我在 docker 中启用 IPv6 时遇到了严重的问题。

环境

• 主机正在运行 Debian Jessie。
• 它是一个虚拟服务器 (KVM)。
• eth0 在像 w:xy:z::/64 这样的网络中有一个像 w:x:y:z::1 这样的静态配置地址，它是由我的托管公司分配给我的。
• 我的主机能够毫无问题地使用 IPv6：Ping 外部世界有效，可以通过 ipv6 访问在容器上运行的网站（端口 80 绑定到主机：80）。

问题

但是，我无法从容器内访问外部世界！使用以下参数重新启动 docker 后，我的 docker0 网桥没有 IPv6 地址。也没有路由，也没有网关（没有 ipv6 地址就没有意义）。

我的 Docker 设置：Docker 是使用 DOCKER_OPTS 中的这些参数启动的

DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4 --ipv6 --fixed-cidr-v6=w:x:y:z:a::/80"

一些 ipv6 主机配置参数：

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.default.forwarding = 1

这是我自己创建的网络之一：

root@wopr:~# docker network inspect wopr6
[
    {
        "Name": "wopr6",
        "Id": "ddc192d4af2a8edc809975e84cf3e4cb82c24d4cfe970dd8e3fc7d6ff31e20ee",
        "Scope": "local",
        "Driver": "bridge",
        "EnableIPv6": true,
        "IPAM": {
            "Driver": "default",
            "Options": {},
            "Config": …

应用程序

我们有一个小型 Java 应用程序，它使用一些 Camel 路由从网络服务器获取上传的文件，处理它们并发送一些带有结果的电子邮件。

运行此应用程序的服务器已停用。现在我们必须在动力不足的硬件上运行它，因为我无法说服管理员在网络服务器（实际上是一个多用途服务器）上安装 JRE。

害怕

我自己是一名 Java 应用程序工程师，我以编写 JEE 代码为生，处理每周价值数万欧元的 B2B 交易。但是我在找到驳斥 java 本身不安全的神话的可靠来源时遇到了问题。

管理员反对安装 JRE 的两个主要论点：

1. Java 应用程序占用了我所有的 RAM
2. Java 漏洞百出

真相？

当涉及到占用内存的 Java 应用程序时。嗯...我想说我们必须为 Xmx 设置适当的值。完毕。

现在有很多消息来源在谈论 Java 的许多漏洞。这些来源主要针对运行来自美国雷德蒙德公司的特定操作系统的最终用户。AFAIK 对于配置为自动执行所有小程序的 Java 浏览器插件的未打补丁版本来说可能是真的，很有可能成为驱动感染的受害者。就像在上下班途中与火车上的每个人进行无保护性行为一样有感染性病的风险。

但是我在全球互联网上找不到任何人谈论服务器应用程序或无头运行的 JRE。那完全是另一回事。

或者我在这里遗漏了什么？

[edit 2014-08-28] 澄清：我只关心服务器上的 Java。我不关心 Java 插件和/或用 Java 开发的特定软件的问题。

我在 vServer 上运行 Debian 8。安装 docker 并启用 IPv6 后，我注意到一些奇怪的事情。不知道docker和这个有没有关系，只是安装后发现这个问题。

我的默认路由配置为在 ca 后过期。1800 秒。在此超时后，我实际上消失了。这是我（显然）松散 IPv6 连接的时候。

root@wopr:~#  ip -6 route
xxxx:yyyy:zzz:xxxx::/64 dev eth0  proto kernel  metric 256
fe80::/64 dev eth0  proto kernel  metric 256
fe80::/64 dev br-5c1ce68ea951  proto kernel  metric 256
fe80::/64 dev br-61f6bbfdbe87  proto kernel  metric 256
[a lot more routed for my docker containers]
default via fe80::1 dev eth0  proto ra  metric 1024  expires 1259sec hoplimit 64

为什么将路由配置为在 1800 秒后过期？我在哪里可以配置这个？

[编辑 2016-05-14 16:08]

手动添加默认路由似乎工作得很好。它保持原样。但是我需要在启动后有一个非过期的路由。

[编辑 2016-05-14 16:13]

该机器在 netcup.de …

情况： 我想通过 HTTPS 建立 SSH 会话隧道。我有一个非常严格的防火墙/代理，它只允许 HTTP、FTP 和 HTTPS 流量。

什么工作： 通过代理建立一个隧道到一个远程 linux 机器，在端口 443 上有一个 sshd 监听

问题： 我必须在端口 443 上运行一个 Web 服务器（轻量级）。代理禁止到其他端口的 HTTPS 流量。

到目前为止的想法： 设置虚拟主机并将所有传入请求代理到本地主机：（例如22）

$HTTP["host"] == "tunnel.mylinux.box" {                                         
    proxy.server = (                                                            
        "" => (("host" => "127.0.0.1", "port" => 22))                           
    )                                                                           
}

不幸的是，这行不通。我做错了什么，还是有原因，这行不通？