синий тег намекает да ?

Всем привет!

Почему-то, в каких-то непонятных случаях контейнеры не пробрасываются в интернет. docker-proxy работает, пакеты на порт идут (проверял через tcpdump), а вот в контейнер пакеты не идут. В логе вижу вот такие сообщения

Jun  8 11:02:07 he-spu-rikka-s01 dockerd[10748]: time="2020-06-08T11:02:07.023738863+03:00" level=warning msg="failed to delete process" container=76644b6e814cc1b41ff03e0940a46d6d1257dcc65485f1bdb6b9d6868a4cd5e0 error="process 583fb364c4b1b010f7d7f23ab2cd9c1bb87e54f4c6adece863ac615ab0c9f53c does not exist: not found" module=libcontainerd namespace=moby process=583fb364c4b1b010f7d7f23ab2cd9c1bb87e54f4c6adece863ac615ab0c9f53c

При этом контейнер работает нормально. Использовался userns-remap.
После пары ребутов сервиса контейнер начинает работать, но может фантомно вырубиться (именно сетка, сам контейнер стабильно работает). Куда копать?

Jun  8 11:02:07 he-spu-rikka-s01 dockerd[10748]: time="2020-06-08T11:02:07.023738863+03:00" level=warning msg="failed to delete process" container=76644b6e814cc1b41ff03e0940a46d6d1257dcc65485f1bdb6b9d6868a4cd5e0 error="process 583fb364c4b1b010f7d7f23ab2cd9c1bb87e54f4c6adece863ac615ab0c9f53c does not exist: not found" module=libcontainerd namespace=moby process=583fb364c4b1b010f7d7f23ab2cd9c1bb87e54f4c6adece863ac615ab0c9f53c

проброс порта через нат есть?
конфиг контейнера где?
есть ли пакеты если отправлять из самого контейнера?

> проброс порта через нат есть?
Как проверить?
>  конфиг контейнера где?
Конфиг докера? Немного не понимаю, о чем вы.
> есть ли пакеты если отправлять из самого контейнера?
Всякие телеграм боты ВРОДЕ КАК себя чувствуют прекрасно. Проверю, на всякий случай

проброс - для выхода контейнера в мир на роутере/маршрутизаторе должен быть проброс нужного порта на ip тачки с дотером.
конфиг - docker-compose / dockerfile или команда запуска контейнера.

Опять же, повторюсь - иногда после ребута начинает работать. Почему так происходит я вообще не понимаю.

Проблема именно не в докерфайле, это распространяется на все контейнеры. Вот пример скрипта для запуска сервера minecraft:

docker run -d --restart always -m 2048m -c 256 -e EULA=TRUE -p 25577:25577 -e OPS=kiriharu -e ONLINE_MODE=FALSE -e SERVER_NAME="Catspace minecraft server! Te    sting.." -e MOTD='Catspace test server.' -e SERVER_PORT=25577 --name mc_vanilla_without_storage itzg/minecraft-server

Еще там сервер terraria стоит. Иногда после его запуска такая же проблема, решается либо многократным удалением-созданием контейнера, либо многократным рестартом сервиса

Я уже думаю делать ишью на гитхабе ибо на виртуалке все работает прекрасно. Правда не знаю как более точно передать мою проблему.

>проброс - для выхода контейнера в мир на роутере/маршрутизаторе должен быть проброс нужного порта на ip тачки с дотером.

Если я всё понял, то в качестве фаервола использую ufw, нужные порты открыты.

проверь iptables, хотя больше похоже на нехватку ресурсов, вопрос только где.

либо ресурсы тачки, вероятнее всего диск просидает либо проц.
Еще вариант что роутер через который ты гоняеш трафик не успевает отрабатывать твои хотелки

Ой, это точно нет.

Стоит zabbix агент, алерты настроены. На данный момент всего юзается 2гб оперативы из 32гб, про проц я молчу. Алерты не стреляли с момента установки агента, сейчас проверил графики - всё ок.


На что именно в iptables нужно обратить внимание?

Сервер на hetzner стоит, не думаю что там проблема.

бывает путают udp и tcp порты, тут в зависимости что нужно майнкрафту, если правильно помню tcp.

по фаерволу смотри порядок исполнения правил нат. часто про это забывают.

также если юзаешь софтроутер  то надо быть готовым что некоторые покеты софта будут восприниматься на invaild

Да, кубачу нужен tcp.

>по фаерволу смотри порядок исполнения правил нат. часто про это забывают.
Как именно это смотреть?

>также если юзаешь софтроутер  то надо быть готовым что некоторые покеты софта будут восприниматься на invaild
Именно на фаерволе?

А докер же добавляет правила в iptables для роутинга пакетов в контенер, да?

По поводу софтроутера, что за него может считаться? Немного не понимаю.

как смотреть читай документацию по своему роутеру, я не парюсь, у меня микротик.

определение как invaild может быть на некотором софте, в частности видел проблемы где пакеты были модифицированы

судя из документации да, но проверить лишним не будет

Опять же, роутера у меня нет. У меня просто сервак на хетзнере.