Изображение Docker не может создать ручку netlink

Может ли кто-нибудь помочь мне понять ошибку ниже, и другим нравится? Я Googled вокруг, но ничего не имеет смысла для моего контекста. Я загружаю изображение Docker Image, но контейнер отказывается запускать. В названии пространства имен не всегда 26, но может быть что угодно от 20-29. Я запускаю контейнер Docker на экземпляр EC2 и вытягиваю изображение из AWS ECR. Ошибка является постоянной, независимо от того, полностью ли я перезапустил экземпляр или перезапустил докер.

docker: Error response from daemon: oci runtime error: 
container_linux.go:247: starting container process caused 
"process_linux.go:334: running prestart hook 0 caused \"error running 
hook: exit status 1, stdout: , stderr: time=\\\"2017-05-
11T21:00:18Z\\\" level=fatal msg=\\\"failed to create a netlink handle: 
failed to set into network namespace 26 while creating netlink socket: 
invalid argument\\\" \\n\"".

Ответ 1

Обновление из моей проблемы Github: https://github.com/moby/moby/issues/33656

Похоже, что агент DeepSecurity (ds_agent), запущенный на контейнере с Docker, может постоянно вызывать эту проблему. Ряд других пользователей сообщили об этой проблеме, в результате чего я начал расследование. Я ранее устанавливал ds_agent в этих блоках, прежде чем заменять его другим программным обеспечением в качестве бизнес-решения, когда проблема исчезла. Если у вас возникла эта проблема, может оказаться целесообразным проверить, запущен ли процесс ds_agent или другие подобные службы, которые могут вызвать конфликт, используя "htop", как это сделал пользователь в вышеупомянутой проблеме.

Ответ 2

Вы пытались запустить его с помощью опции --privileged?

Если он все еще не запущен, попробуйте добавить --security-opts seccomp=unconfined и либо --security-opts apparmor=unconfined, либо --security-opts selinux=unconfined в зависимости от того, используете ли вы Ubuntu или дистрибутив с включенным SELinux, соответственно.

Если это работает, попробуйте заменить --privileged option на -cap-add = NET_ADMIN`, так как запущенные контейнеры в привилегированном режиме обескуражены по соображениям безопасности.