【吓我一跳】docker错误：Error response from daemon: Cannot start container

当你遇到 Docker 报错 "Error response from daemon: Cannot start container" 时，这通常意味着 Docker 守护进程（daemon）在尝试启动容器时遇到了问题。这个问题可能由多种原因引起，以下是一些常见的排查和解决步骤：

1、检查容器状态：

使用 docker ps -a 查看所有容器的列表，包括未运行的容器。找到出错的容器ID或名称。

2、查看容器日志：

使用 docker logs <容器ID或名称> 查看容器的日志输出。这可能会提供为什么容器无法启动的线索。

3、检查 Docker 守护进程的日志：

Docker 守护进程的日志通常可以提供更多关于为什么无法启动容器的信息。这取决于你的操作系统和 Docker 的安装方式，但通常可以通过查看 /var/log/docker.log（或类似的路径）或使用 journalctl -u docker.service（对于使用 systemd 的系统）来访问这些日志。

4、检查端口冲突：

如果容器尝试绑定到已经在使用的端口，它可能无法启动。使用 netstat -tuln 或 ss -tuln 检查哪些端口正在被使用。

5、检查资源限制：

检查系统资源（如 CPU、内存和磁盘空间）是否足够。资源不足也可能导致容器无法启动。
查看系统资源的命令取决于你使用的操作系统。以下是一些常见操作系统中用于查看系统资源的命令：

Linux/Unix

查看CPU信息

lscpu：显示CPU架构信息。top 或 htop（需要安装）：动态显示系统中各个进程的资源占用状况，包括CPU。cat /proc/cpuinfo：详细显示CPU信息。

查看内存信息

free -h：显示内存使用情况，-h 参数表示以易读的格式（如MB、GB）显示。vmstat：报告关于进程、内存、分页、块IO、中断和CPU活动的信息。

查看磁盘使用情况

df -h：显示磁盘空间使用情况，-h 参数表示以易读的格式显示。du -sh *：在当前目录下，显示每个文件和子目录占用的磁盘空间大小。

查看网络状态

ifconfig 或 ip addr：显示网络接口信息（注意：在一些新版本的Linux发行版中，ifconfig 可能需要安装net-tools包）。netstat -tuln：显示网络连接、路由表、接口统计等信息（注意：netstat 在一些新版本的Linux发行版中可能已被ss命令替代）。ss -tuln：与netstat相似，但更快，是netstat的现代替代品。

查看系统负载

uptime：显示系统已运行时间、用户数、过去1分钟、5分钟和15分钟的平均负载。top 或 htop：除了显示CPU使用情况外，还显示系统负载、内存和进程信息。

macOS

macOS 的命令行工具（也称为 Terminal）中的命令与 Unix/Linux 非常相似，因为 macOS 是基于 Unix 的。

你可以使用上面提到的 top、free -h（需要安装gnu-coreutils或使用vm_stat）、df -h、diskutil（用于更高级的磁盘操作）、ifconfig（或netstat、lsof用于网络）等命令。注意：macOS 默认的 free 命令与 GNU 版本的 free 不同，它不显示交换空间的使用情况。你可以通过安装 GNU coreutils 来获取 GNU 版本的 free。

Windows

Windows 的命令行（CMD）和 PowerShell 提供了一些不同的命令来查看系统资源。

查看CPU和内存信息

taskmgr：打开任务管理器，可以查看CPU和内存的使用情况。PowerShell 中，你可以使用 Get-WmiObject -Class Win32_Processor 查看CPU信息，使用 Get-CimInstance -ClassName Win32_OperatingSystem 查看内存信息。

查看磁盘使用情况

wmic logicaldisk get name,freespace,size：显示每个逻辑磁盘的名称、空闲空间和总大小。

查看网络状态

ipconfig：显示所有网络连接的信息。PowerShell 中，Get-NetAdapter 提供了更详细的网络适配器信息。

6、检查 Docker 镜像：

确保你使用的 Docker 镜像没有损坏，并且适合你的环境。尝试重新拉取镜像或使用不同的镜像。
在 Docker 中，检查 Docker 镜像的命令主要是 docker images。这个命令会列出你系统上所有的 Docker 镜像，包括镜像的 REPOSITORY（仓库名）、TAG（标签）、IMAGE ID（镜像ID）、CREATED（创建时间）以及 SIZE（大小）。

基本用法如下：

docker images

或者，如果你想要看到更多的详细信息，可以使用 --size 选项（注意：docker images 默认就会显示大小，但这里是为了说明可以通过选项来明确指定）：

docker images --size

如果你想要过滤出特定的镜像，可以使用 -f 或 --filter 选项。例如，如果你想要列出所有来自 ubuntu 仓库的镜像，可以使用：

docker images -f reference=ubuntu:*

或者使用更简单的形式（这在新版本的 Docker 中可能更常用）：

docker images ubuntu

上面的命令会列出所有仓库名为 ubuntu 的镜像，不论它们的标签是什么。
另外，如果你想要检查镜像的详细信息（比如层结构），你可以使用 docker history 命令。这个命令会列出镜像的构建历史，每一层所做的操作。例如：

docker history ubuntu:latest

7、检查 Docker 配置：

检查 Docker 的配置文件（如 /etc/docker/daemon.json），确保没有错误的配置导致问题。

8、检查 Docker 版本：

确保你使用的 Docker 版本是最新的，或者至少是稳定的。有时候，Docker 的旧版本可能包含已知的 bug。

要检查 Docker 的版本，你可以使用 Docker 命令行工具（CLI）中的 docker --version 命令。这个命令会显示 Docker 客户端的版本信息，包括客户端版本、Git commit（Git 提交哈希）、Go 版本和操作系统/架构（os/arch）。

请注意，这个命令只显示 Docker 客户端的版本，而不直接显示 Docker 服务（Docker Engine）的版本。但是，在大多数情况下，客户端和服务的版本是匹配的，或者至少是兼容的。

要检查 Docker 服务的版本，你可以使用 docker version 命令（不带 -- 前缀）。这个命令会返回更详细的信息，包括客户端和服务器的版本，以及 API 版本、Git commit、Go 版本、操作系统/架构等。

以下是使用这两个命令的示例：

# 检查 Docker 客户端版本docker --version# 检查 Docker 客户端和服务器的详细版本信息docker version

docker version 命令的输出会类似于以下格式（注意输出会根据你的 Docker 安装和配置有所不同）：

Client: Docker Engine - Community Version:           20.10.x API version:       1.41 Go version:        go1.13.x Git commit:        xxxxxxx Built:             Tue Dec  8 18:20:21 2020 OS/Arch:           linux/amd64 Context:           default Experimental:      trueServer: Docker Engine - Community Engine:  Version:          20.10.x  API version:      1.41 (minimum version 1.12)  Go version:       go1.13.x  Git commit:       xxxxxxx  Built:            Tue Dec  8 18:15:01 2020  OS/Arch:          linux/amd64  Experimental:     false containerd:  Version:          1.4.x  GitCommit:        xxxxxxxx runc:  Version:          1.0.x  GitCommit:        xxxxxxxx docker-init:  Version:          0.19.0  GitCommit:        de40ad0

请注意，x 表示版本号的占位符，实际的输出会包含具体的版本号。

9、尝试重新启动 Docker 服务：

有时候，简单地重启 Docker 服务可以解决问题。你可以使用 sudo systemctl restart docker（对于使用 systemd 的系统）来重启 Docker 服务。

sudo systemctl restart docker

10、检查 SELinux 或 AppArmor 策略：

如果你的系统启用了 SELinux 或 AppArmor，并且你遇到了权限问题，检查相关的安全策略是否阻止了容器的启动。

在Linux系统中，SELinux（Security-Enhanced Linux）和AppArmor是两种常用的安全模块，用于增强系统的安全性。它们通过不同的机制来限制和监控进程对系统资源的访问。检查SELinux或AppArmor的策略，可以使用以下命令：

SELinux

检查SELinux的状态

使用getenforce命令可以查看SELinux的当前模式（enforcing、permissive或disabled）。

getenforce

查看SELinux的策略规则

使用seinfo命令：这个命令可以用来查询SELinux的策略提供了多少相关规则。例如，使用seinfo -b可以列出所有的布尔值（Conditional Booleans）规则。

seinfo -b

使用sesearch命令：这个命令用于查询SELinux策略规则的具体内容。通过指定规则类型（如--allow）和表达式（如-s 主体类型 -t 目标类型），可以查询特定的规则。

sesearch --allow -s httpd_t -t httpd_sys_content_t

这个命令会列出所有允许httpd_t类型进程访问httpd_sys_content_t类型目标的规则。

查询和修改布尔值

使用getsebool命令查询布尔值的当前设置。

getsebool httpd_enable_homedirs

使用setsebool命令修改布尔值的设置。例如，允许HTTPD访问用户家目录：

setsebool -P httpd_enable_homedirs 1

-P选项表示将更改永久保存到配置文件中。

AppArmor

检查AppArmor的状态

使用aa-status命令可以查看AppArmor的当前状态以及已加载的配置文件。

aa-status

查看和编辑AppArmor配置文件

AppArmor的策略配置文件通常位于/etc/apparmor.d/目录下。你可以直接查看这些文件来了解具体的策略规则。

对于特定的进程或应用程序，可以使用aa-genprof命令生成新的策略文件，并使用aa-logprof命令根据日志文件优化策略。

查看AppArmor日志

使用dmesg和tail等命令可以查看AppArmor的日志输出，这些日志记录了进程访问权限的详细情况，有助于进行故障排除和安全分析。

dmesg | grep apparmortail -f /var/log/syslog | grep apparmor

注意：日志文件的路径和名称可能因Linux发行版而异。

11、使用 --privileged 标志：

如果问题是由于权限不足引起的，并且你确定这样做是安全的，可以尝试使用 --privileged 标志来运行容器。但请注意，这会使容器具有更高的权限，可能会带来安全风险。

如果上述步骤都不能解决问题，你可能需要更详细地查看 Docker 的文档或在 Docker 社区、Stack Overflow 等地方寻求帮助。