/usr/bin/containerd: Operation not permitted

最新推荐文章于 2024-05-31 14:29:50 发布
原创 最新推荐文章于 2024-05-31 14:29:50 发布 · 664 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#eureka #云原生 #docker

博客记录了Docker程序重启失败的问题,通过查看日志发现关键错误信息为Failed at step LIMITS和status=205/LIMITS。排查系统最大打开文件数等设置后,参考网友解答,修改docker.service和containerd.service相关配置项,重新加载systemd配置并重启Docker解决问题。

问题
今天在重启docker程序的时候一直启动不起来,通过systemctl status docker和jourctl -xu docker也没有发现什么有用的报错信息,无奈只好查看/var/log/message,发现以下错误提示:

Started containerd container runtime
Starting Docker Application Container Engine...
Failed at step LIMITS spawning /usr/bin/containerd: Operation not permitted
containerd.service: main process exited, code=exited, status=205/LIMITS
Unit containerd.service entered failed state.
containerd.service failed.

其中最为关键的信息是
Failed at step LIMITS和status=205/LIMITS,两个Limits信息

解决过程
看到有limits报错提示,本身的想到是不是系统ulimits和sysctl.conf里面的最大打开文件数是不是不够,查看以下信息:

ulimit -n
65535
sysctl -a|grep fs.nr_open
fs.nr_open = 65535

发现这两处都已经配置了,再查看一下当年已经打开的文件数

lsof -Ki|wc -l

发现打开的文件数也没有超过系统设置的上限
百度搜索网友的解答说是docker.service、containerd.service里面有一项配置不能超过系统的配置
1、修改 /usr/lib/systemd/system/docker.service

LimitNOFILE、 LimitNPROC、LimitCORE这三个选项的值都改成65535

LimitNOFILE=65535
LimitNPROC=65535
LimitCORE=65535

2、修改/usr/lib/systemd/system/containerd.service
将LimitNOFILE、 LimitNPROC、LimitCORE、TasksMax这三个选项的值都改成65535

LimitNOFILE=65535
LimitNPROC=65535
LimitCORE=65535
TasksMax=65535

然后重新加载systemd配置再重启docker就可以了

登录后复制 
systemctl daemon-reload
systemctl restart docker

 

wchbest
关注
docker 中遇到fork/exec /bin/sh: operation not permitted错误
qq_41763749的博客
05-21 4388
Docker中运行fork的go程序时 /* UTS Namespace主要用来隔离nodename和domainname两个系统标识。在UTS namespace里,每个namespace允许有自己的hostname。 系统API 中的clone()创建新的进程。根据填入的参数来判断哪些namesapce会被创建,而且它们的子进程也会被包含到这些namespace中。 */ package main import ( "os/exec" "syscall" "os" "log" ) fun
Linux chmod命令 修改文件权限被禁止(not permitted)的解决办法
热门推荐
Bingorl的博客
03-08 5万+
这里写自定义目录标题解决方法chattr的用法chattr +i /etc/fstabchattr +a /data1/user_act.log 解决方法 在Linux环境下,修改文件时以外导致文件没有权限读取和修改,在修改相关文件/usr/bin/docker的属性的时 chmod 777 /usr/bin/containerd chmod: changing permissions of `/usr/bin/containerd': Operation not permitted 此时,可以通过 ch
容器运行时Containerd基础
记录有价值的内容
03-24 1346
本文目录: 一、安装Containerd 二、运行一个busybox镜像 三、创建CNI网络 四、使containerd容器具备网络功能 五、与宿主机共享目录 六、与其它容器共享ns 七、docker/containerd并用 一、安装Containerd 本地安装Containerd: yum install -y yum-utilsyum-config-manager --add-repo https://download.docker.com/linux/centos/...
Containerd组件 —— containerd-shim-runc-v2作用
2301_78834737的博客
07-04 2009
通过《浅析开源容器标准——OCI》、《浅析容器运行时》和《浅析Kubernetes CRI》这三篇博文我们了解了容器标准OCI、容器运行时以及Kubernetes CRI,在本文以当前最火的容器运行时containerd为例,讲解下它是如何运行和管理容器进程的。在讲解containerd是如何运行和管理容器进程前,先通过简单说下Kubelet + CRI + OCI工作流程以回顾下上面三篇博文的内容。Kubelet在节点上接收到Pod的定义(Pod调度到当前节点上)。
MAC /usr/bin/目录下 Operation not permitted的解决
未名湖917号的博客
04-25 2万+
mac系统下的Rootless机制,让我们在root权限下也不能随心所欲的读写所有路径了,特殊情况下我们需要关闭Rootless时,可尝试如下操作: 1. 重启按住 Command+R,进入恢复模式,打开Terminal。 2. 键入命令 csrutil disable 3. reboot Rootless机制是对抗恶意程序的最后防线,除非特殊需要时我们才将其关闭,否则保持开启状态csrut
docker运行centos提示Operation not permitted
七夜的博客
05-31 1673
在运行centos镜像的时候加上--privileged参数。
Docker中Mysql报 mbind: Operation not permitted
weixin_46574815的博客
04-07 1798
配置dockers-compose.yml参数(这个方案首先需要你安装的有docker-compose才能使用)我们在docker中安装的mysql运行时报 mbind: Operation not permitted。在启动的命令后面添加 --security-opt seccomp=unconfined 忽略安全验证。这是Docker的Seccomp安全限制问题。
Docker 启动容器遇到 operation not permitted 错误的解决
xchenhao 的博客
04-22 8503
Docker 启动容器遇到 operation not permitted 错误的解决
docker导入镜像报错:docker symlink usr/bin /bin: operation not permitted
zollty的专栏
12-30 735
docker导入镜像报错:docker symlink usr/bin /bin: operation not permitted 修改Docker存储地址后,如上报错。 deamon.json配置如下 { "data-root": "/tmp/usb/sda/sda1/docker" } 我这边的**原因是:挂载的磁盘格式(exfat/NTFS等)不兼容overlay2**
mac下 docker 挂载目录权限问题(operation not permitted)
sunjindeng123的博客
10-25 1万+
docker run 或者 docker-compose.yml 添加privileged:true,privileged的含义是让容器内的root拥有真正root用户的权限,否则它只是一个名为root的普通用户。 但是在macos下,即使给到privileged参数,但是由于macos下有个sip安全机制(系统完整性保护),【以下为苹果官方介绍sip】 sip是 OS X El Capitan 及更高版本所采用的一项安全技术,旨在帮助防止潜在恶意软件修改 Mac 上受保护的文件和文件夹。系统完整性保护
云原生】解决在Windows上在docker内启动dockerOperation not permitted
zxln007的博客
03-10 4055
然后我们进入到该容器内,用 docker-compose 命令启动所有其他容器。现在我们用一个命令先启动 all-in-one 容器,该容器挂载了。docker-compose.yml 部分配置如下。容器,在容器内将项目所有其他容器启动。postgresql 也有类似的报错。位于all-in-one容器内。例如启动redis 的报错。这样挂载后,就都可以起来了。
Mac OS操作/usr/bin目录时报“Operation not permitted”的问题
培根芝士的专栏
04-09 7992
Rootless机制是OSX10.11之后发布的一个内核保护措施,用来对抗恶意程序的破坏。系统默认会锁定/system、/sbin、/usr三个目录,即便设置 root 权限同样不可以。 重启按住 Command+R,进入恢复模式,在菜单栏中打开Terminal。 查看Rootless是否开启 csrutil status 关闭 Rootless csrutil disable 开...
Docker 解决Operation not permitted问题
contiguous的博客
11-02 7804
解决Docker中安装PHP扩展包没有权限的问题
dockerdocker-compose无权限
下半夜的风
06-30 3216
确保服务器是真的已经安装成功了dockerdocker-compose,可执行版本信息打印确认,控制台有输出即正确安装。做以上两个查询的目的是确保你需要操作的服务器用户是存在的以及docker用户组是否存在。执行:cat /etc/passwd。执行: cat /etc/group。
使用docker-compose安装es出现这个问题:-bash: /usr/local/bin/docker-compose: 权限不够
wysmh520的博客
12-23 6903
使用如下命令就可以了 chmod +x /usr/local/bin/docker-compose
docker无法启动报错start docker Failed at step EXEC spawning /usr/bin/containerd
guoshaoliang789的专栏
01-17 4094
docker无法启动报错start docker Failed at step EXEC spawning /usr/bin/containerd。1、首先看一下二进制安装docker的路径/usr/local/bin。找不到/usr/bin/dockerd文件。然后新添加docker.service。对于旧的docker启动文件进行删除。
终端中出现While executing gem ... (Errno::EPERM) Operation not permitted - /usr/bin/pod错误的修改方法...
weixin_34183910的博客
07-08 237
把输入终端的sudo gem install cocoapods改为 sudo gem install -n /usr/local/bin/ cocoapods即可 转载于:https://www.cnblogs.com/Yun-Longcom/p/5653131.html
报错资源不足,k8s使用containerd运行容器修改挂载点根目录换成/home
本作者:想花
11-15 720
发现这里用的是根路径的挂载,修改一下。运行k8s一段时间发现存储不足报错。
docker 启动报错 Operation not permitted
一名数据库爱好者的专栏
02-07 1768
docker 启动报错
/usr/bin/ossutil: Operation not permitted
最新发布
04-28
### 解决方案 当遇到 `ossutil` 权限问题(Operation not permitted),通常是因为文件系统的权限设置不当或者挂载选项配置错误所致。以下是可能的原因分析以及对应的解决方法: #### 1. 文件系统权限不足 如果目标路径的权限不足以让当前用户执行操作,则可能会触发此错误。 - **验证权限** 使用以下命令检查目标目录的权限: ```bash ls -ld /path/to/mountpoint ``` - **调整权限** 如果发现权限不足,可以尝试修改目录权限: ```bash chmod 755 /path/to/mountpoint chown user:usergroup /path/to/mountpoint ``` 这里的 `user` 和 `usergroup` 是实际使用的用户名和组名[^1]。 #### 2. 挂载参数不正确 OSSFS 的挂载参数如果不正确也可能引发权限问题。例如,默认情况下某些挂载模式会限制非 root 用户的操作。 - **重新挂载并指定允许所有用户的选项** 添加 `-o allow_other` 参数来确保其他用户也可以访问该挂载点: ```bash ossfs bucket-name mount-point -o url=http://your-endpoint -o allow_other ``` - **启用更宽松的安全策略** 可以通过增加 `uid`, `gid` 或者 `mp_umask` 参数进一步控制权限分配: ```bash ossfs bucket-name mount-point -o uid=1000,gid=1000,umask=0022 ``` #### 3. FUSE 版本兼容性问题 FUSE 库的不同版本可能导致功能差异或冲突,从而影响权限管理逻辑。 - **检查已安装的 FUSE 版本** 执行如下命令获取当前系统中的 libfuse 版本号: ```bash ldd $(which ossfs) | grep fuse && ls -l /lib*/libfuse* ``` - **更新至最新稳定版** 若检测到旧版本库存在,请升级到支持更高性能与安全性的新版本: 对于基于 RPM 的发行版可运行 yum/apt-get 更新指令;对于源码编译环境则需下载官方发布包完成替换过程[^1]。 #### 4. SELinux/AppArmor 干扰 有时强制开启的安全模块也会阻止正常的数据读写行为。 - **临时禁用SELinux测试效果** 将 `/etc/selinux/config` 中的 `SELINUX=enforcing` 改成 permissive 后重启服务观察现象变化情况。 - **永久排除特定路径不受保护机制约束** 创建自定义规则文件如 `/etc/apparmor.d/local/usr.sbin.mysqld` ,加入类似下面的内容后再加载生效: ```plaintext /mnt/oss/** rwk, ``` --- ### 示例代码片段 以下是一个完整的脚本用于排查及修复常见的 OSSFS/OssUtil 权限相关问题: ```bash #!/bin/bash # Step A: Verify Mount Point Permissions MOUNT_POINT="/path/to/mount" if [[ ! -w "$MOUNT_POINT" ]]; then echo "Mount point is NOT writable by current user." sudo chmod u+w "$MOUNT_POINT" fi # Step B: Check LibFuse Version Compatibility LIB_FUSE=$(ldd "$(command -v ossfs)" | grep fuse || true) echo "Linked Fuse Library Info: $LIB_FUSE" # Optional C: Remount with Allow Other Option Enabled sudo umount "${MOUNT_POINT}" &>/dev/null; \ sudo mkdir -p "${MOUNT_POINT}"; \ sudo ossfs your-bucket-name "${MOUNT_POINT}" -o allow_other,url=https://endpoint & ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值