da

Отвечаю сам себе.
Рабочее решение есть тут https://unrouted.io/2017/08/15/docker-firewall/
В двух словах:
В таблице filter создаётся новая цепочка FILTERS, на которую происходит прыжок из DOCKER-USER, таким образом можно пробрасывать порты наружу индивидуально.

Зачем вообще проьрасывать на внешку

Вы слышали про конструкцию 127.0.0.1:80:8080

Чтобы снаружи был доступ, очевидно же. Другое дело что по-умолчанию докер кладёт на существующие правила iptables и открывает миру все сервисы.

Чиво. В первом вопросе доступ из внешней сети

А щас говорите шо бы был снаружи доступ

Щас переформулирую.
Есть докер хост, с локальным IP допустим 192.168.1.1
На хосте запущены контейнер с параметром -p 9000:9000 допустим.
Правила iptables на хосте таковы, что входящие пакеты на внешнем интерфейсе enp1s (для примера) дропаются.

Ожидаемое поведение:
Сервис внутри контейнера доступен по адресу 192.168.1.1:9000 и только из подсети 192.168.1.0/24
Фактически:
Докер пробрасывает порт наружу, так что сервис доступен по внешнему IP.

Так юзайте -p 192.16.1.1
:80:9000

И будет живо из клрлбкин

Добрый день.
Как я понимаю, сейчас необходимо использовать secrets для ssh ключей, если в контейнере мне нужно скачать приватные репозитории. Но столкнулся с проблемой прав доступа, а именно:
Permissions 0755 for '/run/secrets/id_rsa' are too open.
Кто-то может подсказать как правильно передать в контейнер ссш агент. Установка происходит в момент поднятия контейнера в докер-компоуз.
Пробовал так:
secrets:
- source: id_rsa
 target: id_rsa
 uid: '103'
 gid: '103'
 mode: 0440
Но пишет, что только для сворм режима.

Да, так тоже можно, но у этого метода есть свои минусы. Во-первых придётся всегда и везде прописывать IP хоста. Во-вторых, если этот IP по какой-то причине изменится, придётся менять его во всех местах где он использовался. В общем, по-моему проще один раз настроить iptables чтобы по-умолчанию контейнеры были доступны только из локалки, а потом открывать порты по мере необходимости.

Подскажите хорошую практику передавать shh-key, ssh-agent в запущенный контейнер, для загрузки приватных репозиториев. Особенно интересует момент, если также присутствует ключевая фраза.

https://github.com/budtmo/docker-android
Ребят кто-то с этим контейнером работал? Запускается но почему-то не вижу эмулятор телефона.
Честно хз в чем траблы.

Пробовал на centos(виртуалка) - вроде ошибка проблемы есть, но что-то типа проблемы с KVM

emulator: CPU Acceleration: DISABLED
emulator: CPU Acceleration status: KVM requires a CPU that supports vmx or svm
emulator: ERROR: x86 emulation currently requires hardware acceleration!
Please ensure KVM is properly installed and usable.
CPU acceleration status: KVM requires a CPU that supports vmx or svm

Пробовал на mac - вроде там даже ошибок нет, но и мобилы не вижу

Честно не понимаю куда смотреть.

# egrep ‘(vmx|svm)’ /proc/cpuinfo

docker run --privileged -d -p 6080:6080 -p 5554:5554 -p 5555:5555 -e DEVICE="Samsung Galaxy S6" --name android

Недавно так запускал чисто посмотреть, все ок

Но на убунте