在 Alpine Linux 中创建虚拟机时 Cgroup 挂在失败的现象

最新推荐文章于 2025-12-12 15:13:36 发布
原创 最新推荐文章于 2025-12-12 15:13:36 发布 · 431 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #容器 #虚拟化 #LXD #incus #Alpine

现象:

在 Alpine Linux 中部署 LXD或者incus 服务后,创建 容器或者虚拟机时提示 实例启动失败、退出代码为1:

查询启动日志后,发现是 cgroup 挂载失败导致了 container 拉起失败。

原因分析:

从启动日志上看,是 cgroup 挂载失败导致了 container setup 失败。

此时查看发现目标实例创建成功了、只是 start 失败。

这是便可以排除 image 的可用性和有效性问题了,应该是 host-OS 中的 cgroup 驱动与 guest-OS中cgroup 驱动的冲突或者不兼容。

已知本次使用的 image版本是  Debian-12,kernel 是 6 系列的 LTS,默认应该直接启用了 cgroup-V2。

可以考虑直接查看 host-OS中的 cgroup驱动状况:

通过上文输出可知,host-OS中安装的也是 cgroup-V2 。

此时应该考虑是不是 host-OS中的 cgroup 配置了 混合 模式:

从以上输出中看,可知 host-OS中的 cgroup 是支持 混合模式配置的,且注销了直接启用 cgroup-V2 。

此时尝试通过手工卸载 cgroup 的 systemd 挂载点后、重新拉起一个 实例:

验证发现的确是 cgroup 不兼容导致的 实例 拉起失败。

解决办法:

host-OS启动时先卸载 cgroup 默认挂载的 systemd ,由 LXC 创建实例时自动选择所需挂载的cgroup驱动版本:

UsamaBinLaden
关注
如何在 Linux 上使用 Docker 容器?这篇 Docker 全攻略值得收藏!
网络技术联盟站
04-07 358
示例Dockerfilenginx \EXPOSE 80"]# 构建镜像 docker build -t my-nginx:v1 . # 带缓存构建 docker build --no-cache -t my-nginx:v2 . # 多阶段构建 docker build -t my-app:prod --target production .
Docker介绍、安装、namespace、cgroup、镜像-Dya 01
qq_42515722的博客
12-16 989
本章主要介绍了docker安装、基础优化、Namespace、Cgroup、镜像组成
cgroup 载设备 Failed to create pod sandbox: rpc error: code = devices subsystem is required: unknown
Xiaoweidumpb
09-06 648
cgroup 载设备 Failed to create pod sandbox: rpc error: code = devices subsystem is required: unknown
安装alpine docker镜像的那些坑
weixin_43935079的博客
01-03 1万+
想在alpine基础镜像上加一个sshd用于管理,以做为制作其他镜像的基础境像 Dockerfile如下: From alpine RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.aliyun.com/g' /etc/apk/repositories RUN apk update \ && apk add curl openr...
彻底搞懂容器技术的基石: cgroup
k8s 生态
11-18 1333
大家好,我是张晋涛。目前我们所提到的容器技术、虚拟化技术(不论何种抽象层次下的虚拟化技术)都能做到资源层面上的隔离和限制。对于容器技术而言,它实现资源层面上的限制和隔离,依赖于 Linux...
cgroup载问题1
于宸
08-28 6364
cgroup创建了一些subgroup,再次cgroup出现EBUSY问题。 mount -t cgroup -o cpuset,debug cgroup /cgroup  master# mount -t cgroup -o cpuset,debug cgroup /cgroup ---cgroup master# cd /cgroup master# mkdir -p l...
64、保障网络中 Linux 安全及容器技术入门
green的博客
09-03 72
本文介绍了保障Linux服务器网络安全的基础知识,包括防火墙规则设置、持久化配置和网络服务保护等内容。同时,深入探讨了容器技术及其在现代云计算和开发中的应用,涵盖了LXD容器的安装、初始化、管理流程,以及容器技术的优势和未来发展趋势。
64、保障网络中 Linux 安全及容器入门指南
food6的博客
09-04 91
本文详细介绍了保障Linux服务器网络安全的方法,包括使用iptables配置防火墙、网络服务审计与移除等,并通过实践示例展示了网络安全操作。此外,文章还深入讲解了容器技术的基础概念,如容器镜像、命名空间、控制组等,并分别介绍了LXD和Docker的使用方法。最后,文章分析了容器技术的优势、发展趋势以及在云计算中的应用,为读者提供了一套完整的Linux安全和容器技术入门指南。
树莓派实战:在嵌入式Linux上运行容器化传感器服务的完整教程
[树莓派实战:在嵌入式Linux上运行容器化传感器服务的完整教程](https://www.allthingstalk.com/hs-fs/hubfs/AllThingsTalk%20March2018/Images/Solutions/IoT-Hardware-2.jpg?width=992&name=IoT-Hardware-2.jpg) ...
【docker 底层知识】cgroup 原理分析
热门推荐
zhonglinzhang
03-22 2万+
一. cgroup 相关概念解释 Cgroups提供了以下功能: 限制进程组可以使用的资源(Resource limiting ):比如memory子系统可以为进程组设定一个memory使用上限,进程组使用的内存达到限额再申请内存,就会出发OOM(out of memory) 进程组的优先级控制(Prioritization ):比如可以使用cpu子系统为某个进程组分配cpu sha...
使用runc运行alpine_linux容器
EricJeffrey的博客
11-09 578
文章目录下载 解压镜像配置 运行已知信息具体过程问题与解决总结 上一篇使用runc与oci-image-tool运行容器中虽然成功使用runc运行起来了容器,但遇到了不少问题。本文再次讲述使用runc运行alpine linux容器,并解决上一次出现的相关问题。 注: 本文命令均在Ubuntu 18.04x64下运行通过 下载 解压镜像 skopeo与oci-image-tool分别用来下载与解压...
把玩Alpine linux(三):简单手动配置
weixin_34167043的博客
03-06 1809
Alpine linux为了精简本身并没有做太多的常用软件,安装完系统之后需要自己手动配置,也可以在配置过程中体会一下常用发行版为用户做过的努力把玩Alpine linux(三):简单手动配置把玩Alpine linux(三):简单手动配置 开启SSH登陆默认 alpine 没有开启远程登录权限。 ssh远程登录不了。 vi /etc/ssh/sshd_config增加: PermitRootLo...
修复 Docker 重启报 cgroup 问题
清瞳清的博客
04-01 3994
docker 报错 Docker 启动或者重启时报以上两个错误: ● Error starting daemon: Devices cgroup isn’t mounted ● Error response from daemon: Cannot restart container rsnmp_v4: OCI runtime create failed: container_linux.go:349: starting container process caused “process_linux.go:2
docker cgroup 资源监控 术语解析
Razerware的学习记录
07-21 2546
1.cgroup术语解析:blkio: 这个subsystem可以为块设备设定输入/输出限制,比如物理驱动设备(包括磁盘、固态硬盘、USB等)。 cpu: 这个subsystem使用调度程序控制task对CPU的使用。 cpuacct: 这个subsystem自动生成cgroup中task对CPU资源使用情况的报告。 cpuset: 这个subsystem可以为cgroup中的task分配独立的CP
Linux + MySQL + Sysbench 一键部署和压测教程
soft2001525的博客
12-10 693
安装 Sysbench 并验证创建测试数据库sbtest和用户sbtest使用prepare构造数据表使用run进行各种类型压测使用cleanup清理数据分析每秒统计和最终汇总报告。
先立后破:Linux 下“新建管理员 → 验证 → 禁用 root 远程 SSH”的零翻车笔记
最新发布
weixin_45626288的博客
12-12 488
本文提供了一套零风险的Linux服务器安全加固流程,重点解决等保2.0要求的"禁用root远程SSH"需求。通过"先立后破"原则,先创建并验证新管理员账号的sudo权限,再禁用root远程登录,全程保持root会话不断开作为应急通道。关键步骤包括:创建新管理员账号、配置sudo权限、严格测试新账号功能、安全修改sshd配置、保留本地root登录权限等。文章特别强调验证环节的重要性,并提供了快速回滚方案,确保运维人员不会因配置失误导致服务器失联。这套方法适用于Kylin
linux知识点-内核参数相关
gdpgdp_3的博客
12-11 329
sysctl --system 不指定文件情况默认加载from all system configuration files,如下。sysctl -p 默认(不指定文件情况下)加载 /etc/sysctl.conf 中所有的参数。sysctl --system 和sysctl -p的区别。
linux 系统中 Shutting Down, Restarting, Halting 有什么区别 ?
xiaochong0302的博客
12-12 307
Linux 提供了各种命令来执行不同类型的系统关闭。然而,用于指代这些关闭类型的术语可能会让人困惑,尤其是对 Linux 新用户来说。在本文中,我们将讨论关闭、重启和停止之间的区别,以及何时使用这些命令。
continer_linux.go:329
12-02
<think> 根据用户查询,用户希望了解与container_linux.go文件第329行相关的信息,包括可能的错误原因和代码功能等。由于这是一个具体的Go源代码文件,且属于容器技术(如Docker)的底层实现,我们需要分析该文件的上下文。 根据引用内容,用户提供的引用主要涉及Dockerfile编写、Docker基础概念和容器技术原理(如gVisor、Kata Containers),但未直接提及container_linux.go文件。因此,我们需要依赖对Docker/容器生态的了解来推断。 在容器技术中,`container_linux.go`这样的文件名通常属于容器运行时(如runc)或容器引擎(如Docker的底层组件)。例如,在runc项目中(Docker使用的容器运行时),存在名为`container_linux.go`的文件,用于实现Linux平台下的容器管理逻辑。 **分析步骤:** 1. **定位文件来源:** 根据经验,`container_linux.go`常见于runc项目([https://github.com/opencontainers/runc](https://github.com/opencontainers/runc))。它负责容器的生命周期管理(创建、启动、停止等)。 2. **查看第329行:** 由于代码版本迭代,不同版本的runc代码行号可能变化。但我们可以基于常见版本(如v1.0.x)进行推测。 - 在runc v1.0.0-rc95版本中,`container_linux.go`第329行位于`start`函数中([参考源码](https://github.com/opencontainers/runc/blob/v1.0.0-rc95/container_linux.go#L329))。 - 该行内容通常是:`if err := c.start(); err != nil {`。这是容器启动逻辑的关键入口。 3. **功能解释:** - 此行调用`c.start()`方法启动容器。如果返回错误(`err != nil`),则进入错误处理流程。 - 可能的错误原因包括: - 容器配置错误(如无效的cgroup设置、namespace配置)。 - 资源限制冲突(如内存不足、cgroup路径不存在)。 - 底层系统调用失败(如`clone`系统调用创建进程失败)。 - 容器进程退出非零状态。 4. **典型错误场景:** - **权限问题:** 如果runc进程权限不足(如无法写入cgroup),会在此报错。 - **钩子(hook)执行失败:** 若容器启动前执行的预启动钩子返回错误,会中断启动。 - **容器进程崩溃:** 容器内进程立即退出(如入口点命令不存在),导致启动失败。 **结论:** - **代码功能:** 第329行是容器启动的执行点,负责调用底层启动逻辑。 - **常见错误:** 涉及系统资源、权限、配置或进程执行问题。具体错误需结合日志分析(如runc日志或Docker日志)。 **建议用户:** 1. 检查容器日志(`docker logs <容器ID>`或`journalctl -u docker`)。 2. 确认系统资源(cgroup、namespace)是否正常。 3. 如使用自定义配置,验证容器配置的合法性。 §§相关问题§§ 1. 如何调试runc容器启动失败的问题? 2. 容器启动过程中常见的错误类型有哪些? 3. runc的`container_linux.go`文件在容器生命周期中扮演什么角色? </think>根据您的查询,`container_linux.go` 文件通常是容器运行时(如 runc 或 Docker 引擎)的核心组件,负责 Linux 容器的生命周期管理(创建/启动/销毁)。**第 329 行及其上下文通常涉及容器进程启动的关键逻辑**。以下是典型分析: --- ### 🔍 核心功能与常见错误场景(以 runc 源码为例): #### 1. **功能说明** 在常见实现中(如 [runc 项目](https://github.com/opencontainers/runc)),`container_linux.go` 第 329 行附近通常属于 `start()` 方法,负责: ```go // 伪代码示例: if err := parent.start(); err != nil { // ← 类似第 329 行的位置 return fmt.Errorf("unable to start container process: %w", err) } ``` - **作用**:调用 Linux 系统调用(如 `clone()` 或 `execve()`)启动容器内的第一个进程(PID=1)。 - **依赖**:依赖 cgroup、namespace 和 seccomp 等安全隔离机制已正确配置[^3][^4]。 #### 2. **典型错误原因** 此处报错常见原因包括: - **权限问题**: `unable to start container process: permission denied` 通常因缺少 `CAP_SYS_ADMIN` 能力或 AppArmor/SELinux 限制导致[^2][^4]。 - **资源限制冲突**: `cgroup configuration failed`(如内存不足或 cgroup 路径无效)。 - **进程启动失败**: 容器入口点(ENTRYPOINT)二进制文件不存在或不可执行。 - **命名空间创建失败**: `clone() failed: invalid argument`(内核版本不兼容或参数错误)[^4]。 --- ### ⚠️ 调试建议 1. **查看完整错误日志**: 执行 `docker logs [容器ID]` 或检查 `journalctl -u docker` 获取详细错误堆栈。 2. **验证容器配置**: 检查: ```bash docker inspect [容器ID] | grep -i "entrypoint\|cmd\|cgroups" ``` 确保入口点命令有效且 cgroup 配置合法。 3. **简化复现**: 尝试使用最小化镜像(如 `alpine`)和简单命令(`/bin/true`)测试基础功能: ```bash docker run --rm alpine /bin/true ``` --- ### 📚 相关扩展问题 1. **容器启动时如何隔离进程命名空间?** Linux 通过 `unshare()` 或 `clone(CLONE_NEWPID)` 创建独立 PID 空间,容器内进程树从 PID=1 开始[^3][^4]。 2. **如何解决 `permission denied` 类启动错误?** - 添加 `--privileged` 临时放宽权限(生产环境不推荐) - 使用 `--cap-add=SYS_ADMIN` 精细化授权 - 检查安全模块策略(如 `audit2allow` 调整 SELinux 规则)[^2] 3. **容器启动流程与虚拟机有何本质差异?** 容器复用宿主机内核直接启动进程,无硬件虚拟化层;虚拟机需引导完整客户机操作系统[^2][^3]。 --- > **注**:具体代码行内容需结合项目版本确认(如 Docker 或 runc 的 GitHub 仓库)。若您有错误日志片段,可进一步分析根本原因。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值