Podman 长期存在的一个问题是，您的 rootful 容器可能在一段时间后会失去网络连接。对于许多用户来说，可能不清楚是什么导致了这些问题。Netavark 配置 NAT 和端口转发防火墙规则。当其他进程删除我们的防火墙规则时，容器将失去连接。其中一个进程是 firewalld，当执行 firewall-cmd –reload 时，它将删除所有防火墙规则，然后仅添加 firewalld 已知的规则，导致 podman 容器无法连接。有趣的是，这个命令甚至可能不需要用户执行。某些应用程序在更新时会运行此命令，例如，dnf update 可能导致 firewalld 重新加载，这使得用户更难了解发生了什么。注意：从 firewalld 2.0 开始，它可能不再刷新所有规则，而只刷新 firewalld 特定的规则。

恢复规则的一种解决方案是简单地重启容器，因为所有必要的规则将在容器启动时添加。但是，这不可取，因为某些容器应用程序可能需要很长时间才能停止和/或启动。为了解决这个问题，Podman 很久以前添加了 podman network reload 命令。此命令删除然后重新添加网络配置。它最近运行良好，但仍然存在一个重大问题：该命令需要在规则丢失后显式执行。因此，它不会帮助那些不知道规则何时丢失的用户。

在 netavark v1.9.0 中，我们添加了一个名为 netavark-firewalld-reload.service 的新 systemd 服务，它应该能一劳永逸地解决这个问题。此服务运行一个小的 netavark 命令，该命令在 dbus 上监听 firewalld 重新加载事件。每次 firewalld 重新加载并刷新 netavark 防火墙规则时，都会发出此事件。如果收到该事件，该服务将重新添加所有 netavark 防火墙规则。

新的 systemd 服务的设计方式是，它只在 firewalld 自身也正在运行时才运行，这样除非需要，否则不会占用资源。以下展示了如何启用该服务的示例。

首先，我们启用该服务，注意启用并不一定意味着开机启动。对于我们的单元，我们添加了一个“想要” firewalld，这意味着该服务只有在 firewalld 启动时才会启动。这确保了在 firewalld 未使用或已停用的系统上，它不会不必要地运行。该服务在 firewalld 停止时也会停止。

$ sudo systemctl enable netavark-firewalld-reload.service
Created symlink /etc/systemd/system/firewalld.service.wants/netavark-firewalld-reload.service → /usr/lib/systemd/system/netavark-firewalld-reload.service.

现在，重启 firewalld 以查看我们的服务是否也随之启动。或者直接启动我们的服务，或者假设 firewalld 已启用，则重新启动。

$ sudo systemctl restart firewalld.service
$ sudo systemctl status netavark-firewalld-reload.service 
● netavark-firewalld-reload.service - Listen for the firewalld reload event and reapply all netavark firewall rules.
     Loaded: loaded (/usr/lib/systemd/system/netavark-firewalld-reload.service; enabled; preset: disabled)
    Drop-In: /usr/lib/systemd/system/service.d
             └─10-timeout-abort.conf
     Active: active (running) since Mon 2023-11-13 18:00:17 CET; 22s ago
   Main PID: 72763 (netavark)
      Tasks: 3 (limit: 38149)
     Memory: 15.4M
        CPU: 9ms
     CGroup: /system.slice/netavark-firewalld-reload.service
             └─72763 /usr/libexec/podman/netavark firewalld-reload

Nov 13 18:00:17 pholzing-fedora systemd[1]: Started netavark-firewalld-reload.service - Listen for the firewalld reload event and reapply all netavark firewall rules..

让我们启动一个简单的 Web 服务器，看看它是否正常工作。

$ sudo podman run -dt -p 8080:80 docker.io/library/nginx
52f2c11810d78f69287874e2469d4caec99176b583e378732cee4623cbd09476
$ curl -s 127.0.0.1:8080 | head -n4
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
$ sudo firewall-cmd --reload 
success
$ curl -s 127.0.0.1:8080 | head -n4
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>

如果没有该服务，在 firewalld 重新加载命令之后，curl 命令将一直挂起。这表明 netavark-firewalld-reload.service 实际上按照预期工作。

注意，这是一个 netavark 特定的功能，如果您仍然使用旧的 CNI 后端，它将无法工作。
尝试使用新服务，如果您遇到任何问题，请在 netavark github 仓库 上报告问题。