我想到了。当您使用SSH连接到计算机并使用X11转发时,/ tmp / .X11-unix 不用于X通信,并且不需要与$ XSOCK相关的部分。
任何X应用程序都使用$ DISPLAY中的主机名(通常为“ localhost”)并使用TCP进行连接。然后将其通过隧道传输回SSH客户端。在将“
–net host”用于Docker时,Docker容器的“ localhost”与Docker主机相同,因此可以正常工作。
如果不指定“ –net host”,则Docker使用默认的网桥网络模式。 这意味着“ localhost”在容器内部的含义不同于主机
,而容器内部的X应用程序将无法通过引用“ localhost”看到X服务器。因此,为了解决此问题,必须用主机的实际IP地址替换“
localhost”。通常为“ 172.17.0.1”或类似的值。检查“ ip addr”的“ docker0”接口。
可以使用sed替换来完成:
DISPLAY=`echo $DISPLAY | sed 's/^[^:]*(.*)/172.17.0.11/'`
此外,SSH服务器通常未配置为接受与此X11隧道的远程连接。然后必须通过编辑 / etc / ssh / sshd_config
(至少在Debian中)并设置来更改此设置:
X11UseLocalhost no
然后重新启动SSH服务器,然后使用“ ssh -X”重新登录到该服务器。
差不多了,但是还有一个复杂之处。如果Docker主机上正在运行任何防火墙,则必须打开与X11隧道关联的TCP端口。端口号是 : 和之间的数字
。 在$ DISPLAY中添加到6000。
要获取TCP端口号,可以运行:
X11PORT=`echo $DISPLAY | sed 's/^[^:]*:([^.]+).*/1/'`TCPPORT=`expr 6000 + $X11PORT`
然后(如果使用 ufw 作为防火墙),在172.17.0.0子网中为Docker容器打开此端口:
ufw allow from 172.17.0.0/16 to any port $TCPPORT proto tcp
所有命令可以一起放入脚本中:
XSOCK=/tmp/.X11-unixXAUTH=/tmp/.docker.xauthxauth nlist $DISPLAY | sed -e 's/^..../ffff/' | sudo xauth -f $XAUTH nmerge -sudo chmod 777 $XAUTHX11PORT=`echo $DISPLAY | sed 's/^[^:]*:([^.]+).*/1/'`TCPPORT=`expr 6000 + $X11PORT`sudo ufw allow from 172.17.0.0/16 to any port $TCPPORT proto tcp DISPLAY=`echo $DISPLAY | sed 's/^[^:]*(.*)/172.17.0.11/'`sudo docker run -ti --rm -e DISPLAY=$DISPLAY -v $XAUTH:$XAUTH -e XAUTHORITY=$XAUTH name_of_docker_image
假设您不是root用户,因此需要使用sudo。
代替
sudo chmod 777 $XAUTH,您可以运行:
sudo chown my_docker_container_user $XAUTHsudo chmod 600 $XAUTH
如果他们知道您创建了/tmp/.docker.auth文件的内容,则可以防止服务器上的其他用户也能够访问X服务器。
我希望这会使它在大多数情况下都能正常工作。
