在通过 SSH 连接的服务器上可靠地运行 Docker 容器中的 X 应用程序，而无需“--net 主机”

Question

如果没有 Docker 容器，使用 SSH X11 转发 (ssh -X) 在远程服务器上运行 X11 程序很简单。当应用程序在服务器上的 Docker 容器内运行时，我试图让同样的事情正常工作。当使用 -X 选项通过 SSH 连接到服务器时，会设置 X11 隧道，并且环境变量“$DISPLAY”会自动设置为通常为“localhost:10.0”或类似的值。如果我只是尝试在 Docker 中运行 X 应用程序，我会收到以下错误：

Error: GDK_BACKEND does not match available displays

我的第一个想法是使用“-e”选项将 $DISPLAY 实际传递到容器中，如下所示：

docker run -ti -e DISPLAY=$DISPLAY name_of_docker_image

这有帮助，但不能解决问题。错误信息变为：

Unable to init server: Broadway display type not supported: localhost:10.0
Error: cannot open display: localhost:10.0

在网上搜索后，我发现我可以做一些 xauth 魔法来修复身份验证。我添加了以下内容：

SOCK=/tmp/.X11-unix
XAUTH=/tmp/.docker.xauth
xauth nlist $DISPLAY | sed -e 's/^..../ffff/' | xauth -f $XAUTH nmerge -
chmod 777 $XAUTH
docker run -ti -e DISPLAY=$DISPLAY -v $XSOCK:$XSOCK -v $XAUTH:$XAUTH \ 
  -e XAUTHORITY=$XAUTH name_of_docker_image

但是，这仅在将“--net host”添加到 docker 命令时才有效：

docker run -ti -e DISPLAY=$DISPLAY -v $XSOCK:$XSOCK -v $XAUTH:$XAUTH \ 
  -e XAUTHORITY=$XAUTH --net host name_of_docker_image

这是不可取的，因为它使整个主机网络对容器可见。

为了让它在没有“--net 主机”的 docker 中的远程服务器上完全运行，现在缺少什么？

Answer 1

如果您设置X11UseLocalhost = no，您甚至允许外部流量到达 X11 套接字。即定向到机器外部IP的流量可以到达SSHD X11转发。还有两种可能适用的安全机制（防火墙、X11 身份验证）。不过，如果您正在处理像这种情况下的用户甚至应用程序特定问题，我更愿意单独留下 系统全局设置。

---

这是在 sshd 配置中更改 X11UseLocalhost 的替代方法：

                                           + docker container net ns +
                                           |                         |
           172.17.0.1                      |   172.17.0.2            |
        +- docker0 --------- veth123@if5 --|-- eth0@if6              |
        |  (bridge)          (veth pair)   |   (veth pair)           |
        |                                  |                         |
        |  127.0.0.1                       +-------------------------+
routing +- lo
        |  (loopback)
        |
        |  192.168.1.2
        +- ens33
           (physical host interface)

使用默认的X11UseLocalhost yes，sshd 在根网络命名空间上侦听127.0.0.1。我们需要从 docker 网络命名空间内部获取 X11 流量到根网络 ns 中的环回接口。 veth 对连接到docker0 网桥，因此两端可以在没有任何路由的情况下与 172.17.0.1 通信。根网ns中的三个接口（@98​​7654327@、lo和ens33）可以通过路由进行通信。

我们要实现以下目标：

                                           + docker container net ns +
                                           |                         |
           172.17.0.1                      |   172.17.0.2            |
        +- docker0 --------< veth123@if5 --|-< eth0@if6 -----< xeyes |
        |  (bridge)          (veth pair)   |   (veth pair)           |
        v                                  |                         |
        |  127.0.0.1                       +-------------------------+
routing +- lo >------- sshd -+
           (loopback)        |
                             v
           192.168.1.2       |
           ens33 ------<-----+
           (physical host interface)

我们可以让 X11 应用程序直接与172.17.0.1 对话以“逃离”docker net ns。这是通过适当设置DISPLAY 来实现的：export DISPLAY=172.17.0.1:10:

                                           + docker container net ns+
                                           |                         |
           172.17.0.1                      |   172.17.0.2            |
           docker0 --------- veth123@if5 --|-- eth0@if6 -----< xeyes |
           (bridge)          (veth pair)   |   (veth pair)           |
                                           |                         |
           127.0.0.1                       +-------------------------+
           lo
           (loopback)
         
           192.168.1.2
           ens33
           (physical host interface)

现在，我们在根网 ns 中添加一个 iptables 规则，从 172.17.0.1 路由到 127.0.0.1：

iptables \
  --table nat \
  --insert PREROUTING \
  --proto tcp \
  --destination 172.17.0.1 \
  --dport 6010 \
  --jump DNAT \
  --to-destination 127.0.0.1:6010

sysctl net.ipv4.conf.docker0.route_localnet=1

也许您可以通过仅路由来自该容器（veth 端）的流量来改进这一点。另外，老实说，我不太确定为什么需要route_localnet。 127/8 似乎是一个奇怪的数据包源/目标，因此默认情况下禁用路由。您可能还可以将流量从 docker net ns 内的环回接口重新路由到 veth 对，然后从那里重新路由到根网络 ns 中的环回接口。

使用上面给出的命令，我们最终得到：

                                           + docker container net ns +
                                           |                         |
           172.17.0.1                      |   172.17.0.2            |
        +- docker0 --------< veth123@if5 --|-< eth0@if6 -----< xeyes |
        |  (bridge)          (veth pair)   |   (veth pair)           |
        v                                  |                         |
        |  127.0.0.1                       +-------------------------+
routing +- lo
           (loopback)

           192.168.1.2
           ens33
           (physical host interface)

但是，现在我们正尝试以172.17.0.1:10 的身份访问 X11 服务器。这不会在 x 授权文件 (~/.Xauthority) 中找到条目，通常类似于 <hostname>:10。使用 Ruben 的建议在 docker 容器中添加一个可见的新条目：

xauth add 172.17.0.1:10 . <cookie>

其中<cookie> 是 SSH X11 转发设置的 cookie，例如通过xauth list。

您可能还必须在防火墙中允许进入172.17.0.1:6010 的流量。

---

您还可以从 docker 容器网络命名空间内的主机启动应用程序：

sudo nsenter --target=<pid of process in container> --net su - $USER <app>

没有su，您将以root 身份运行。当然，你也可以使用另一个容器，共享网络命名空间：

sudo docker run --network=container:<other container name/id> ...

上面显示的 X11 转发机制适用于整个网络命名空间（实际上，适用于连接到 docker0 网桥的所有内容）。因此，它适用于容器网络命名空间内的任何应用程序。

Answer 2

就我而言，我坐在“远程”并连接到“docker_host”上的“docker_container”：

远程 --> docker_host --> docker_container

为了使用 VScode 更轻松地调试脚本，我将 SSHD 安装到“docker_container”中，报告端口 22，映射到“docker_host”上的另一个端口（比如 1234）。

所以我可以通过 ssh（来自“远程”）直接连接正在运行的容器：

ssh -Y -p 1234 appuser@docker_host.local

（其中appuser 是“docker_container”中的用户名。我现在在本地子网中工作，所以我可以通过 .local 映射引用我的服务器。对于外部 IP，只需确保您的路由器映射到这个端口到这台机器。）

这会通过 ssh 直接从我的“远程”创建到“docker_container”的连接。

远程 --> (ssh) --> docker_container

在“docker_container”里面，我安装了sshd sudo apt-get install openssh-server（您可以将其添加到您的 Dockerfile 以在构建时安装）。

要允许 X11 转发工作，请编辑 /etc/ssh/sshd_config 文件：

X11Forwarding yes
X11UseLocalhost no

然后重新启动容器内的 ssh。您应该从执行到容器中的 shell 执行此操作，从“docker_host”，而不是当您通过 ssh 连接到“docker_container”时：(docker exec -ti docker_container bash)

重启sshd： sudo service ssh restart

当您通过 ssh 连接到“docker_container”时，请检查 $DISPLAY 环境变量。它应该说类似

appuser@3f75a98d67e6:~/data$ echo $DISPLAY
3f75a98d67e6:10.0

通过 ssh 从“docker_container”中执行您最喜欢的 X11 图形程序进行测试（如 cv2.imshow()）

Answer 3

我想通了。当您通过 SSH 连接到计算机并使用 X11 转发时，/tmp/.X11-unix 不用于 X 通信，并且与 $XSOCK 相关的部分是不必要的。

任何 X 应用程序都使用 $DISPLAY 中的主机名，通常是“localhost”并使用 TCP 连接。然后通过隧道返回到 SSH 客户端。在 Docker 中使用“--net host”时，Docker 容器的“localhost”与 Docker 主机相同，因此可以正常工作。

当不指定“--net host”时，Docker 使用默认的桥接网络模式。 这意味着“localhost”意味着容器内的其他东西而不是主机，容器内的X应用程序将无法通过引用“localhost”看到X服务器。因此，为了解决这个问题，必须将“localhost”替换为主机的实际 IP 地址。这通常是“172.17.0.1”或类似的。检查“docker0”接口的“ip addr”。

这可以通过 sed 替换来完成：

DISPLAY=`echo $DISPLAY | sed 's/^[^:]*\(.*\)/172.17.0.1\1/'`

此外，SSH 服务器通常不配置为接受到此 X11 隧道的远程连接。然后必须通过编辑 /etc/ssh/sshd_config（至少在 Debian 中）和设置来更改：

X11UseLocalhost no

然后重启SSH服务器，使用“ssh -X”重新登录服务器。

差不多就是这样，但还有一个复杂的问题。如果 Docker 主机上正在运行任何防火墙，则必须打开与 X11 隧道关联的 TCP 端口。端口号是 $DISPLAY 中 : 和 . 之间的数字加上 6000。

要获取 TCP 端口号，可以运行：

X11PORT=`echo $DISPLAY | sed 's/^[^:]*:\([^\.]\+\).*/\1/'`
TCPPORT=`expr 6000 + $X11PORT`

然后（如果使用 ufw 作为防火墙），为 172.17.0.0 子网中的 Docker 容器打开此端口：

ufw allow from 172.17.0.0/16 to any port $TCPPORT proto tcp

所有命令都可以放在一个脚本中：

XSOCK=/tmp/.X11-unix
XAUTH=/tmp/.docker.xauth
xauth nlist $DISPLAY | sed -e 's/^..../ffff/' | sudo xauth -f $XAUTH nmerge -
sudo chmod 777 $XAUTH
X11PORT=`echo $DISPLAY | sed 's/^[^:]*:\([^\.]\+\).*/\1/'`
TCPPORT=`expr 6000 + $X11PORT`
sudo ufw allow from 172.17.0.0/16 to any port $TCPPORT proto tcp 
DISPLAY=`echo $DISPLAY | sed 's/^[^:]*\(.*\)/172.17.0.1\1/'`
sudo docker run -ti --rm -e DISPLAY=$DISPLAY -v $XAUTH:$XAUTH \
   -e XAUTHORITY=$XAUTH name_of_docker_image

假设您不是 root，因此需要使用 sudo。

代替sudo chmod 777 $XAUTH，你可以运行：

sudo chown my_docker_container_user $XAUTH
sudo chmod 600 $XAUTH

防止服务器上的其他用户在知道您创建 /tmp/.docker.auth 文件的目的时也能够访问 X 服务器。

我希望这应该使它在大多数情况下都能正常工作。