Docker 映像无法创建 netlink 句柄

Question

谁能帮我理解下面的错误和其他类似的错误？我已经用谷歌搜索了，但对我的上下文没有任何意义。我下载了我的 Docker Image，但容器拒绝启动。引用的命名空间并不总是 26，但可以是 20-29 之间的任何值。我正在将我的 Docker 容器启动到 EC2 实例上并从 AWS ECR 中提取图像。无论我是完全重新启动实例还是重新启动 docker，该错误都会持续存在。

docker: Error response from daemon: oci runtime error: 
container_linux.go:247: starting container process caused 
"process_linux.go:334: running prestart hook 0 caused \"error running 
hook: exit status 1, stdout: , stderr: time=\\\"2017-05-
11T21:00:18Z\\\" level=fatal msg=\\\"failed to create a netlink handle: 
failed to set into network namespace 26 while creating netlink socket: 
invalid argument\\\" \\n\"".

Answer 1

从我的 Github 问题更新：https://github.com/moby/moby/issues/33656

在带有 Docker 的容器上运行的 DeepSecurity 代理 (ds_agent) 似乎总是会导致此问题。许多其他用户报告了这个问题，让我进行调查。我之前在这些盒子上安装了 ds_agent，然后将其替换为其他软件作为业务决策，这就是问题消失的时候。如果您遇到此问题，可能值得检查您是否正在运行 ds_agent 进程或其他类似服务，这些服务可能会像上述问题中的用户那样使用“htop”导致冲突。

Answer 2

您是否尝试使用 --privileged 选项运行它？

如果仍然无法运行，请尝试分别添加--security-opts seccomp=unconfined 和--security-opts apparmor=unconfined 或--security-opts selinux=unconfined，具体取决于您运行的是Ubuntu 还是启用了SELinux 的发行版。

如果可行，请尝试将 --privileged option 替换为 --cap-add=NET_ADMIN`，因为出于安全原因，不鼓励在特权模式下运行容器。