[SOLVED] LXC Container startet nicht

Yoshisan

Member
Apr 26, 2020
11
1
23
36
Guten Tag Community,

ich arbeite momentan nur mit VMs, möchte aber für kleinere Projekte Container einsetzen.
Jetzt versuche ich seit gestern jene zum laufen zu bekommen, dies klappt jedoch nicht.
Im Log erscheint nur das und der Container startet nicht:
Code:
Sep 28 09:01:52 proxmox audit[829140]: AVC apparmor="DENIED" operation="create" profile="/usr/bin/lxc-start" pid=829140 comm="lxc-start" family="unix" sock_type="stream" protocol=0 requested_mask="create" denied_mask="create" addr=none
Sep 28 09:01:52 proxmox kernel: audit: type=1400 audit(1632812512.553:53): apparmor="DENIED" operation="create" profile="/usr/bin/lxc-start" pid=829140 comm="lxc-start" family="unix" sock_type="stream" protocol=0 requested_mask="create" denied_mask="create" addr=none
Sep 28 09:01:52 proxmox audit[829140]: AVC apparmor="DENIED" operation="create" profile="/usr/bin/lxc-start" pid=829140 comm="lxc-start" family="unix" sock_type="stream" protocol=0 requested_mask="create" denied_mask="create" addr=none
Sep 28 09:01:52 proxmox kernel: audit: type=1400 audit(1632812512.557:54): apparmor="DENIED" operation="create" profile="/usr/bin/lxc-start" pid=829140 comm="lxc-start" family="unix" sock_type="stream" protocol=0 requested_mask="create" denied_mask="create" addr=none

Habe schon versucht Apparmor abzuschalten, ebenso unpriviligierter oder priviligierter Container. Nichts half...
Proxmox Version 7 auf Debian Bullseye, alle Updates sind eingespielt.

Ich baue auf eure Hilfe :D
 
Aber gerne doch, habe mal beide Varianten probiert.
Der Container läuft trotz der Meldung aber nicht.
Code:
root@proxmox:~# lxc-start -n 108 -F -l DEBUG -o /tmp/lxc-108.log
lxc-start: 108: tools/lxc_start.c: main: 258 Container is already running
root@proxmox:~# pct start 108 --debug
problem with monitor socket, but continuing anyway: got timeout

main: 258 Container is already running
dmaps:2092 - Read uid map: type u nsid 0 hostid 100000 range 65536
INFO     confile - confile.c:set_config_idmaps:2092 - Read uid map: type g nsid 0 hostid 100000 range 65536
ERROR    lxc_start - tools/lxc_start.c:main:258 - Container is already running
 
Der Container läuft trotz der Meldung aber nicht.
dennoch mal versuchen den container zu stoppen (pct stop 108)

falls das nicht funktioniert - potentiell den host mal neustarten ...

und das log wird in /tmp/lxc-108.log gespeichert - da sollten die infos drinnen stehen
 
Ich habe versucht den Container zu stoppen, dann kommt die Meldung, dass er nicht läuft.
Auch den Container löschen und einen neuen anlegen (mit anderer ID) half nicht. Immer kommt die Meldung, dass der Container läuft wenn ich das Debug Log erstellen möchte.
Danach den Host neu gestartet, gleiche Meldung.
Code:
root@proxmox:~# lxc-start -n 106 -F -l DEBUG -o /tmp/lxc-106.log
lxc-start: 106: tools/lxc_start.c: main: 258 Container is already running
 
dann bitte mal das logfile posten ... (/tmp/lxc-106.log)

ansonsten - ist der container auf onboot gestellt?

wurde davor (vor lxc-start -l DEBUG) versucht den container mittels pct zu starten?

`ps auxwf |grep 106` wäre auch hilfreich
 
Das steht in der Logdatei:
Code:
lxc-start 106 20210928095151.795 ERROR    lxc_start - tools/lxc_start.c:main:258 - Container is already running
Der Container ist bewusst nicht auf Onboot gestellt, damit er nicht automatisch startet.

Nein, das hatte ich nicht davor probiert.

Das ist die Ausgabe von ps:
Code:
root@proxmox:~# ps auxwf |grep 106
root         106  0.0  0.0      0     0 ?        S    11:49   0:00  \_ [kswapd0]
root        1060  0.1  0.3 519916 53788 ?        Ssl  11:49   0:01 /usr/bin/pmxcfs
root        4144  0.0  0.0   6180   664 pts/0    S+   12:05   0:00  |                   \_ grep 106


EDIT:
Habe einen neuen Container erstellt und versucht mittels pct zu starten, da kam nur das.
Code:
root@proxmox:~# pct start 201
problem with monitor socket, but continuing anyway: got timeout
 
Last edited:
EDIT:
Habe einen neuen Container erstellt und versucht mittels pct zu starten, da kam nur das.
das klingt alles relativ seltsam (bzw. ist mir das bisher einfach noch nicht untergekommen) ...

bitte mal das output von
Code:
pveversion -v
cat /proc/cmdline
journalctl -b

posten (das journal potentiell als file anhängen)

Weiters - wie wird der container erstellt? welches template, auf welchem storage?
vl. auch die container config mal posten
 
Ich bin dankbar für deine Hilfe :)

Code:
root@proxmox:~# pveversion -v
proxmox-ve: 7.0-2 (running kernel: 5.11.22-4-pve)
pve-manager: 7.0-11 (running version: 7.0-11/63d82f4e)
pve-kernel-5.11: 7.0-7
pve-kernel-helper: 7.0-7
pve-kernel-5.4: 6.4-3
pve-kernel-5.11.22-4-pve: 5.11.22-9
pve-kernel-5.11.22-3-pve: 5.11.22-7
pve-kernel-5.4.119-1-pve: 5.4.119-1
pve-kernel-5.4.60-1-pve: 5.4.60-2
pve-kernel-5.3.10-1-pve: 5.3.10-1
ceph-fuse: 14.2.21-1
corosync: 3.1.5-pve1
criu: 3.15-1+pve-1
glusterfs-client: 9.2-1
ifupdown: residual config
ifupdown2: 3.1.0-1+pmx3
ksm-control-daemon: 1.4-1
libjs-extjs: 7.0.0-1
libknet1: 1.22-pve1
libproxmox-acme-perl: 1.3.0
libproxmox-backup-qemu0: 1.2.0-1
libpve-access-control: 7.0-4
libpve-apiclient-perl: 3.2-1
libpve-common-perl: 7.0-9
libpve-guest-common-perl: 4.0-2
libpve-http-server-perl: 4.0-2
libpve-storage-perl: 7.0-11
libqb0: 1.0.5-1
libspice-server1: 0.14.3-2.1
lvm2: 2.03.11-2.1
lxc-pve: 4.0.9-4
lxcfs: 4.0.8-pve2
novnc-pve: 1.2.0-3
openvswitch-switch: 2.15.0+ds1-2
proxmox-backup-client: 2.0.10-1
proxmox-backup-file-restore: 2.0.10-1
proxmox-mini-journalreader: 1.2-1
proxmox-widget-toolkit: 3.3-6
pve-cluster: 7.0-3
pve-container: 4.0-9
pve-docs: 7.0-5
pve-edk2-firmware: 3.20200531-1
pve-firewall: 4.2-3
pve-firmware: 3.3-1
pve-ha-manager: 3.3-1
pve-i18n: 2.5-1
pve-qemu-kvm: 6.0.0-4
pve-xtermjs: 4.12.0-1
qemu-server: 7.0-14
smartmontools: 7.2-pve2
spiceterm: 3.2-2
vncterm: 1.7-1
zfsutils-linux: 2.0.5-pve1

Code:
BOOT_IMAGE=/boot/vmlinuz-5.11.22-4-pve root=/dev/mapper/pve-root ro quiet intel_iommu=on video=efifb:off vfio-pci.ids=8086:3184,8086:31dc,8086:3198

Container Konfig:
Code:
arch: amd64
cores: 1
hostname: HomeAssistant
memory: 1024
net0: name=eth0,bridge=vmbr0,hwaddr=E6:CA:A6:90:BA:2B,ip=dhcp,tag=1,type=veth
ostype: debian
rootfs: local-lvm:vm-201-disk-0,size=15G
swap: 1024

Ich verwende das Debian 11 Standard Image welches man über Container Templates herunterladen kann.
 

Attachments

Habe schon versucht Apparmor abzuschalten, ebenso unpriviligierter oder priviligierter Container. Nichts half...
Kurze frage - wie wurde versucht apparmor abzuschalten?
wenn moeglich waere das output von
Code:
 debsums -a -c
hilfreich (wahrscheinlich muss debsums zuerst mittels `apt install debsums` installiert werden.

Nachdem das die outputs recht ok ausgesehen haben (abseits von den apparmor denies die auch schon im ersten post erwaehnt wurden) habe ich versucht das nachzustellen - wenn ich (z.B.) /etc/apparmor.d/abstractions/lxc/start-container editiere und 'network' als allowed entferne komme ich zu dem hier beschriebenen bild:
Sep 28 09:01:52 proxmox audit[829140]: AVC apparmor="DENIED" operation="create" profile="/usr/bin/lxc-start" pid=829140 comm="lxc-start" family="unix" sock_type="stream" protocol=0 requested_mask="create" denied_mask="create" addr=none

root@proxmox:~# pct start 201
problem with monitor socket, but continuing anyway: got timeout

Ich hoffe das hilft
 
Ich habe nach dem Artikel versucht Apparmor für den Container zu deaktivieren: https://pve.proxmox.com/wiki/Linux_Container#_security_considerations

Wenn ich deine genannte Datei editiere steht network ganz oben, ich vermute das bedeutet erlaubt.

Debsums gibt folgendes aus:
Code:
root@proxmox:~# debsums -a -c
/etc/apparmor/parser.conf
/etc/issue
/etc/crontab
/etc/lvm/lvm.conf
/etc/apt/sources.list.d/pve-enterprise.list
/etc/modprobe.d/pve-blacklist.conf

EDIT:
Das Problem scheint behoben zu sein. Ich habe die Datei /etc/apparmor/parser.conf durch die Originaldatei aus dem Paket ausgetauscht, nun lässt sich der Container starten :D

Vielen Dank nochmal!
 
Last edited:
  • Like
Reactions: Stoiko Ivanov
EDIT:
Das Problem scheint behoben zu sein. Ich habe die Datei /etc/apparmor/parser.conf durch die Originaldatei aus dem Paket ausgetauscht, nun lässt sich der Container starten :D
na bitte - freut mich, dass wir dem doch noch auf den Grund gegangen sind!

bitte den Thread noch als 'SOLVED' markieren - das hilft anderen mit ähnlichen Problemen

Danke!
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!