当前位置：首页 > news >正文

docker和docker compose离线安装-2-报错

news 2025/10/22 14:28:46

[root@harbor ragflow-0.21.0]# docker compose -f docker/docker-compose.yml up -d
[+] Running 1/4
⠹ Container ragflow-mysql Starting 18.6s
⠋ Container ragflow-redis Starting 18.6s
⠏ Container ragflow-minio Starting 18.6s
✔ Container ragflow-server Recreated 14.4s
Error response from daemon: driver failed programming external connectivity on endpoint ragflow-mysql (9037cd04523fdc38ac284a22fbe80c6c5dc0485e7b09029a81bc7ddf6b3670d0): (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 5455 -j DNAT --to-destination 172.27.0.2:3306 ! -i br-3276c2281c8d: iptables: No chain/target/match by that name.
(exit status 1))

问题分析与解决方案

您遇到的错误是由于防火墙被关闭导致 Docker 的 iptables 规则被清除，从而无法正常启动容器。这个错误信息非常明确：

Error response from daemon: driver failed programming external connectivity on endpoint ragflow-mysql (...): (iptables failed: ... iptables: No chain/target/match by that name.

根本原因

正如知识库 [4] 所解释的：

“docker 服务启动时定义的自定义链 docker 由于防火墙被清掉。防火墙的底层是使用 iptables 进行数据过滤，建立在iptables之上，这可能会与 docker产生冲突。当防火墙启动或者关闭的时候，将会从 iptables 中移除 docker 的规则，从而影响了 docker的正常工作。”

您之前执行了 systemctl stop firewalld，这导致 Docker 的 iptables 规则被清除，而 Docker 服务没有重新生成这些规则。

解决方案

按照知识库 [4] 的建议，只需重启 Docker 服务：

sudo systemctl restart docker

然后重新启动您的容器：

docker compose -f docker/docker-compose.yml up -d

为什么这个方法有效

重启 Docker 服务会：

重新创建 Docker 依赖的 iptables 规则
重新生成必要的 DOCKER 链
使 Docker 能够正确配置端口转发

预防措施

为避免类似问题再次发生：

不要在 Docker 运行后关闭防火墙，或者
如果必须关闭防火墙，请在关闭后重启 Docker 服务
或者使用更安全的方法：仅开放必要的端口，而不是完全关闭防火墙

验证防火墙状态

在执行重启 Docker 服务后，您可以确认防火墙状态：

systemctl status firewalld

如果防火墙已关闭，您应该看到：

Active: inactive (dead)

但 Docker 服务已经重新配置了必要的 iptables 规则，所以容器可以正常启动。

补充建议

如果您需要在 Docker 服务运行时使用防火墙，建议使用以下方法开放特定端口，而不是完全关闭防火墙：

# 开放 MySQL 端口 5455 (根据您的错误信息)
sudo firewall-cmd --permanent --add-port=5455/tcp
sudo firewall-cmd --reload

这样既保持了系统安全，又允许 Docker 正常工作。

ptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 5455 -j DNAT --to-destination 172.27.0.2:3306 ! -i br-3276c2281c8d: iptables: No chain/target/match by that name.
(exit status 1))
[root@harbor ragflow-0.21.0]# sudo systemctl restart docker
[root@harbor ragflow-0.21.0]# docker compose -f docker/docker-compose.yml up -d
[+] Running 3/4
✔ Container ragflow-minio Started 0.9s
✔ Container ragflow-redis Started 0.8s
✔ Container ragflow-mysql Healthy 11.4s
⠏ Container ragflow-server Starting 0.9s
Error response from daemon: failed to create task for container: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: exec: “./entrypoint.sh”: permission denied: unknown
[root@harbor ragflow-0.21.0]#

问题分析与解决方案

您现在遇到的错误是典型的 Docker 权限问题：

Error response from daemon: failed to create task for container: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: exec: "./entrypoint.sh": permission denied: unknown

根本原因

根据知识库 [2] 和 [5] 的信息，这个错误是由于 entrypoint.sh 文件没有执行权限导致的：

“错误关键在于：exec: ‘./entrypoint.sh’: permission denied
这说明容器内执行脚本 entrypoint.sh 时，操作系统检测到该文件没有执行权限。虽然该文件在本地存在并成功挂载到容器内，但如果本地文件本身就没有可执行权限，容器会原样继承此权限状态，从而导致运行失败。”

Docker 并不会自动为挂载进容器的文件赋予执行权限。

解决方案

步骤 1：为 entrypoint.sh 添加执行权限

chmod +x ./entrypoint.sh

步骤 2：重新启动容器

docker compose down
docker compose up -d

为什么这个方法有效

chmod +x ./entrypoint.sh 为本地脚本添加了执行权限（u+x）
Docker 在启动容器时会将这个权限状态传递给容器
重新启动容器确保新权限生效

预防措施

在使用 Docker 之前确保所有脚本有执行权限：
```
chmod +x *.sh
```
在 Dockerfile 中设置权限（如果使用 Dockerfile 构建镜像）：
```
RUN chmod +x /ragflow/entrypoint.sh
```

在 docker-compose.yml 中指定用户（如果问题持续）：

services:ragflow-server:image: ragflow-servervolumes:- ./entrypoint.sh:/ragflow/entrypoint.shuser: "1000:1000"  # 替换为您的 UID:GIDworking_dir: /ragflowentrypoint: ./entrypoint.sh

验证

执行后，您应该看到类似这样的输出：

[+] Running 4/4✔ Container ragflow-minio   Started✔ Container ragflow-redis   Started✔ Container ragflow-mysql   Healthy✔ Container ragflow-server  Started

这样，您的 RAGFlow 服务应该能正常启动了。

查看全文

http://www.dtcms.com/a/513126.html