eno1/3001.stable_secret"
sysctl: reading key "net.ipv6.conf.eno2.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
sysctl: reading key "net.ipv6.conf.vetha039bc4.stable_secret"
Задача повышенной сложности

Google

Kirill
10.07.2016
18:39:14
@Romkart не курилка

Evgeny
10.07.2016
18:40:37
Перезагрузить докер помогает?

Kirill
10.07.2016
18:40:41
нет

Nikita
10.07.2016
19:09:10
Всем привет
Народ, такой вопрос, контейнер занимает дофигища места
контейнеры какие можно удалил

Kirill
10.07.2016
19:10:19
http://stackoverflow.com/questions/38295535/network-unreachable-inside-docker-container-without-net-host-parameter
апните плз хотя бы
upvote plz

Nikita
10.07.2016
19:11:44
но всеравно, занимает 21 гиг

ptchol
10.07.2016
19:14:33

Evgeny
10.07.2016
19:15:43

Nikita
10.07.2016
19:16:23
я просто недавно только осваиваю докер, поэтому сильно не гвайся
гневайся*
после такого удаления образ останется ?
просто внутри контейнера я всё что только можно удалил, откуда взяться там 10 гигам ?

Evgeny
10.07.2016
19:20:31

Amir
10.07.2016
21:12:54
А докер в дебаг режиме запускал товарищ у которого сеть не пашет?
И этотнебось центось да?
Ну запустить докер без iptables, пробовал?

Google

Kirill
10.07.2016
21:15:36

Amir
10.07.2016
21:15:54
Юбунту
Я с такой бней сталкивался
Помогало прибить все в /var/lib/docker
Ну и как вариант подебажить сам демон, там много интересного можно найти

Nikita
10.07.2016
21:22:39
из-за может не пускать в монтированую папку
хотя доступы все разрешены

Amir
10.07.2016
21:25:03
docker inspect делал?
И как ты определяешь, что он занимает именно столько места?

Admin
ERROR: S client not available

Nikita
10.07.2016
21:26:22
ты мне ?

Amir
10.07.2016
21:26:35
Ну у тебя с местом косяк?)

Nikita
10.07.2016
21:26:41
был = ))
я всю папку докера рубанул и заново всё начал =))

Amir
10.07.2016
21:26:52
Если не крутить настройки то там больше 10гб не выйдет

Nikita
10.07.2016
21:26:56
ну вот

Amir
10.07.2016
21:27:02
На контейнер

Nikita
10.07.2016
21:27:03
вот забрал 10 гигов и не отдавал
можешь мне помочь с доступом = )

Amir
10.07.2016
21:27:20
А что с ним

Google

Amir
10.07.2016
21:27:25
Ось какая?

Nikita
10.07.2016
21:27:38
примонтировал папку с хоста в контейнер и оно говорил пермишн денайд

Amir
10.07.2016
21:27:50
Ось с которой монтировпл какая?

Nikita
10.07.2016
21:27:54
центос 7

Amir
10.07.2016
21:27:58
Ок
Т.е. все на одной железке?)

Nikita
10.07.2016
21:28:37
агамс

Amir
10.07.2016
21:28:42
А то частый кейс с доступом под маком через тулбокс в виртуалбокс

Nikita
10.07.2016
21:28:48
даже не на делезке, а виртуальной машине = ))
виртуалбокс..

Amir
10.07.2016
21:29:39
Ну если через докермашину тот известная бага

Nikita
10.07.2016
21:30:15
на виртуалбокс поставил цетос 7, на него залил докер и вот ковыряюсь

Amir
10.07.2016
21:30:32
Тогда к сути давай
Образ свой или паблик?

Nikita
10.07.2016
21:31:17
свой

Amir
10.07.2016
21:31:23
На базе чего

Nikita
10.07.2016
21:31:24
точнее паблик
docker pull centos:latest

Amir
10.07.2016
21:31:37
Ок
Ну а справами чего не так?

Nikita
10.07.2016
21:31:57
не знаю.. вот именно

Amir
10.07.2016
21:32:08
А с чего взял чтотне так?)