Ошибка AppArmor: «недопустимое определение виртуальной машины» после запуска lxc в обновленной версии libvirt (1.2.12)

tag-icon tag-icon virtualization openstack lxc apparmor
Ошибка AppArmor: «недопустимое определение виртуальной машины» после запуска lxc в обновленной версии libvirt (1.2.12)

Я пытаюсь запустить LXC на более новой версии libvirtd, но он не запускается из-за следующей ошибки:

$ virsh -c lxc: start textlxc
error: Failed to start domain testlxc
error: internal error: cannot load AppArmor profile 'libvirt-dfb2c573-05cb-4ca3-9e46-bea6cebf0f9f'

Сообщение об ошибке в/var/log/libvirt/libvirtd.log

2015-06-23 12:13:12.306+0000: 14141: error : virCommandWait:2532 : internal error: Child process (/usr/lib/libvirt/virt-aa-helper -p 0 -c -u libvirt-dfb2c573-05cb-4ca3-9e46-bea6cebf0f9f) unexpected exit status 1: virt-aa-helper: error: /proc/meminfo
virt-aa-helper: error: skipped restricted file
virt-aa-helper: error: invalid VM definition

2015-06-23 12:13:12.306+0000: 14141: error : AppArmorGenSecurityLabel:468 : internal error: cannot load AppArmor profile 'libvirt-dfb2c573-05cb-4ca3-9e46-bea6cebf0f9f'

Это моеtestlxc.xmlфайл

<domain type='lxc'>
  <name>testlxc</name>
  <uuid>dfb2c573-05cb-4ca3-9e46-bea6cebf0f9f</uuid>
  <memory unit='KiB'>4048292</memory>
  <currentMemory unit='KiB'>4048292</currentMemory>
  <vcpu placement='static'>2</vcpu>
  <resource>
    <partition>/machine</partition>
  </resource>
  <os>
    <type arch='x86_64'>exe</type>
    <init>/sbin/init</init>
  </os>
  <clock offset='utc'/>
  <on_poweroff>destroy</on_poweroff>
  <on_reboot>restart</on_reboot>
  <on_crash>destroy</on_crash>
  <devices>
    <emulator>/usr/lib/libvirt/libvirt_lxc</emulator>
    <filesystem type='mount' accessmode='passthrough'>
      <source dir='/var/lib/libvirt/filesystems/testlxc'/>
      <target dir='/'/>
    </filesystem>
    <filesystem type='mount' accessmode='passthrough'>
      <source dir='/var/lib/libvirt/filesystems/testlxc-data'/>
      <target dir='/mnt/data'/>
    </filesystem>
    <filesystem type='mount' accessmode='passthrough'>
      <source dir='/var/run/testlxc/lxc'/>
      <target dir='/mnt/run'/>
    </filesystem>
    <filesystem type='mount' accessmode='passthrough'>
      <source dir='/proc/meminfo'/>
      <target dir='/proc/meminfo'/>
    </filesystem>
    <console type='pty' tty='/dev/pts/1'>
      <source path='/dev/pts/1'/>
      <target type='lxc' port='0'/>
      <alias name='console0'/>
    </console>
  </devices>
</domain>

Текущая версия Libvirt — 1.2.12. До этого я успешно запускал lxc на версии 1.2.2.

$ libvirtd --version
libvirtd (libvirt) 1.2.12

решение1

Я отследил проблему до проверки XML домена в virt-aa-helperутилите. Это утилита, которая должна генерировать профили apparmor по требованию. Это не структура XML, которая дает сбой, но сообщенная ошибка, похоже, указывает на то, что это так. Логическая проверка внутри функции function virDomainDefParseXMLв domain_conf.cсломана для контейнеров LXC.

Я недостаточно хорошо знаком с кодом libvirt, чтобы изменить эту общую область — возможно, я сломал что-то еще, но следующий патч, похоже, работает:

if (!(flags & VIR_DOMAIN_DEF_PARSE_SKIP_OSTYPE_CHECKS)) {
    /* If the logic here seems fairly arbitrary, that's because it is :)
     * This is duplicating how the code worked before
     * CapabilitiesDomainDataLookup was added. We can simplify this,
     * but it would take a bit of work because the test suite fails
     * in numerous minor ways. */
    bool use_virttype = ((def->os.arch == VIR_ARCH_NONE) ||
        !def->os.machine);
    virCapsDomainDataPtr capsdata = NULL;

читать

if (!(flags & VIR_DOMAIN_DEF_PARSE_SKIP_OSTYPE_CHECKS)) {
    /* If the logic here seems fairly arbitrary, that's because it is :)
     * This is duplicating how the code worked before
     * CapabilitiesDomainDataLookup was added. We can simplify this,
     * but it would take a bit of work because the test suite fails
     * in numerous minor ways. */
    bool use_virttype = (def->os.type != VIR_DOMAIN_OS_TYPE_EXE) &&
        ((def->os.arch == VIR_ARCH_NONE) ||
          !def->os.machine);
    virCapsDomainDataPtr capsdata = NULL;

К сожалению, я не смог найти способ исправить это без перекомпиляции. Если вы используете 64-битную машину, вы можете загрузить пакеты, которые я собрал локально сэта ссылка(извините за мою учетную запись Microsoft).

Примечание: Чтобы узнать, затронута ли эта ошибка, введите в командной строке следующее (скопировано изэтот пост на форуме):

$ export VM=foo ; virsh -c lxc:// dumpxml $VM |\
   sudo /usr/lib/libvirt/virt-aa-helper -c \
   -u libvirt-`virsh -c lxc:// domuuid $VM`

Где fooимя контейнера lxc, который дает сбой. Если вы видите вывод

virt-aa-helper: error: could not parse XML
virt-aa-helper: error: could not get VM definition

то, вероятно, это тот же самый баг.

Связанный контент