Docker-禁用userland代理

最新推荐文章于 2024-11-15 23:01:22 发布
原创 最新推荐文章于 2024-11-15 23:01:22 发布 · 4.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了Docker中userland-proxy的作用及其对性能和安全的影响。Docker守护进程通常使用userland-proxy进行端口映射,但DNAT模式提供了更好的性能和安全性。建议在支持DNAT的系统上禁用userland-proxy以减少资源消耗。禁用方法是在启动dockerd时添加--userland-proxy=false。不过,旧版内核或特定网络配置可能需要userland-proxy服务。关闭此功能可能导致某些场景下的功能缺失或影响系统性能。

禁用userland代理

 

描述

当容器端口需要被映射时,docker守护进程都会启动用于端口转发的userland-proxy方式。 如果使用了DNAT方式,该功能可以被禁用。

解释

Docker引擎提供了两种机制将主机端口转发到容器,DNAT和userland-proxy。 在大多数情况下,DNAT模式是首选,因为它提高了性能,并使用本地Linux iptables功能而需要附加组件。如果DNAT可用,则应在启动时禁用userland-proxy以减少安全风险。

审计方法

ps -ef | grep dockerd。

结果

确保--userland-proxy参数设置为false。

修复

行Docker守护进程如下:dockerd --userland-proxy = false。

影响

某些旧版Linux内核的系统可能无法支持DNAT,因此需要userland-prox服务。 此外,某些网络设置可能会因删除userland-prox而受到影响。



首先介绍userland-proxy一直以来的作用。众所周知,在Docker的桥接bridge网络模式下,Docker容器是通过宿主机上的NAT模式,建立与宿主机之外世界的通信。然而在宿主机上,一般情况下,进程可以通过三种方式访问容器,分别为:<eth0IP>:<hostPort>, <containerIP>:<containerPort>,以及<0.0.0.0>:<hostPort>。实际上,最后一种方式的成功访问完全得益于userland-proxy,即Docker Daemon在启动一个Docker容器时,每次为容器在宿主机上映射一个端口,都会启动一个docker-proxy进程,实现宿主机上0.0.0.0地址上对容器的访问代理。

当时引入userland-proxy时,也许是因为设计者意识到了0.0.0.0地址对容器访问上的功能缺陷。然而,在docker-proxy加入Docker之后相当长的一段时间内。Docker爱好者普遍感受到,很多场景下,docker-proxy并非必需,甚至会带来一些其他的弊端。

影响较大的场景主要有两种。

第一,单个容器需要和宿主机有多个端口的映射。此场景下,若容器需要映射1000个端口甚至更多,那么宿主机上就会创建1000个甚至更多的docker-proxy进程。据不完全测试,每一个docker-proxy占用的内存是4-10MB不等。如此一来,直接消耗至少4-10GB内存,以及至少1000个进程,无论是从系统内存,还是从系统CPU资源来分析,这都会是很大的负担。

第二,众多容器同时存在于宿主机的情况,单个容器映射端口极少。这种场景下,关于宿主机资源的消耗并没有如第一种场景下那样暴力,而且一种较为慢性的方式侵噬资源。

如今,Docker Daemon引入- -userland-proxy这个flag,将以上场景的控制权完全交给了用户,由用户决定是否开启,也为用户的场景的proxy代理提供了灵活性

相关链接

1.http://windsock.io/the-docker-proxy 2.https://github.com/docker/docker/issues/14856 3 https://github.com/docker/docker/issues/22741 4.https://docs.docker.com/engine/userguide/networking/default_network/binding/

 

Dockeruserland-proxy
SHELLCODE_8BIT的博客
08-04 1109
Docker针对端口映射前后有两种方案,一种是1.7版本之前docker-proxy+iptables的方式;另一种则是1.7版本(及之后)提供的完全由iptables DNAT实现的端口映射。不过在目前docker 1.9.1中,前一种方式依旧是默认方式。但是从Docker 1.7版本起,Docker提供了一个配置项:–userland-proxy,以让Docker用户决定是否启用docker-proxy,默认为true,即启用docker-proxy
从零开始搭建部署kubernets集群(附踩坑及解决方法)
lucky_ykcul的博客
06-16 3981
kubernets简介 kubernets概述 kubernetes,简称K8s,是用8代替8个字符“ubernete”而成的缩写。是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制。 Kubernetes是Google开源的一个容器编排引擎,它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求
docker出现 Error starting userland proxy: listen tcp4 0.0.0.0:3306: bind: address already in use的解决方法
weixin_45729947的博客
09-28 8507
docker: Error response from daemon: driver failed programming external connectivity on endpoint my (72ccf48eb3804f402d56aa5aff7eadb160176dcb95182516d2ac07259d951c33): Error starting userland proxy: listen tcp4 0.0.0.0:3306: bind: address already in use.
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 5168
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
docker容器启动时关闭代理
Dreaming_of_you的博客
09-23 1124
【代码】docker容器启动时关闭代理
docker离线安装和设置自启动
weixin_40789281的博客
11-28 2788
1.下载docker-18.06.3-ce.tgz 2.解压docker-18.06.3-ce.tgz 3. sudo cp docker/* /usr/bin/ 4.复制一下内容到 vim /etc/systemd/system/docker.service [Unit] Description=Docker Application Container Engine Docum...
Docker-bench-security安全CIS基准测试工具
weixin_45526912的博客
12-21 1601
在本教程中,我们将安装Docker Bench for Security,然后使用它来评估Ubuntu 16.04主机上默认Docker安装(来自官方Docker存储库)的安全性。然后我们将解决它发出的警告。审计将继续将此测试标记为WARN,访问默认的仅限本地的Docker套接字是通过要求docker组中的成员资格来保护的,因此可以放心地忽略它。使用Docker来容纳您的应用程序和服务可以为您提供开始即用的一些安全优势,但默认的Docker安装仍然有一些空间可用于一些与安全相关的配置改进。
linux下二进制安装docker最新版docker-24.0.6
rendongxingzhe的博客
09-14 833
二进制安装docker最新版
那我要开启3306的端口,而关闭docker-prox服务会有问题吗
03-16
好的,我需要帮助用户解决关于开启3306端口和关闭docker-proxy服务的问题。...1. Docker配置`"userland-proxy": false` 2. 防火墙正确放行端口 3. 内核转发功能已启用 按上述步骤操作后,服务可正常运行。
sudo systemctl restart docker Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for details. [root@192 ~]# systemctl status dockerdocker.service - Docker Application Container Engine Loaded: loaded (/usr/lib/systemd/system/docker.service; enabled; vendor preset: disabled) Active: failed (Result: exit-code) since 三 2025-03-19 14:28:02 CST; 13s ago Docs: http://docs.docker.com Process: 3554 ExecStart=/usr/bin/dockerd-current --add-runtime docker-runc=/usr/libexec/docker/docker-runc-current --default-runtime=docker-runc --exec-opt native.cgroupdriver=systemd --userland-proxy-path=/usr/libexec/docker/docker-proxy-current --init-path=/usr/libexec/docker/docker-init-current --seccomp-profile=/etc/docker/seccomp.json $OPTIONS $DOCKER_STORAGE_OPTIONS $DOCKER_NETWORK_OPTIONS $ADD_REGISTRY $BLOCK_REGISTRY $INSECURE_REGISTRY $REGISTRIES (code=exited, status=1/FAILURE) Main PID: 3554 (code=exited, status=1/FAILURE) 3月 19 14:28:02 192.168.137.128 systemd[1]: Starting Docker Application Container..... 3月 19 14:28:02 192.168.137.128 dockerd-current[3554]: unable to configure the Doc...l 3月 19 14:28:02 192.168.137.128 systemd[1]: docker.service: main process exited, ...RE 3月 19 14:28:02 192.168.137.128 systemd[1]: Failed to start Docker Application Co...e. 3月 19 14:28:02 192.168.137.128 systemd[1]: Unit docker.service entered failed state. 3月 19 14:28:02 192.168.137.128 systemd[1]: docker.service failed. Hint: Some lines were ellipsized, use -l to show in full. [root@192 ~]# sudo vim /etc/docker/daemon.json [root@192 ~]# sudo systemctl daemon-reload [root@192 ~]# sudo systemctl restart docker Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for details. [root@192 ~]# docker -v
03-20
4. 检查是否有端口冲突,特别是如果Docker配置了特定的网络设置或代理,可能需要调整。 5. 重新安装Docker,确保所有依赖项正确安装,并且配置文件没有损坏。 6. 检查SELinux或AppArmor等安全模块是否阻止了Docker的...
docker-compose.yml添加 security_opt
最新发布
06-08
对于Docker守护进程配置iptables后端(在daemon.json中):```json{"iptables":false,"userland-proxy":false,"experimental":false,"features":{"buildkit":true},"ipv6":false,"ip-forward":true,"bridge":"none",...
【ubuntu】解决 Error starting userland proxy: listen tcp4 127.0.0.1:6379: bind: address already in use
Fanjufei的博客
10-20 903
如果有进程占用了该端口,命令的输出结果会显示相关的进程信息,包括进程ID(PID)、进程名称和进程所属用户等。这将删除 Redis 软件包及其配置文件、日志文件和数据文件。请注意,这个操作是不可逆的,请谨慎执行。可以查看在Ubuntu上是否有进程占用了端口号6379。如果 Redis 已被成功卸载,该命令将没有任何输出。如果服务已停止,将显示"Inactive"状态。如果没有进程占用该端口,命令的输出结果将为空。
Docker Proxy
来啊 快活啊
04-10 3051
cat ~/.docker/config.json { “auths”: { “https://index.docker.io/v1/”: { “auth”: “Y2hlbnpoZW55YW5nOmNoZW56aGVueWFuZw==” }, “localhost:5080”: { “auth”: “YWRtaW46YWRtaW4xMjM=” }, “registry-1.docker.io”: ...
docker-proxy 的原理
k8s 生态
09-22 3208
本篇是第七部分“网络篇”的第五篇。在这个部分,我会为你由浅入深的介绍 Docker 网络相关的内容。包括 Docker 网络基础及其实现和内部原理等。上篇,我为你介绍了 Docker 如何利用 iptables 为容器提供网络。本篇,我们深入了解下之前提到的 Docker 的一个组件 docker-proxy 的工作原理。 在之前的《Docker 核心架构及拆解(中)》我已经为你介绍过 d...
Docker之修改/etc/default/docker 里的DOCKER_OPTS参数不生效问题-yellowcong
热门推荐
07-30 3万+
默认情况下,/etc/default/docker配置了不会生效的,我们需要手动添加到docker的环境设定中,需要配置的文件是/usr/lib/systemd/system/docker.service,需要添加EnvironmentFile=-/etc/default/docker,让后在ExecStart这个配置中,添加引用的参数$DOCKER_OPTS。
解决linux系统Error starting userland proxy: listen tcp 0.0.0.0:xxx端口: bind: address already in use端口占用问题
情話微甜 的博客
09-30 3万+
错误问题 今天我在linux系统使用docker启动mysql服务时,突然报如下的错误,翻译过来大致意思就是 端口被占用。 在出现问题时在网上也是翻阅了资料,说是重启docker即可,但是反复重启,仍不见解决问题,通过查看占用端口、杀死进程方案得以解决问题。 docker: Error response from daemon: driver failed programming external connectivity on endpoint mysql5.6.46 (8c10cf68a1196a3a4
我的docker随笔45:在龙芯平台安装docker
李迟的专栏
11-15 5111
2017年下半年开始接触docker时,那会李大锤刚刚会爬,而今年(2024年)下半年,李大锤已经是一个经常考得C并且经常和妹妹吵架的二年级学生了。这么多年就过去,docker一直陪伴着我的工作,正如我一直陪伴着大锤大妞的成长一样。最近手上正好有台龙芯机器,恰好要做适配,刚好想研究不同平台的容器部署,于是就趁机尝试安装docker
linux安装docker,已经遇到的问题
温润如风的博客
10-12 1万+
在实际开发中,我们经常会遇到多台机器配置相同的软件运行环境。 比如配置一个tomcat,mysql...一些环境,其他机器也需要相同的环境时,就会一遍一遍的进行配置,比较麻烦。 而且容器和容器之间是完全隔离的。 在学习的过程中发现Docker可以解决这个问题,所以记录下安装遇到的坑 1、首先我们需要安装linux系统,可以上网 2、接下来需要查看linux内核版本,因为Docker需要L...
docker无法启动所有错误汇总
平凡人的博客
03-20 1万+
关于docker启动Job for docker.service failed because the control process exited error code的问题: 网上于有许许多多的解决方案,我经过一下午漫长调试还是不行,基本上是瞎搞不看原因,第二天我仔细对比了以下错误信息才发现,大家的错误原因是不同的,所以有些方法对你有用可是对别人不能用比如: 第一种错误: [root@19...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值