Docker - Portainer - Browseradresse

[bluestar]

Erlaubt dein Hoster explizit die Nutzung von Docker bzw. LXC in deinem Container?

Hast du dort mal gefragt? Oder gibt‘s FAQs wo sowas drinstehen könnte?

[AxelMD]

Der Hoster gibt vor:

Es können alle Linux Betriebssysteme ab der Version 2 genutzt werden. Ausgenommen davon sind OS, die selbst virtualisieren.

Ist Docker eine Virtualisierung?

https://de.wikipedia.org/wiki/Docker_(Software)

Docker ist eine Freie Software zur Isolierung von Anwendungen mit Containervirtualisierung.

https://www.dev-insider.de/was-sind-doc ... -a-597762/

In einem griffigen Satz gefasst ist Docker eine Virtualisierung ohne Virtualisierung. Die Technik dahinter heißt Containerisierung.

Ob daher der Fehler kommt?

[AxelMD]

Ist es eigentlich erforlichlich Docker IPv6-ähig zu machen, wenn ich einen öffentlichen NAT64 Service eingerichtet habe?

[bluestar]

Ist es eigentlich erforlichlich Docker IPv6-ähig zu machen, wenn ich einen öffentlichen NAT64 Service eingerichtet habe?

Diese Frage lässt sich nicht allgemeingültig beantworten, daher erst ein paar Fakten zu deinem technischen Ist-Stand:
* NAT64 dient ausschließlich dazu das dein Server ausgehende Verbindungen zu IPv4 Hosts aufnehmen kann.
* Wenn du auf deinem Server Dienste anbieten möchtest(z.B. Webserver), also eingehende Verbindungen akzeptieren, dann sind dies ausschließlich IPv6 Verbindungen.
* IPv4 hast du nicht, daher sind eingehende IPv4 Verbindungen nicht möglich!

Nun zu Docker:
Wenn du von außen (über IPv6) auf deine Serverdienste innerhalb deiner Docker-Conatiner zugreifen willst dann gibt es zwei Optionen:
1) Du machst Docker IPv6-fähig
2) Du installierst auf deinem Server einen Reverse Proxy(z.B. nginx), welcher auf IPv6 lauscht und dann nach intern auf die Docker Container via IPv4 zugreift.

Vorteile/Nachteile:
Mit der Variante (1) ersparst du dir die Konfiguration eines Reverse Proxys und alles läuft nativ.
Mit der Variante (2) hast du einen zusätzlichen Dienst und erleichterst dir z.B. was SSL angeht das Leben .... Der Reverse Proxy lässt sich von extern via SSL ansprechen und leitet intern in den Docker-Container via IPv4 "unverschlüsselt" weiter... Dies kann insbesondere dann hilfreich sein, wenn das Docker-Image von Haus keine Unterstützung von SSL vorsieht.

[bluestar]

Der Hoster gibt vor:

Es können alle Linux Betriebssysteme ab der Version 2 genutzt werden. Ausgenommen davon sind OS, die selbst virtualisieren.

In einem griffigen Satz gefasst ist Docker eine Virtualisierung ohne Virtualisierung. Die Technik dahinter heißt Containerisierung.

Neben der Marketingfrage ob Docker eine Virtualisierung ist oder nicht, steht noch eine technische Frage ....
Containertechniken (also Docker und LXC) bedienen sich beide zu einem Teil an der Kernel-API zur Virtualisierung:


(Bild entliehen aus dem Docker-Artikel von Wikipedia)

Dort werden die gemeinsam genutzten Kernel-Techniken cgroups, namespaces, capabilities, Netlink, Netfilter, SELinux, AppArmor aufgeführt.

[AxelMD]

Hallo,

wie erstelle ich mir einen Debian-Testserver "only IPv6" mit Virtualbox?

MfG

AxelMD

[bluestar]

wie erstelle ich mir einen Debian-Testserver "only IPv6" mit Virtualbox?

Du legst dir ganz normal eine virtuelle Maschine an, beim Netzwerk kannst du jedoch kein NAT verwenden, sondern direktes Bridging in dein bestehendes und funktionierendes IPv6 Netzwerk (die virtuelle Maschine stört sich nicht daran, wenn dein Netzwerk parallel auch IPv4 verwendet).
Dann installierst du Debian und konfigurierst deine Netzwerkschnittstelle einfach ohne IPv4 nur mit IPv6:

Code: Alles auswählen

auto eth0
iface eth0 inet6 auto

und in deiner resolv.conf trägst du deinen IPv6 Nameserver oder du nutzt den Google Public DNS

Code: Alles auswählen

nameserver 2001:4860:4860::8888
nameserver 2001:4860:4860::8844

[AxelMD]

Mein Virtualbox Debian 10 Virtualbox IPv4 Testserver funktioniert mit Docker.
Portainer läßt sich auch installieren, also ist Dockerversion funktionsfähig, es liegt am vServer oder an IPv6.

Code: Alles auswählen

docker run hello-world

Hello from Docker!
This message shows that your installation appears to be working correctly.

Jetzt einfach

Code: Alles auswählen

auto eth0
iface eth0 inet6 auto

Dann habe ich einen IPv6 only Server?

[Lord_Carlos]

Ruf doch einfach mal bei EuServ an, oder schreib ne mail.

[bluestar]

es liegt am vServer oder an IPv6.

Das wuerde ich auch gerne wissen.

mir keine LXC Hoster bekannt, wo das von den Host-Parametern her geht (Neested Virtualization, Sub-Namespaces, etc.)

[AxelMD]

Neested Virtualization --- Google GCE kann das soweit ich weis.

Mein Virtualbox Testserver ist jetzt auch ohne Neested Virtualization, obwohl ich das einschalten könnte.

[bluestar]

Jetzt einfach

Code: Alles auswählen

auto eth0
iface eth0 inet6 auto

Dann habe ich einen IPv6 only Server?

Die Netzwerkkonfiguration ist dann IPv6 only, der nächste Schritt für dich sind deine Dienste ... Oftmals sind diese in der Default-Konfiguration nicht für IPv6 Betrieb vorkonfiguriert.

[AxelMD]

Es ist immer einfacher wenn man den Pfad angibt.

So sieht es default Debian 10 aus:
cat /etc/network/interfaces

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp0s3
iface enp0s3 inet dhcp
# This is an autoconfigured IPv6 interface
iface enp0s3 inet6 auto

Wie stelle ich jetzt konkret auf IPv6 um, wie sieht die /etc/network/interfaces dann aus?

[bluestar]

Neested Virtualization --- Google GCE kann das soweit ich weis.

Da Google auch Windows als Gast-System unterstützt, handelt es sich bei deren "Virtualisuerung" nicht um LXC Container.

[bluestar]

Wie stelle ich jetzt konkret auf IPv6 um, wie sieht die /etc/network/interfaces dann aus?

Du entfernst einfach folgende Zeile

Code: Alles auswählen

iface enp0s3 inet dhcp

[bluestar]

Mein Virtualbox Testserver ist jetzt auch ohne Neested Virtualization, obwohl ich das einschalten könnte.

Ja und das bedeutet, dass die Virtualisierung, die von Virtualbox verwendet wird nicht innerhalb des Testservers noch einmal verwendet werden kann, also Virtualbox auf deinem Testserver installieren und darin ein Debian oder Windows -> das wird nicht klappen.

Bei Container bedeutet dies, dass LXC den Zugriff auf die Container-Schnittstellen des Kernels aus einem Container heraus nicht gestattet => Ergo kein Docker in LXC, kein LXC in LXC.

Dein Testserver stellt jedoch die vollen Conatiner-Schnittstellen bereit, da diese dort noch nicht durch vorhergehendes Host-System "verbraucht" wurden.

[AxelMD]

Code: Alles auswählen

cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug enp0s3
#iface enp0s3 inet dhcp
# This is an autoconfigured IPv6 interface
iface enp0s3 inet6 auto

Komme ich danach im Heimnetz auf den Server?
Wie teste ich, ob ich "only IPv6" habe?

Fein, den Fehler von Docker, weil nicht IPv4 tauglich bekomme ich schon mal.

[bluestar]

Komme ich danach im Heimnetz auf den Server?

Ja ganz normal über die IPv6-Adresse des Servers...

Wie teste ich, ob ich "only IPv6" habe?

Pinge einfach eine beliebige IPv4-Adresse, die nicht im 127.0.0.0/8er Netz liegt, also z.B.:

Code: Alles auswählen

ping -4 8.8.8.8

Das darf nicht funktionieren.

[bluestar]

Fein, den Fehler von Docker, weil nicht IPv4 tauglich bekomme ich schon mal.

Wie du Docker IPv6-fähig bekommst das steht hier im Thread und auch noch mal in der PM, die ich dir mal geschickt hatte.

[AxelMD]

Code: Alles auswählen

ping -4 8.8.8.8
connect: Das Netzwerk ist nicht erreichbar

Alles richtig gemacht.

Meine IPv4 Adresse für das heimische Netz ist aber auch weg.

Wie komme ich nun per ssh ohne "Virtualbox - Host-only-Adapter" auf den Server?

Wie ich jetzt weiß, benötige ich eine IPv6 Adresse um auf den only IPv6 Server zu kommen.

Code: Alles auswählen

ip a

zeigt mir keine IPv6 Adresse, wie 2a02:0180:0006:00...........

Nur stehe ich vor der Tür.
################################################################################################################
Jetzt habe ich wieder IPv4

Code: Alles auswählen

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:78:30:18 brd ff:ff:ff:ff:ff:ff
    inet 192.168.178.188/24 brd 192.168.178.255 scope global dynamic enp0s3
       valid_lft 863950sec preferred_lft 863950sec
    inet6 2003:db:872f:5800:a00:27ff:fe78:3018/64 scope global dynamic mngtmpaddr 
       valid_lft 7151sec preferred_lft 1306sec
    inet6 fe80::a00:27ff:fe78:3018/64 scope link 
       valid_lft forever preferred_lft forever
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:5f:5f:f7:fc brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:5fff:fe5f:f7fc/64 scope link 
       valid_lft forever preferred_lft forever
5: veth4c41133@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master docker0 state UP group default 
    link/ether f6:d3:c7:f5:19:15 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fe80::f4d3:c7ff:fef5:1915/64 scope link 
       valid_lft forever preferred_lft forever

Wo seht da die IPv6 Adresse? Mit 2a02:... fängt da nichts an.

https://www.wieistmeineip.at/ipv6-test/
Meine Fritz!Box fängt mit Ihre IPv6-Adresse lautet: 2003:....... an.

Ist das die interne IPv6 inet6 2003:db:872f:5800:a00:27ff:fe78:3018?

Edit:
Aufbau einer IPv6 Adresse:

https://www.elektronik-kompendium.de/si ... 902111.htm

Da gibt es ein schönes Bild.

Eine IPv6-Adresse besteht aus 128 Bit. Wegen der unhandlichen Länge werden die 128 Bit in 8 mal 16 Bit unterteilt. Je 4 Bit werden als eine hexadezimale Zahl dargestellt. Je 4 Hexzahlen werden gruppiert und durch einen Doppelpunkt (":") getrennt. Um die Schreibweise zu vereinfachen lässt man führende Nullen in den Blöcken weg. Eine Folge von 8 Nullen kann man durch zwei Doppelpunkte ("::") ersetzen. Eine IPv6-Adresse besteht aus zwei Teilen. Dem Network Prefix (Präfix oder Netz-ID) und dem Interface Identifier (Suffix, IID oder EUI).

Mein Fall:

Code: Alles auswählen

2003:db:872f:5800:        a00:27ff:fe78:3018 
 Network Prefix           Interface Identifier

[Lord_Carlos]

Hast du jetzt mal kontakt zum hoster aufgenommen und gefragt ob docker funktioniert?

[AxelMD]

Ich simuliere im Heimnetz

[Lord_Carlos]

Und wenn es da funktioniert, was machst du dann?

[bluestar]

Jetzt habe ich wieder IPv4

Dann musst du dein Netzwerk neu starten... /etc/init.d/networking restart (glaube so war der Befehl)

[AxelMD]

Hallo, das Problem ist noch nicht gelöst.

docker version
Client: Docker Engine - Community
Version: 19.03.8
API version: 1.40
Go version: go1.12.17
Git commit: afacb8b7f0
Built: Wed Mar 11 01:25:56 2020
OS/Arch: linux/amd64
Experimental: false

Code: Alles auswählen

docker run hello-world
docker: Error response from daemon: OCI runtime create failed: container_linux.go:349: starting container process caused "process_linux.go:449: container init caused \"join session keyring: create session key: disk quota exceeded\"": unknown.

Dock IPv6 fähig gemacht:

Code: Alles auswählen

 cat  /etc/docker/daemon.json
{
  "ipv6": true
}

NAT64 eingerichtet (ich weiß nicht sicher)

Code: Alles auswählen

 cat /etc/resolv.conf 
nameserver 2a01:4f8:c2c:123f::1
nameserver 2a00:1098:2b::1
nameserver 2a01:4f9:c010:3f02::1

Das mal genauer anschauen:

https://success.docker.com/article/erro ... ocker-1809

Das sagt mir auch nichts:

Code: Alles auswählen

systemctl cat docker
# /lib/systemd/system/docker.service
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
BindsTo=containerd.service
After=network-online.target firewalld.service containerd.service
Wants=network-online.target
Requires=docker.socket

[Service]
Type=notify
# the default is not to use systemd for cgroups because the delegate issues still
# exists and systemd currently does not support the cgroup feature set required
# for containers run by docker
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always

# Note that StartLimit* options were moved from "Service" to "Unit" in systemd 229.
# Both the old, and new location are accepted by systemd 229 and up, so using the old location
# to make them work for either version of systemd.
StartLimitBurst=3

# Note that StartLimitInterval was renamed to StartLimitIntervalSec in systemd 230.
# Both the old, and new name are accepted by systemd 230 and up, so using the old name to make
# this option work for either version of systemd.
StartLimitInterval=60s

# Having non-zero Limit*s causes performance problems due to accounting overhead
# in the kernel. We recommend using cgroups to do container-local accounting.
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity

# Comment TasksMax if your systemd version does not support it.
# Only systemd 226 and above support this option.
TasksMax=infinity

# set delegate yes so that systemd does not reset the cgroups of docker containers
Delegate=yes

# kill only the docker process, not all processes in the cgroup
KillMode=process

[Install]
WantedBy=multi-user.target
lines 14-48/48 (END)

https://github.com/docker/compose/issues/7295

Wie kann eine Lösung aussehen?

Das evtl.? --->

https://gkellynavarro.com/blog/2020/04/ ... er-issues/


noch ein Check:

Code: Alles auswählen

df -h
Dateisystem    Größe Benutzt Verf. Verw% Eingehängt auf
/dev/loop63     9,8G    3,1G  6,2G   34% /
none            492K    4,0K  488K    1% /dev
devtmpfs        7,8G       0  7,8G    0% /dev/tty
tmpfs           100K       0  100K    0% /dev/lxd
tmpfs           100K       0  100K    0% /dev/.lxd-mounts
tmpfs           7,9G       0  7,9G    0% /dev/shm
tmpfs           7,9G    8,2M  7,9G    1% /run
tmpfs           5,0M       0  5,0M    0% /run/lock
tmpfs           7,9G       0  7,9G    0% /sys/fs/cgroup
tmpfs            98M       0   98M    0% /run/user/0
root@axelmd:~# df -ih
Dateisystem    Inodes IBenutzt IFrei IUse% Eingehängt auf
/dev/loop63      640K      82K  559K   13% /
none             2,0M       27  2,0M    1% /dev
devtmpfs         2,0M      675  2,0M    1% /dev/tty
tmpfs            2,0M        2  2,0M    1% /dev/lxd
tmpfs            2,0M       91  2,0M    1% /dev/.lxd-mounts
tmpfs            2,0M        1  2,0M    1% /dev/shm
tmpfs            2,0M      164  2,0M    1% /run
tmpfs            2,0M        3  2,0M    1% /run/lock
tmpfs            2,0M       17  2,0M    1% /sys/fs/cgroup
tmpfs            2,0M       10  2,0M    1% /run/user/0