POD seccomp错误之bpf_jit_limit问题

最新推荐文章于 2024-04-22 12:40:10 发布

qwjhq

最新推荐文章于 2024-04-22 12:40:10 发布

阅读量877

点赞数 2

文章标签： linux 运维服务器

本文链接：https://blog.youkuaiyun.com/qwjhq/article/details/136059936

版权

背景：

  pod在启动的时候报pod error loading seccomp filter into kernel error loading seccomp filter errno 524

问题的初步定位及处理

环境信息：
系统：Kylin v10 SP2

内核（宿主机、container)：4.19.90-25.21

K8S： v1.20.15

1、据报错信息查询到这个是一个seccomp内存泄露的问题

2、查看宿主机实际bpf_jit_limit内存分配使用

#cat /proc/vmallocinfo | grep bpf_jit | awk '{s+=$2} END {print s}'
67239936(64M)

3、查看宿主机bpf_jit_limit限制大小

#sysctl net.core.bpf_jit_limit 
33554432(32M)

4、问题原因

  此时问题原因已呈现，实际bpf_jit_limit使用大于bpf_jit_limit限制，导致了pod创建（pod删除后重建，container级别删除重建）失败

5、bpf_jit_limit

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

qwjhq

关注关注

2
点赞
踩
5

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

6.8 LIBBPF API（七，bpf_core_read.h 函数，定义，枚举）

从0到1，突破自己

05-28

326

bpf_core_read.h 函数，定义，枚举

docker非正常退出后，重启时报错error adding seccomp filter rule for syscall clone3

euler1983的专栏

05-15

3256

问题电脑合盖后，没有待机，电源耗尽关机。里边运行的docker没有正常退出，再开机时，容器启动不起来了，报错如下： docker: Error response from daemon: OCI runtime create failed: container_linux.go:349: starting container process caused "error adding seccomp filter rule for syscall clone3: permission denied":

2 条评论您还未登录，请先登录后发表或查看评论

kubernetes内核优化

weixin_44770684的博客

04-08

508

Linux 内核优化

环境检查脚本

喝醉酒的小白

12-22

551

【代码】环境检查脚本。

docker 报错 error adding seccomp filter rule for syscall clone3

最新发布

weixin_37763484的博客

04-22

710

error adding seccomp filter rule for syscall clone3

Linux之bpfjit(2)使用分析和mini-tcpdump实现

Once_day的回忆

04-13

4683

BPF（Berkeley Packet Filter）最初设计用于数据包过滤，即网络封包的捕获与筛选。随着时间的发展，BPF已经演变成为一个更加通用、功能强大的技术，尤其是在Linux内核中，它已经被扩展为eBPF（extended Berkeley Packet Filter）。BPF：最初的设计目的是提高网络封包处理的效率，通过在用户空间与内核空间之间提供一个灵活的数据包过滤机制。eBPF：是BPF的扩展版本，不仅能够进行数据包过滤，还能进行性能监控、网络监控、安全审计等多种功能。

bpf_jit_comp.rar_legacy

09-21

标题 "bpf_jit_comp.rar_legacy" 暗示了这是一个与Linux内核中的Berkeley Packet Filter（BPF）和Just-In-Time（JIT）编译相关的项目，并且可能涉及对旧版用户空间的支持。描述提到某些板卡需要在`/proc/cpuinfo`中...

BPF_1_4.zip_BPF_BPF_1_4_matlab bpf_匹配跟踪_目标匹配

07-15

BPF在视频跟踪中用来求解多目标匹配，最佳匹配优先的启发式算法

bpf_lpf.rar_BPF_LC b_LC滤波_PowerBuilder_lc滤波器

09-19

标题中的“bpf_lpf.rar_BPF_LC b_LC滤波_PowerBuilder_lc滤波器”表明这是一个关于使用PowerBuilder开发的LC滤波器设计工具，主要关注的是带通滤波器，尤其是低通（LC）滤波器的设计。在电子工程中，滤波器是一种...

linux 安全系列目录 - seccomp安全模块问题排查

yushuoqi的博客

11-03

2万+

seccomp是一种Linux内核特性，允许限制进程可以执行的系统调用，以增加应用程序的安全性。总的来说，libseccomp是一个强大的工具，可用于在Linux系统上实施安全策略，并限制应用程序的系统调用。

启动docker报错

weixin_43852916的博客

06-01

1765

docker

linux 内核参数 rss,容器内核参数

weixin_29605669的博客

05-01

730

容器安全-内核参数？容器与宿主机共用内核，修改内核参数可能会影响到宿主机和其他容器。非特权容器大部分内核参数无法修改，可以修改的内核参数主要涉及到 IPC Namespace和Net Namespace,可修改内核参数需要满足3个条件docker白名单可命名空间化容器中可见docker白名单IPC Namespace kernel.msgmax kernel.msgmnb kernel.msgmn...

docker 服务器挂掉Error: OCI runtime error: container_linux.go:345: starting container process caused “err

qq_41616955的博客

03-24

789

运行容器出现 Error: OCI runtime error: container_linux.go:345: starting container process caused "error adding seccomp filter rule for syscall bdflush: requested action matches default action of filter"解决办法在后面价格 --security-opt seccomp=unconfined。

docker进入容器报错OCI runtime exec failed: exec failed: unable to start container process: chdir to cwd (“

qq_39691492的博客

05-24

2635

解决进入docker容器报错OCI runtime exec failed: exec failed: unable to start container process: chdir to cwd ("/Xxx") set in config.json failed: no such file or directory: unknown

Docker报错OCI runtime exec failed: exec failed: unable to start container process: exec: “/bin/bash“解决