徹夜怒肝！17 個(gè) Docker 常見疑難雜癥解決方案匯總！

這里主要是為了記錄在使用 Docker 的時(shí)候遇到的問題及其處理解決方法。

# /etc/docker/daemon.yaml
{
    "registry-mirrors": ["https://vec0xydj.mirror.aliyuncs.com"],  # 配置獲取官方鏡像的倉(cāng)庫地址
    "experimental": true,  # 啟用實(shí)驗(yàn)功能
    "default-runtime": "nvidia",  # 容器的默認(rèn)OCI運(yùn)行時(shí)(默認(rèn)為runc)
    "live-restore": true,  # 重啟dockerd服務(wù)的時(shí)候容易不終止
    "runtimes": {  # 配置容器運(yùn)行時(shí)
        "nvidia": {
            "path": "/usr/bin/nvidia-container-runtime",
            "runtimeArgs": []
        }
    },
    "default-address-pools": [  # 配置容器使用的子網(wǎng)地址池
        {
            "scope": "local",
            "base":"172.17.0.0/12",
            "size":24
        }
    ]
}

6. Docker 容器無法刪除

找不到對(duì)應(yīng)容器進(jìn)程是最嚇人的

[問題起因] 今天遇到 docker 容器無法停止/終止/刪除，以為這個(gè)容器可能又出現(xiàn)了 dockerd 守護(hù)進(jìn)程托管的情況，但是通過 ps -ef <container id> 無法查到對(duì)應(yīng)的運(yùn)行進(jìn)程。哎，后來開始開始查 supervisor 以及 Dockerfile 中的進(jìn)程，都沒有。這種情況的可能原因是容器啟動(dòng)之后，之后，主機(jī)因任何原因重新啟動(dòng)并且沒有優(yōu)雅地終止容器。剩下的文件現(xiàn)在阻止你重新生成舊名稱的新容器，因?yàn)橄到y(tǒng)認(rèn)為舊容器仍然存在。

# 刪除容器
$ sudo docker rm -f f8e8c3..
Error response from daemon: Conflict, cannot remove the default name of the container

[解決方法] 找到 /var/lib/docker/containers/ 下的對(duì)應(yīng)容器的文件夾，將其刪除，然后重啟一下 dockerd 即可。我們會(huì)發(fā)現(xiàn)，之前無法刪除的容器沒有了。

# 刪除容器文件
$ sudo rm -rf /var/lib/docker/containers/f8e8c3...65720

# 重啟服務(wù)
$ sudo systemctl restart docker.service

7. Docker 容器中文異常

容器存在問題話，記得優(yōu)先在官網(wǎng)查詢

[問題起因] 今天登陸之前部署的 MySQL 數(shù)據(jù)庫查詢，發(fā)現(xiàn)使用 SQL 語句無法查詢中文字段，即使直接輸入中文都沒有辦法顯示。

# 查看容器支持的字符集
root@b18f56aa1e15:# locale -a
C
C.UTF-8
POSIX

[解決方法] Docker 部署的 MySQL 系統(tǒng)使用的是 POSIX 字符集。然而 POSIX 字符集是不支持中文的，而 C.UTF-8 是支持中文的只要把系統(tǒng)中的環(huán)境 LANG 改為 "C.UTF-8" 格式即可解決問題。同理，在 K8S 進(jìn)入 pod 不能輸入中文也可用此方法解決。

# 臨時(shí)解決
docker exec -it some-mysql env LANG=C.UTF-8 /bin/bash

# 永久解決
docker run --name some-mysql \
    -e MYSQL_ROOT_PASSWORD=my-secret-pw \
    -d mysql:tag --character-set-server=utf8mb4 \
    --collation-server=utf8mb4_unicode_ci

8. Docker 容器網(wǎng)絡(luò)互通

了解 Docker 的四種網(wǎng)絡(luò)模型

[問題起因] 在本機(jī)部署 Nginx 容器想代理本機(jī)啟動(dòng)的 Python 后端服務(wù)程序，但是對(duì)代碼服務(wù)如下的配置，結(jié)果訪問的時(shí)候一直提示 502 錯(cuò)誤。

# 啟動(dòng)Nginx服務(wù)
$ docker run -d -p 80:80 $PWD:/etc/nginx nginx

server {
    ...
    location /api {
        proxy_pass http://localhost:8080
    }
    ...
}

[解決方法] 后面發(fā)現(xiàn)是因?yàn)?nginx.conf 配置文件中的 localhost 配置的有問題，由于 Nginx 是在容器中運(yùn)行，所以 localhost 為容器中的 localhost，而非本機(jī)的 localhost，所以導(dǎo)致無法訪問。

可以將 nginx.conf 中的 localhost 改為宿主機(jī)的 IP 地址，就可以解決 502 的錯(cuò)誤。

# 查詢宿主機(jī)IP地址 => 172.17.0.1
$ ip addr show docker0
docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
    link/ether 02:42:d5:4c:f2:1e brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:d5ff:fe4c:f21e/64 scope link
       valid_lft forever preferred_lft forever

server {
    ...
    location /api {
        proxy_pass http://172.17.0.1:8080
    }
    ...
}

當(dāng)容器使用 host 網(wǎng)絡(luò)時(shí)，容器與宿主共用網(wǎng)絡(luò)，這樣就能在容器中訪問宿主機(jī)網(wǎng)絡(luò)，那么容器的 localhost 就是宿主機(jī)的 localhost 了。

# 服務(wù)的啟動(dòng)方式有所改變(沒有映射出來端口)
# 因?yàn)楸旧砼c宿主機(jī)共用了網(wǎng)絡(luò)，宿主機(jī)暴露端口等同于容器中暴露端口
$ docker run -d -p 80:80 --network=host $PWD:/etc/nginx nginxx

9. Docker 容器總線錯(cuò)誤

總線錯(cuò)誤看到的時(shí)候還是挺嚇人了

[問題起因] 在 docker 容器中運(yùn)行程序的時(shí)候，提示 bus error 錯(cuò)誤。

# 總線報(bào)錯(cuò)
$ inv app.user_op --name=zhangsan
Bus error (core dumped)

[解決方法] 原因是在 docker 運(yùn)行的時(shí)候，shm 分區(qū)設(shè)置太小導(dǎo)致 share memory 不夠。不設(shè)置 –shm-size 參數(shù)時(shí)，docker 給容器默認(rèn)分配的 shm 大小為 64M，導(dǎo)致程序啟動(dòng)時(shí)不足。

# 啟動(dòng)docker的時(shí)候加上--shm-size參數(shù)(單位為b,k,m或g)
$ docker run -it --rm --shm-size=200m pytorch/pytorch:latest

[解決方法] 還有一種情況就是容器內(nèi)的磁盤空間不足，也會(huì)導(dǎo)致 bus error 的報(bào)錯(cuò)，所以清除多余文件或者目錄，就可以解決了。

# 磁盤空間不足
$ df -Th
Filesystem     Type     Size  Used Avail Use% Mounted on
overlay        overlay    1T    1T    0G 100% /
shm            tmpfs     64M   24K   64M   1% /dev/shm

10. Docker NFS 掛載報(bào)錯(cuò)

總線錯(cuò)誤看到的時(shí)候還是挺嚇人了

[問題起因] 我們將服務(wù)部署到 openshift 集群中，啟動(dòng)服務(wù)調(diào)用資源文件的時(shí)候，報(bào)錯(cuò)信息如下所示。從報(bào)錯(cuò)信息中，得知是在 Python3 程序執(zhí)行 read_file() 讀取文件的內(nèi)容，給文件加鎖的時(shí)候報(bào)錯(cuò)了。但是奇怪的是，本地調(diào)試的時(shí)候發(fā)現(xiàn)服務(wù)都是可以正常運(yùn)行的，文件加鎖也是沒問題的。后來發(fā)現(xiàn)，在 openshift 集群中使用的是 NFS 掛載的共享磁盤。

# 報(bào)錯(cuò)信息
Traceback (most recent call last):
    ......
    File "xxx/utils/storage.py", line 34, in xxx.utils.storage.LocalStorage.read_file
OSError: [Errno 9] Bad file descriptor

# 文件加鎖代碼
...
    with open(self.mount(path), 'rb') as fileobj:
        fcntl.flock(fileobj, fcntl.LOCK_EX)
        data = fileobj.read()
    return data
...

[解決方法] 從下面的信息得知，要在 Linux 中使用 flock() 的話，就需要升級(jí)內(nèi)核版本到 2.6.11+ 才行。后來才發(fā)現(xiàn)，這實(shí)際上是由 RedHat 內(nèi)核中的一個(gè)錯(cuò)誤引起的，并在 kernel-3.10.0-693.18.1.el7 版本中得到修復(fù)。所以對(duì)于 NFSv3 和 NFSv4 服務(wù)而已，就需要升級(jí) Linux 內(nèi)核版本才能夠解決這個(gè)問題。

# https://t.codebug.vip/questions-930901.htm
$ In Linux kernels up to 2.6.11, flock() does not lock files over NFS (i.e.,
the scope of locks was limited to the local system). [...] Since Linux 2.6.12,
NFS clients support flock() locks by emulating them as byte-range locks on the entire file.

11. Docker 默認(rèn)使用網(wǎng)段

啟動(dòng)的容器網(wǎng)絡(luò)無法相互通信，很是奇怪！

[問題起因] 我們?cè)谑褂?Docker 啟動(dòng)服務(wù)的時(shí)候，發(fā)現(xiàn)有時(shí)候服務(wù)之前可以相互連通，而有時(shí)間啟動(dòng)的多個(gè)服務(wù)之前卻出現(xiàn)了無法訪問的情況。究其原因，發(fā)現(xiàn)原來是因?yàn)槭褂玫膬?nèi)部私有地址網(wǎng)段不一致導(dǎo)致的。有點(diǎn)服務(wù)啟動(dòng)到了 172.17 - 172.31 的網(wǎng)段，有的服務(wù)跑到了 192.169.0 - 192.168.224 的網(wǎng)段，這樣導(dǎo)致服務(wù)啟動(dòng)之后出現(xiàn)無法訪問的情況。

[解決方法] 上述問題的處理方式，就是手動(dòng)指定 Docker 服務(wù)的啟動(dòng)網(wǎng)段，就可以了。

# 查看docker容器配置
$ cat /etc/docker/daemon.json
{
    "registry-mirrors": ["https://vec0xydj.mirror.aliyuncs.com"],
    "default-address-pools":[{"base":"172.17.0.0/12","size":24}],
    "experimental": true,
    "default-runtime": "nvidia",
    "live-restore": true,
    "runtimes": {
        "nvidia": {
            "path": "/usr/bin/nvidia-container-runtime",
            "runtimeArgs": []
        }
    }
}

12. Docker 服務(wù)啟動(dòng)串臺(tái)

使用 docker-compose 命令各自啟動(dòng)兩組服務(wù)，發(fā)現(xiàn)服務(wù)會(huì)串臺(tái)！

[問題起因] 在兩個(gè)不同名稱的目錄目錄下面，使用 docker-compose 來啟動(dòng)服務(wù)，發(fā)現(xiàn)當(dāng) A 組服務(wù)啟動(dòng)完畢之后，再啟動(dòng) B 組服務(wù)的時(shí)候，發(fā)現(xiàn) A 組當(dāng)中對(duì)應(yīng)的一部分服務(wù)又重新啟動(dòng)了一次，這就非常奇怪了！因?yàn)檫@個(gè)問題的存在會(huì)導(dǎo)致，A 組服務(wù)和 B 組服務(wù)無法同時(shí)啟動(dòng)。之前還以為是工具的 Bug，后來請(qǐng)教了“上峰”，才知道了原因，恍然大悟。

# 服務(wù)目錄結(jié)構(gòu)如下所示
A: /data1/app/docker-compose.yml
B: /data2/app/docker-compose.yml

[解決方法] 發(fā)現(xiàn) A 和 B 兩組服務(wù)會(huì)串臺(tái)的原因，原來是 docker-compose 會(huì)給啟動(dòng)的容器加 label 標(biāo)簽，然后根據(jù)這些 label 標(biāo)簽來識(shí)別和判斷對(duì)應(yīng)的容器服務(wù)是由誰啟動(dòng)的、誰來管理的，等等。而這里，我們需要關(guān)注的 label 變量是 com.docker.compose.project，其對(duì)應(yīng)的值是使用啟動(dòng)配置文件的目錄的最底層子目錄名稱，即上面的 app 就是對(duì)應(yīng)的值。我們可以發(fā)現(xiàn)， A 和 B 兩組服務(wù)對(duì)應(yīng)的值都是 app，所以啟動(dòng)的時(shí)候被認(rèn)為是同一個(gè)，這就出現(xiàn)了上述的問題。如果需要深入了解的話，可以去看對(duì)應(yīng)源代碼。

# 可以將目錄結(jié)構(gòu)調(diào)整為如下所示
A: /data/app1/docker-compose.yml
B: /data/app2/docker-compose.yml

A: /data1/app-old/docker-compose.yml
B: /data2/app-new/docker-compose.yml

或者使用 docker-compose 命令提供的參數(shù) -p 來規(guī)避該問題的發(fā)生。

# 指定項(xiàng)目項(xiàng)目名稱
$ docker-compose -f ./docker-compose.yml -p app1 up -d

13. Docker 命令調(diào)用報(bào)錯(cuò)

在編寫腳本的時(shí)候常常會(huì)執(zhí)行 docker 相關(guān)的命令，但是需要注意使用細(xì)節(jié)！

[問題起因] CI 更新環(huán)境執(zhí)行了一個(gè)腳本，但是腳本執(zhí)行過程中報(bào)錯(cuò)了，如下所示。通過對(duì)應(yīng)的輸出信息，可以看到提示說正在執(zhí)行的設(shè)備不是一個(gè) tty。

隨即，查看了腳本發(fā)現(xiàn)報(bào)錯(cuò)地方是執(zhí)行了一個(gè) exec 的 docker 命令，大致如下所示。很奇怪的是，手動(dòng)執(zhí)行或直接調(diào)腳本的時(shí)候，怎么都是沒有問題的，但是等到 CI 調(diào)用的時(shí)候怎么都是有問題。后來好好看下下面這個(gè)命令，注意到 -it 這個(gè)參數(shù)了。

# 腳本調(diào)用docker命令
docker exec -it <container_name> psql -Upostgres ......

我們可以一起看下 exec 命令的這兩個(gè)參數(shù)，自然就差不多理解了。

15. Docker 變量使用引號(hào)

compose 里邊環(huán)境變量帶不帶引號(hào)的問題！

[問題起因] 使用過 compose 的同學(xué)可能都遇到過，我們?cè)诰帉憜?dòng)配置文件的時(shí)候，添加環(huán)境變量的時(shí)候到底是使用單引號(hào)、雙引號(hào)還是不使用引號(hào)。時(shí)間長(zhǎng)了，可能我們總是三者是一樣的，可以相互使用。但是，直到最后我們發(fā)現(xiàn)坑越來越多，越來越隱晦。

反正我是遇到過很多是因?yàn)樘砑右?hào)導(dǎo)致的服務(wù)啟動(dòng)問題，后來得出的結(jié)論就是一律不適用引號(hào)。裸奔，體驗(yàn)前所未有的爽快！

直到現(xiàn)在看到了 Github 中對(duì)應(yīng)的 issus 之后，才終于破案了。

https://github.com/docker/compose/issues/2854

# TESTVAR="test"
在Compose中進(jìn)行引用TESTVAR變量，無法找到

# TESTVAR=test
在Compose中進(jìn)行引用TESTVAR變量，可以找到

# docker run -it --rm -e TESTVAR="test" test:latest
后來發(fā)現(xiàn)docker本身其實(shí)已經(jīng)正確地處理了引號(hào)的使用

[解決方法] 得到的結(jié)論就是，因?yàn)?Compose 解析 yaml 配置文件，發(fā)現(xiàn)引號(hào)也進(jìn)行了解釋包裝。這就導(dǎo)致原本的 TESTVAR="test" 被解析成了 'TESTVAR="test"'，所以我們?cè)谝玫臅r(shí)候就無法獲取到對(duì)應(yīng)的值?，F(xiàn)在解決方法就是，不管是我們直接在配置文件添加環(huán)境變量或者使用 env_file 配置文件，能不使用引號(hào)就不適用引號(hào)。

16. Docker 刪除鏡像報(bào)錯(cuò)

無法刪除鏡像，歸根到底還是有地方用到了！

[問題起因] 清理服器磁盤空間的時(shí)候，刪除某個(gè)鏡像的時(shí)候提示如下信息。提示需要強(qiáng)制刪除，但是發(fā)現(xiàn)及時(shí)執(zhí)行了強(qiáng)制刪除依舊沒有效果。

# 刪除鏡像
$ docker rmi 3ccxxxx2e862
Error response from daemon: conflict: unable to delete 3ccxxxx2e862 (cannot be forced) - image has dependent child images

# 強(qiáng)制刪除
$ dcoker rmi -f 3ccxxxx2e862
Error response from daemon: conflict: unable to delete 3ccxxxx2e862 (cannot be forced) - image has dependent child images

[解決方法] 后來才發(fā)現(xiàn)，出現(xiàn)這個(gè)原因主要是因?yàn)?TAG，即存在其他鏡像引用了這個(gè)鏡像。這里我們可以使用如下命令查看對(duì)應(yīng)鏡像文件的依賴關(guān)系，然后根據(jù)對(duì)應(yīng) TAG 來刪除鏡像。

# 查詢依賴 - image_id表示鏡像名稱
$ docker image inspect --format='{{.RepoTags}} {{.Id}} {{.Parent}}' $(docker image ls -q --filter since=<image_id>)

# 根據(jù)TAG刪除鏡像
$ docker rmi -f c565xxxxc87f

# 刪除懸空鏡像
$ docker rmi $(docker images --filter "dangling=true" -q --no-trunc)

17. Docker 普通用戶切換

切換 Docker 啟動(dòng)用戶的話，還是需要注意下權(quán)限問題的！

[問題起因] 我們都知道在 Docker 容器里面使用 root 用戶的話，是不安全的，很容易出現(xiàn)越權(quán)的安全問題，所以一般情況下，我們都會(huì)使用普通用戶來代替 root 進(jìn)行服務(wù)的啟動(dòng)和管理的。今天給一個(gè)服務(wù)切換用戶的時(shí)候，發(fā)現(xiàn) Nginx 服務(wù)一直無法啟動(dòng)，提示如下權(quán)限問題。因?yàn)閷?duì)應(yīng)的配置文件也沒有配置 var 相關(guān)的目錄，無奈 ???♀ ！?

# Nginx報(bào)錯(cuò)信息
nginx: [alert] could not open error log file: open() "/var/log/nginx/error.log" failed (13: Permission denied)
2020/11/12 15:25:47 [emerg] 23#23: mkdir() "/var/cache/nginx/client_temp" failed (13: Permission denied)

[解決方法] 后來發(fā)現(xiàn)還是 nginx.conf 配置文件，配置的有問題，需要將 Nginx 服務(wù)啟動(dòng)時(shí)候需要的文件都配置到一個(gè)無權(quán)限的目錄，即可解決。

user  www-data;
worker_processes  1;

error_log  /data/logs/master_error.log warn;
pid        /dev/shm/nginx.pid;

events {
    worker_connections  1024;
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    gzip               on;
    sendfile           on;
    tcp_nopush         on;
    keepalive_timeout  65;

    client_body_temp_path  /tmp/client_body;
    fastcgi_temp_path      /tmp/fastcgi_temp;
    proxy_temp_path        /tmp/proxy_temp;
    scgi_temp_path         /tmp/scgi_temp;
    uwsgi_temp_path        /tmp/uwsgi_temp;

    include /etc/nginx/conf.d/*.conf;
}

文章作者: Escape
文章鏈接: https://escapelife.github.io/posts/43a2bb9b.html

看完這篇，Docker 你就入門了！