运行docker的主机，小心你的conntrack

docker的容器通常都是运行在内部网络，如果需要和外部通信通常都是通过NAT映射，进入的流量通过DNAT，出去的流量经过MASQ（一直特殊的SNAT）。所以主机上面会有很多iptables规则，为了追踪映射，linux提供了conntrack。

这些conntrack是有个数限制的，在centos下，查看最大conntrack个数通过：

# sysctl net.netfilter.nf_conntrack_max

查看当然conntrack个数

# sysctl net.netfilter.nf_conntrack_count

临时修改通过

# sysctl -w net.netfilter.nf_conntrack_max = 196608

永久修改通过/etc/sysctl.conf文件

net.ipv4.netfilter.ip_conntrack_max = 196608