Docker Lauf kann nicht Portbereich trotz netstat veröffentlichen zeigt an, dass die Ports verfügbar sind

Question

Ich versuche, ein Docker Bild von innen Google Cloud Shell (dh auf Höflichkeit Google Compute Engine-Instanz) zu laufen, wie folgt:

docker run -d -p 20000-30000:10000-20000 -it <image-id> bash -c bash 

Zurück sieht

Proto Recv-Q Send-Q Local Address   Foreign Address   State  PID/Program name 
tcp  0  0 127.0.0.1:8998   0.0.0.0:*    LISTEN  249/python  
tcp  0  0 0.0.0.0:80    0.0.0.0:*    LISTEN  -    
tcp  0  0 0.0.0.0:22    0.0.0.0:*    LISTEN  -    
tcp  0  0 0.0.0.0:13080   0.0.0.0:*    LISTEN  -    
tcp  0  0 0.0.0.0:13081   0.0.0.0:*    LISTEN  -    
tcp  0  0 127.0.0.1:34490   0.0.0.0:*    LISTEN  -    
tcp  0  0 0.0.0.0:13082   0.0.0.0:*    LISTEN  -    
tcp  0  0 0.0.0.0:13083   0.0.0.0:*    LISTEN  -    
tcp  0  0 0.0.0.0:13084   0.0.0.0:*    LISTEN  -    
tcp  0  0 127.0.0.1:34490   127.0.0.1:48161   ESTABLISHED -    
tcp  0 252 172.17.0.2:22   173.194.92.34:49424  ESTABLISHED -    
tcp  0  0 127.0.0.1:48161   127.0.0.1:34490   ESTABLISHED 15784/python  
tcp6  0  0 :::22     :::*     LISTEN  -  

so ist es mir, als ob alle Ports zwischen 20000 und 30000 sind vorhanden, aber der Lauf mit der folgenden Fehlermeldung wird jedoch beendet: zu diesem Schritt wird die folgende netstat -tuapn berichtet

Fehlerreaktion von Daemon: Kann nicht Container starten: Proxy Starten des Userland-Proxy-Timed out

hier

Was ist los: Endpunkt auf Netzwerkbrücke erstellen gescheitert? Wie kann ich mehr Diagnoseinformationen erhalten und letztendlich das Problem lösen (z. B. dass mein Docker-Image mit dem gesamten verfügbaren Port-Bereich ausgeführt wird).

Answer 1

Das Öffnen von Ports in einem Bereich lässt sich in Docker derzeit nicht gut skalieren. Dies führt dazu, dass 10.000 Docker-Proxy-Prozesse zur Unterstützung jedes Ports generiert werden, einschließlich aller Dateideskriptoren, die zur Unterstützung all dieser Prozesse benötigt werden, sowie eine lange Liste von Firewall-Regeln, die hinzugefügt werden. Irgendwann werden Sie ein Ressourcenlimit für Dateideskriptoren oder Prozesse erreichen. Weitere Informationen finden Sie unter issue 11185 on github.

Die einzige Problemumgehung bei der Ausführung auf einem Host, den Sie steuern, besteht darin, die Ports nicht zuzuweisen und die Firewallregeln manuell zu aktualisieren. Nicht sicher, dass das bei GCE überhaupt möglich ist. Die beste Lösung wird sein, Ihre Anforderungen neu zu gestalten, um den Portbereich klein zu halten. Die letzte Option besteht darin, das Brückennetzwerk vollständig zu umgehen und auf dem Host-Netzwerk zu laufen, wo keine Proxy- und Firewall-Regeln mehr mit --net=host vorliegen. Das spätere entfernt jede Netzwerkisolation, die Sie in dem Container haben, wird daher gegen empfohlen.