POD seccomp错误之bpf_jit_limit问题

最新推荐文章于 2025-08-17 22:37:40 发布

原创

最新推荐文章于 2025-08-17 22:37:40 发布 · 1k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#linux #运维 #服务器

背景：

  pod在启动的时候报pod error loading seccomp filter into kernel error loading seccomp filter errno 524

问题的初步定位及处理

环境信息：
系统：Kylin v10 SP2

内核（宿主机、container)：4.19.90-25.21

K8S： v1.20.15

1、据报错信息查询到这个是一个seccomp内存泄露的问题

2、查看宿主机实际bpf_jit_limit内存分配使用

#cat /proc/vmallocinfo | grep bpf_jit | awk '{s+=$2} END {print s}'
67239936(64M)

3、查看宿主机bpf_jit_limit限制大小

#sysctl net.core.bpf_jit_limit 
33554432(32M)

4、问题原因

  此时问题原因已呈现，实际bpf_jit_limit使用大于bpf_jit_limit限制，导致了pod创建（pod删除后重建，container级别删除重建）失败

5、bpf_jit_limit配置最佳实践

lxc 
net.core.bpf_jit_limit = 300000000

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

qwjhq

关注关注

2
点赞
踩
5

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

kubernetes内核优化

weixin_44770684的博客

04-08

610

Linux 内核优化

linux 安全系列目录 - seccomp安全模块问题排查

yushuoqi的博客

11-03

2万+

seccomp是一种Linux内核特性，允许限制进程可以执行的系统调用，以增加应用程序的安全性。总的来说，libseccomp是一个强大的工具，可用于在Linux系统上实施安全策略，并限制应用程序的系统调用。

2 条评论您还未登录，请先登录后发表或查看评论

环境检查脚本

喝醉酒的小白

12-22

620

【代码】环境检查脚本。

docker非正常退出后，重启时报错error adding seccomp filter rule for syscall clone3

euler1983的专栏

05-15

3435

问题电脑合盖后，没有待机，电源耗尽关机。里边运行的docker没有正常退出，再开机时，容器启动不起来了，报错如下： docker: Error response from daemon: OCI runtime create failed: container_linux.go:349: starting container process caused "error adding seccomp filter rule for syscall clone3: permission denied":

docker 报错 error adding seccomp filter rule for syscall clone3

weixin_37763484的博客

04-22

825

error adding seccomp filter rule for syscall clone3

Linux云原生架构：从内核到分布式系统的进化之路

SEU123WW的博客

06-08

993

云原生架构正在彻底改变现代计算的面貌，而Linux作为这一切的基石，其内核也在经历前所未有的进化。从容器编排到服务网格，从无服务器计算到分布式存储，Linux内核通过**深度集成云原生技术**，为分布式系统提供了前所未有的性能和弹性。本章将深入探索Linux在云原生领域的演进，揭示内核如何支撑起庞大的分布式生态系统。

Cilium 1.7发布：Hubble UI、全集群网络策略、基于eBPF的Direct Server Return以及更多

Docker的专栏

02-20

2634

在这里，我们要向大家高兴地宣布，Cilium 1.7版本正式发布了！在本轮更新周期当中，由141位开发者组成的项目社区共完成了1551项提交，而且很多朋友是第一次为Cilium项目提交贡...

嵌入式仿真基础架构全解析：5大核心组件与依赖关系深度拆解

![嵌入式仿真基础架构全解析：5大核心组件与依赖关系深度拆解]...# 1. 嵌入式仿真基础架构概述嵌入式仿真基础架构是支撑复杂系统开发与验证的核心技术平台，其本质在于通过软件手段构建目标硬件的虚拟

信号处理独立栈配置秘籍：sigaltstack自定义栈分配，避免崩溃的终极手段

当进程接收到信号时，默认在当前线程的主栈上执行信号处理函数，若此时主栈已接近耗尽（如深度递归或大局部变量），极易引发**栈溢出**，导致程序崩溃甚至无法执行关键的错误恢复逻辑。尤其在高可靠性服务中，如...

linux 内核参数 rss,容器内核参数

weixin_32349577的博客

05-01

537

容器安全-内核参数？容器与宿主机共用内核，修改内核参数可能会影响到宿主机和其他容器。非特权容器大部分内核参数无法修改，可以修改的内核参数主要涉及到 IPC Namespace和Net Namespace,可修改内核参数需要满足3个条件docker白名单可命名空间化容器中可见docker白名单IPC Namespace kernel.msgmax kernel.msgmnb kernel.msgmn...

seccomp系统调用及示例

悟空看八戒烤熟了没的专栏c)4Upqt4SeVk

08-17

875

Linux的seccomp机制是一种系统调用过滤机制，通过BPF程序限制进程可执行的系统调用，提高安全性。它有两种模式：严格模式（仅允许read/write/exit等基础调用）和过滤模式（自定义允许的调用）。使用prctl或seccomp系统调用实现，可以构建沙箱环境，防止危险操作。示例展示了严格模式的使用和自定义BPF过滤器的创建方法，允许特定系统调用并拒绝其他调用。该机制广泛应用于容器、浏览器等需要强隔离的场景。

Linux之bpfjit(2)使用分析和mini-tcpdump实现

Once_day的回忆

04-13

4852

BPF（Berkeley Packet Filter）最初设计用于数据包过滤，即网络封包的捕获与筛选。随着时间的发展，BPF已经演变成为一个更加通用、功能强大的技术，尤其是在Linux内核中，它已经被扩展为eBPF（extended Berkeley Packet Filter）。BPF：最初的设计目的是提高网络封包处理的效率，通过在用户空间与内核空间之间提供一个灵活的数据包过滤机制。eBPF：是BPF的扩展版本，不仅能够进行数据包过滤，还能进行性能监控、网络监控、安全审计等多种功能。

启动docker报错

weixin_43852916的博客

06-01

1819

docker

docker 服务器挂掉Error: OCI runtime error: container_linux.go:345: starting container process caused “err

qq_41616955的博客

03-24

864

运行容器出现 Error: OCI runtime error: container_linux.go:345: starting container process caused "error adding seccomp filter rule for syscall bdflush: requested action matches default action of filter"解决办法在后面价格 --security-opt seccomp=unconfined。

docker进入容器报错OCI runtime exec failed: exec failed: unable to start container process: chdir to cwd (“

qq_39691492的博客

05-24

2861

解决进入docker容器报错OCI runtime exec failed: exec failed: unable to start container process: chdir to cwd ("/Xxx") set in config.json failed: no such file or directory: unknown

Docker 没有ping 命令exec failed: unable to start container process: exec: “ping“

12-18

1561

错误信息：unable to start container process: exec: “ping”: executable file not found in $PATH: unknown。

Docker报错OCI runtime exec failed: exec failed: unable to start container process: exec: “/bin/bash“解决

最新发布

09-19

<think> 嗯，用户这次的问题是关于解析两条BPF语句的含义。BPF是网络编程领域比较底层的技术，用户能提出具体指令的解析需求，说明应该有一定网络编程基础。让我注意到用户特别强调“参考站内引用”，但当前对话中并没有历史引用内容，可能是误用了模板。第一条语句BPF_STMT(BPF_LD + BPF_B + BPF_ABS, 0xFFFFF004)需要拆解： - BPF_LD表示加载操作，BPF_B指定操作字节长度，BPF_ABS说明是绝对偏移寻址 - 0xFFFFF004这个地址很特殊，在Linux内核中对应skb->len的存储位置 - 组合起来就是读取数据包长度到累加器第二条跳转指令BPF_JUMP(BPF_JMP+BPF_JEQ+BPF_K,4,0,12)： - BPF_JMP是跳转类型，BPF_JEQ表示相等判断，BPF_K说明比较常量 - 参数4是要比较的值，0和12分别对应真假跳转的偏移量 - 本质是在判断数据包长度是否等于4字节用户可能是开发网络过滤器时遇到了问题。这两条指令组合起来常用于检测特定长度的控制报文，比如ICMP或ARP。考虑到BPF指令的底层特性，用户或许需要更深入的解释偏移量计算原理。要补充说明的是，0xFFFFF004属于内核内存布局的保留区域，直接引用需要特别注意平台兼容性。12条指令的偏移量暗示了后续有复杂处理逻辑，典型的应用场景可能是识别802.1Q标签或特殊控制帧。最后生成的问题需要覆盖指令操作细节和应用场景，特别是那个魔数地址的官方文档指引很重要，可以节省用户查阅内核源码的时间。 </think> BPF语句是伯克利包过滤器（Berkeley Packet Filter）的底层指令，用于网络数据包过滤。下面逐条解析这两条语句： ### 1. `BPF_STMT(BPF_LD + BPF_B + BPF_ABS, 0xFFFFF004)` ```c /* 指令结构 */ BPF_STMT(操作码, 操作数) ``` - **操作码分解**： - `BPF_LD`：加载操作（Load） - `BPF_B`：操作字节长度（Byte，1字节） - `BPF_ABS`：绝对偏移寻址（从数据包头部开始计算偏移） - **操作数**：`0xFFFFF004` - 在Linux内核中，该地址是`skb->len`的存储位置（数据包长度值） - **语义**： > 从数据包内存的 **绝对偏移量 `0xFFFFF004` 处加载1字节数据** 到BPF累加器中。 > 实际用途：**获取当前网络数据包的长度值**（通过内核预定义的偏移量访问`skb->len`）[^1]。 --- ### 2. `BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, 4, 0, 12)` ```c /* 指令结构 */ BPF_JUMP(操作码, 比较值, 真跳转, 假跳转) ``` - **操作码分解**： - `BPF_JMP`：跳转操作（条件判断） - `BPF_JEQ`：等于比较（Jump if Equal） - `BPF_K`：使用常量作为比较对象（Constant） - **参数**： - `4`：比较的目标值（常量） - `0`：条件为真时跳过的指令数（0表示下一条） - `12`：条件为假时跳过的指令数 - **语义**： > 比较 **BPF累加器的值** 是否等于常量 `4`： > - 若相等，则 **跳过0条指令**（即继续执行下一条指令） > - 若不相等，则 **跳过12条指令**（大幅跳转，通常意味着丢弃包或结束处理）[^2]。 > 实际用途：**检测数据包长度是否为4字节**（常见于控制报文如ICMP、ARP等）。 --- ### 组合逻辑分析两条指令联合作用： 1. 第一条加载数据包长度到累加器 2. 第二条判断长度是否等于4： ```mermaid graph LR A[长度=4?] -->|是| B[继续后续过滤] A -->|否| C[跳过12条指令→丢弃包] ``` 典型场景：过滤非4字节的数据包（如丢弃无效控制报文）。 --- ### 附录：BPF关键常量含义 | 常量 | 值 | 含义 | |-------------|-----|--------------------------| | `BPF_LD` | 0x00 | 加载到累加器 | | `BPF_B` | 0x10 | 操作1字节（Byte） | | `BPF_ABS` | 0x20 | 绝对偏移寻址 | | `BPF_JMP` | 0x05 | 跳转指令 | | `BPF_JEQ` | 0x10 | 等于比较 | | `BPF_K` | 0x00 | 使用常量（非内存数据） |