selinux导致docker启动失败

最新推荐文章于 2025-06-07 07:05:42 发布
最新推荐文章于 2025-06-07 07:05:42 发布
阅读量324 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 运维
原文链接:http://www.cnblogs.com/elisun/p/6963818.html
本文记录了一次Docker容器无法启动的问题排查经历。通过分析错误日志和系统配置,发现容器启动失败与SELinux状态变化有关。最终通过调整SELinux配置并重启系统解决了问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 问题描述:一向运行正常的一群容器,突然有一天挂掉了,再也起不来,报错如下

Error response from daemon: devmapper: Error mounting '/dev/mapper/docker-253:0-155266-97eaf4ba0669a6a8f010204b29e0ba923a35e93aa9c47d5bb2c7b14db4c4e619' on '/var/lib/docker/devicemapper/mnt/97eaf4ba0669a6a8f010204b29e0ba923a35e93aa9c47d5bb2c7b14db4c4e619': invalid argument
Error: failed to start containers: gocd-server

2. 问题解决过程

经过谷歌搜索,定位到一篇文章https://github.com/moby/moby/issues/29622,跟selinux有关,但是查看本机的selinux已经是disabled状态了。

经过寻找蛛丝马迹发现,在我们装完一个系统时,当我们的selinux状态是enforcing的时候,我们做的第一件事可能就是临时修改为permissive,而修改配置文件为disabled,在docker容器死掉之前发现系统被重启过一次,怀疑问题原因为重启前和重启后selinux状态不一致导致。

最后关于这个问题得出的结论是:在创建容器的时候selinux状态为permissive,而重启后selinux状态为disabled,导致容器创建时和启动时selinux上下文不一致,原先正常的容器启动失败。解决方法是修改配置文件为permissive,重启系统。

同时我们忽略了一个问题,permissive是一个中立的状态,但不代表它没有自己的态度。

# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.

转载于:https://www.cnblogs.com/elisun/p/6963818.html

SELinuxDocker 中的应用:如何配置容器安全
操作系统内核探秘的博客
07-16 653
本文旨在帮助开发者理解 SELinux 如何与 Docker 协同工作,解决容器安全隔离的痛点。我们将覆盖 SELinux 的基础概念、与 Docker 的集成方式、具体配置步骤,以及实际场景中的应用,确保读者能快速上手并应用到生产环境。本文从生活案例引出 SELinux 的作用,逐步解释核心概念(如上下文、策略),再结合 Docker 的安全机制,通过实战演示如何配置 SELinux 策略限制容器行为,最后总结常见问题和未来趋势。SELinux
selinux踩坑篇-docker容器无法启动
zing的博客
05-10 1125
问题概述 主机重启后,docker上的容器无法启动,报错如下 # docker restart nginx-proxy Error response from daemon: Cannot restart container nginx-proxy: error creating overlay mount to /var/lib/docker/overlay2/7431ad53435c5cb52cc24ecc7263b580d4087e2c25e0d4c4c14c577a32ad3607/merged:
Failed to install SELinux policy due to missing dependencies (policycoreutils-devel)
qwe122343的博客
10-10 2580
Failed to install SELinux policy due to missing dependencies (policycoreutils-devel).: Current locale settings are invalid
docker启动容器报错:container init caused \“write /proc/self/attr/keycreate: permission denied\““: unknown.
河静
03-02 1627
启动gitlab容器的时候,报如下错误: 关闭selinux即可
k8s jenkins启动后报挂载错误解决
gogo_b的博客
09-13 1290
k8s jenkins启动后报挂载错误解决
docker部署nginx时,挂载时报错文件不存在
05-19 1960
根本原因是由于docker不能挂载不存在的文件,因为本地还没有nginx.conf文件.所以只能先建立这些问题.2 , 先运行一份nginx作为测试,将里面的配置文件复制出来.复制完成之后,记得删除nginx。1 , 自己手写一份配置文件.
linux mysql安装,mysql安装的报错问题
mingzirenyichang的博客
06-06 1163
mysql安装
K8s学习-Docker启动失败
weixin_43169156的博客
04-01 4371
Docker启动失败 背景:在学习k8s集群时,不知道什么原因导致了node节点的状态变为了notReady,于是重启了虚拟机,重启之后就发现无法启动kubelet了。 伏笔:在之前的K8s文章中学习docker搭建镜像仓库时,编辑了/etc/docker/daemon.json文件 问题排查-journalctl -xefu kubelet 划重点:journalctl -xefu kubelet命令可以查看kubelet的运行日志。 使用journalctl -xefu kubelet命令看kubele
Docker容器启动失败:权限不足问题全解析
我是赛博AI Lewis
05-09 1383
启动Docker容器时,权限不足是常见问题,通常表现为“Permission denied”错误。主要原因包括SELinux限制、挂载目录权限冲突和镜像构建缺陷。解决方案包括临时使用--privileged=true参数、关闭SELinux、调整挂载目录权限或优化镜像构建。深入排查步骤包括检查容器日志、验证SELinux状态和检查目录权限。最佳实践包括遵循最小权限原则、进行镜像合规检查和日志监控。通过这些方法,可以有效解决大多数容器权限问题,确保安全性和稳定性。
Docker启动失败?权限被拒绝终极解决指南
最新发布
百态老人的博客
06-07 765
时,通常与系统安全机制(SELinux/AppArmor)、文件权限或内核配置相关。,表明安全模块已拦截 Docker 操作。当 Docker 安装后无法启动且。:生产环境不建议永久禁用。:编辑配置文件,添加放行规则。在文件中添加(例如允许访问。:启动容器时引用新配置。
Docker容器 - compose容器编排(Java微服务项目实例,解决 docker-compose up Mysql 的报错问题)
Trollz的博客
08-08 4688
ERROR: for mysql Cannot start service mysql: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: error during container init: error mounting "/jardocker/mysql/conf/my.cnf" to rootfs at "/etc/my.cnf
mac-docker-解决挂载出错的问题
kyo7552的专栏
03-01 1110
把你要挂载的父级目录对应放到 File Sharing 底下,重启后,再次挂载,就正常了(mac下有这个问题,linux下正常)
docker挂载问题】( OCI runtime create failed: runc create failed)和 (java.nio.file.AccessDeniedException)
d495435207的博客
08-25 9821
解决:docker挂载问题:( OCI runtime create failed: runc create failed)和 (java.nio.file.AccessDeniedException)
CentOS7安装ElasticSearch\Kibana步骤
博客
12-06 709
一. 创建宿主机目录: /usr/share/elasticsearch/config /usr/share/elasticsearch/plugins (插件) elastic search.yml 上传到/usr/share/elasticsearch/config yml文件内容 cluster.name: "docker-cluster" network.host: 0.0.0.0 http.cors.enabled: true http.cors.allow-origin: "*" # 跨
docker: Error response from daemon: failed to create shim task: OCI runtime create failed: runc crea
热门推荐
qq_40698086的博客
11-14 1万+
docker: Error response from daemon: failed to create shim task: OCI runtime create failed: runc crea
Error response from daemon: devmapper: Error mounting ‘/dev/mapper/docker 容器无法启动
tigerfish121的博客
02-11 1371
容器无法启动,虚拟机重启容器无法启动,解决方案
Docker容器启动时报错:container init caused “write /proc/self/attr/keycreate: permission denied““: unknown
码海拾贝
09-15 1万+
1 问题描述 1.1 报错完整信息 docker: Error response from daemon: OCI runtime create failed: container_linux.go:449;container init caused "write /proc/self/attr/keycreate: permission denied"": unknown. 1.2 报错背景 linux环境下使用离线方式(tgz安装包形式)安装docker 使用了docker load < xx
Docker-compose
ulting优快云的博客
07-09 2115
Docker-compose基础使用
docker 启动容器 报错 Error response from daemon: failed to create shim task: OCI runtime create failed
qiuyuan
03-27 4761
Error response from daemon: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: error during container init: unable to apply apparmor profile: apparmor failed to apply profile: write /proc/self/attr
docker服务启动失败
05-13
<think>好的,我现在需要解决用户提出的Docker服务启动失败的问题。用户已经提供了一些引用资料,我需要先仔细阅读这些引用内容,找出可能的原因和解决方案,并结合自己的知识来整理出一个清晰的回答。 首先,根据引用[1],Docker启动镜像报错可能涉及镜像不存在、配置错误、资源限制、端口冲突等。不过用户现在的问题是关于Docker服务本身的启动失败,而不是启动镜像时的报错,所以可能需要调整思路。引用[2]提到断电后Docker引擎启动失败,常见问题包括containerd状态异常、日志查看等。这里提到的systemctl status命令和journalctl日志追踪应该有用。引用[3]讨论了Docker Desktop启动失败,特别是WSL未安装或系统设置问题,可能需要检查Hyper-V或Windows容器设置。引用[4]则涉及NVIDIA驱动问题导致Docker无法启动,尤其是使用GPU的情况。 接下来,我需要将这些信息整合起来,分析Docker服务启动失败的常见原因。可能的原因包括:1. 依赖服务未运行,如containerd;2. 配置文件错误;3. 资源冲突,如端口或存储驱动问题;4. 驱动或硬件兼容性问题,比如NVIDIA驱动;5. 系统权限或SELinux设置;6. 日志文件或磁盘空间不足。 然后,针对每个原因,给出对应的解决方案。例如,检查containerd状态,查看日志,重新配置Docker,释放端口,更新驱动,调整存储驱动,清理磁盘空间等。需要确保步骤清晰,用户能够逐步操作。 另外,用户可能需要具体的命令示例,比如使用systemctl status docker、journalctl -u docker.service等命令来诊断问题。同时,引用中的解决方案可以作为参考,比如清理Docker文件、检查WSL安装等。 还需要注意用户的环境,是Linux服务器还是Windows使用Docker Desktop,但根据引用[3]和[4],可能需要涵盖不同系统的情况。不过用户问题中并没有明确说明操作系统,所以回答需要通用一些,或者分情况讨论。 最后,按照用户的要求,生成相关问题,这些问题应该围绕Docker服务启动失败的其他可能性,如日志分析、端口冲突解决、驱动更新等,帮助用户进一步排查问题。 现在需要组织语言,确保结构清晰,分点列出原因和解决方案,并加入相关命令示例,同时正确引用提供的资料。要使用中文,行内公式用$...$,但这里可能不太需要数学公式,不过需要注意LaTeX格式的正确使用,如果有的话。同时,生成的相关问题要符合用户可能的后续疑问。</think>### Docker服务启动失败的原因及解决方案 #### 一、常见原因分析 1. **依赖服务未启动** Docker依赖`containerd`服务管理容器生命周期。若`containerd`未正常运行,Docker服务将无法启动[^2]。 2. **配置文件错误** Docker配置文件(如`/etc/docker/daemon.json`)中的语法错误或无效参数(例如存储驱动配置`"storage-driver": "overlay2"`)会导致服务启动失败。 3. **资源冲突** - **端口占用**:Docker默认占用端口$2375$(非TLS)或$2376$(TLS),若被其他进程占用会引发冲突。 - **存储驱动冲突**:若系统内核不支持配置的存储驱动(如`devicemapper`在旧内核中兼容性差),会导致启动失败[^1]。 4. **驱动或硬件问题** - **NVIDIA驱动异常**:使用GPU的容器需要NVIDIA驱动支持,若驱动损坏(`nvidia-smi`报错),Docker服务可能无法启动[^4]。 - **内核版本过低**:Docker对Linux内核版本有最低要求(如$≥3.10$),旧内核可能不兼容。 5. **权限与安全策略** - **SELinux限制**:SELinux的强制模式可能阻止Docker访问必要资源。 - **用户组权限**:未将当前用户加入`docker`组时,普通用户无权限操作Docker服务。 6. **磁盘空间不足** Docker镜像和容器默认存储在`/var/lib/docker`,若磁盘空间耗尽,服务将无法启动[^3]。 --- #### 二、解决方案步骤 1. **检查依赖服务状态** ```bash systemctl status containerd # 查看containerd是否活跃 systemctl start containerd # 若未运行,手动启动 ``` 2. **查看Docker日志定位错误** ```bash journalctl -u docker.service -f -n 100 # 实时追踪最近100条日志[^2] ``` 3. **验证配置文件语法** ```bash docker daemon --validate # 检查daemon.json语法 ``` 4. **释放被占用的端口** ```bash netstat -tuln | grep 2375 # 检查端口占用情况 kill <PID> # 终止占用进程 ``` 5. **更新驱动与内核** - 升级NVIDIA驱动: ```bash apt-get install nvidia-driver-535 # 以Ubuntu为例 ``` - 更新内核: ```bash yum update kernel # CentOS ``` 6. **调整存储驱动** 修改`/etc/docker/daemon.json`,选择兼容性更好的驱动: ```json { "storage-driver": "overlay2" } ``` 7. **清理磁盘空间** ```bash docker system prune -a # 删除未使用的镜像、容器 rm -rf /var/lib/docker/* # 谨慎操作!彻底清理Docker数据[^3] ``` 8. **关闭SELinux**(临时方案) ```bash setenforce 0 # 临时禁用SELinux ``` --- #### 三、操作示例:修复配置文件错误 1. 查看日志发现错误: ```log Error starting daemon: invalid storage driver: 'devicemapper2' ``` 2. 修改配置文件: ```bash vi /etc/docker/daemon.json # 将"storage-driver"改为"overlay2" ``` 3. 重启服务: ```bash systemctl restart docker ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值