k8s pod 无法启动："unable to init seccomp"

悬赏园豆：30 [已解决问题] 解决于 2023-11-07 15:13

今天早上发布博客站点时遇到了奇怪问题，有2个节点上的 pod 一直处于 "ContainerCreating" 状态，无法正常启动

查看 pod 日志，发现下面的错误：

runc create failed: unable to start container process: unable to init seccomp: error loading seccomp filter into kernel: error loading seccomp filter: errno 524: unknown

请问如何解决？

k8s

dudu | 高人七级 | 园豆：30994
提问于：2023-11-07 08:05

< >

最佳答案

原来是 pod 所在的节点（node）超出了 net.core.bpf_jit_limit 限制

查看限制值

# cat /proc/sys/net/core/bpf_jit_limit
264241152

查看当前值

# cat /proc/vmallocinfo | grep bpf_jit | awk '{s+=$2} END {print s}'
353464320

修改限制之后 pod 就能正常启用

# sysctl net.core.bpf_jit_limit=452534528
net.core.bpf_jit_limit = 452534528

解决方法来自 https://github.com/awslabs/amazon-eks-ami/issues/1179

dudu | 高人七级 |园豆：30994 | 2023-11-07 15:12

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。

k8s pod 无法启动："unable to init seccomp"

欢迎，请先登录或者注册。