Как подружить Docker и iptables-persistent или найти другое решение?

Question

[Павел Безруков]

Добрый день.

Я хочу чтобы на 1 машине работала проверенная и полюбившаяся система виртуалиации lxc - для неё нужно ручками прописывать пробросы портов в iptables. И стоял докер в философии которого я пока не могу разобраться, но я учусь его готовить - он же дописывает свои правила на основе конфигурации контейнеров, автоматически.

Пробовал и в папку нетворк писать баш скрипты рестора правил из файла и устанавливал iptables-persistent, после рестарта загружаются или правила из файла или докеровские, но не вместе

Методом тыка заметил если после старта системы с iptables-persistent сделать рестарт сервисов lxc и docker, то в iptables будет необходимое мне сочетание правил. Отсюда вывод они должны иницализироваться после iptables-persistent, но вот беда в гугле я так и не нашёл ответа как это сделать, нашёл только тотже затык.

Можете помочь подружить утилиты?

Answer 1

[mureevms]

Судя по всему, правила докера очищают правила системы. Разве нельзя просто добавить правила докера в системный скрипт iptables и запускать его после старта докера?

Comments

[Павел Безруков]

mureevms Извиняюсь, а судя почему правила докера очищают системные, и по iptables-save видно обратное и я в обращении написал другое. Докер перемещает все правила в раздел DOCKER [0:0], но какая разница.
Очищает iptables-persistent.
Правила докера динамические и зависят от кол-ва и конфигурации контейнеров, не хотелось бы этим управлять ручками, как в случае с lxc.

[mureevms]

Павел Безруков: Судя по этой фразе:
>>после рестарта загружаются или правила из файла или докеровские, но не вместе
делаю вывод, что одни правила перезаписывают другие.

>>Правила докера динамические...
К сожалению с докером не работал, но логика подсказывает, что при старте он должен писать свои правила в уже существующие. Если вообще не подгружать правила при старте системы, то как обстоят дела?

[Павел Безруков]

mureevms: Похоже я понял свою ошибку.
Вы правильно обратили внимание на то что я вначале написал
>>после рестарта загружаются или правила из файла или докеровские, но не вместе
Под или я понимал что при описании скриптов рестора докер их затирает, но это противоречит тому что написано далее:
>>после старта системы с iptables-persistent сделать рестарт сервисов lxc и docker, то в iptables будет необходимое мне сочетание правил.
Похоже что баш скрипты рестора просто не работали, а не докер их затирал. Это первое чем я проверю когда приду с работы.
Хотя мне бы хотелось чтобы работала утилита iptables-persistent, она элегантнее велосипедных скриптов. У вас случайно нет мыслей как сделать так чтобы докер отрабатывал после её инициализации?

[mureevms]

Павел Безруков: Скорее всего докер стартует скриптом из init.d, поэтому почитайте www.opennet.ru/base/sys/run_services_tips.txt.html , там есть пример как можно запустить скрипт в нужной последовательности.

[Павел Безруков]

mureevms: Да, он в init.d стартует, и статью эту гуглил вчера, правда углублённо не читал, показалось что не то на первый взгляд - значит ошибся, большое спасибо - буду изучать!:)