<div dir="ltr">Thank you very much for the feedback. I manually create a script and do secomp_load <div>200 times using non-root user and it fails even outside container, so right now I think kylin OS might</div><div>get some bugs which causes problems for non-root users.</div><div><br></div><div>Best,</div><div>Norman</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 25, 2022 at 8:11 PM Michal Prívozník <<a href="mailto:mprivozn@redhat.com">mprivozn@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10/25/22 02:38, Jiatong Shen wrote:<br>
> Hello community,<br>
> <br>
>    I am operating an openstack cluster where applications (libvirt/nova<br>
> etc) are running using containers. The compute node's arch is aarch64<br>
> (phytium 2500), when there are virtual machines around 60 or 70, I<br>
> failed to boot new virtual machines and faced with following error message,<br>
> <br>
> error: internal error: qemu unexpectedly closed the monitor:<br>
> 2022-10-24T06:23:54.545685Z qemu-system-aarch64: -sandbox<br>
> on,obsolete=deny,elevateprivileges=deny,spawn=deny,resourcecontrol=deny:<br>
> failed to load seccomp syscall filter in kernel: Operation canceled<br>
> <br>
<br>
This error message comes from qemu, which sees seccomp_load() fail.<br>
Looking further [1], seccomp_load() returns -ECANCELED. This is because<br>
qemu does not set SCMP_FLTATR_API_SYSRAWRC attribute and thus public<br>
APIs fail with this meaningless error. I've posted patch here [1].<br>
<br>
But the symptoms suggest that you are hitting a limit (for eBPF perhaps?).<br>
<br>
1: <a href="https://lists.gnu.org/archive/html/qemu-devel/2022-10/msg04509.html" rel="noreferrer" target="_blank">https://lists.gnu.org/archive/html/qemu-devel/2022-10/msg04509.html</a><br>
<br>
> <br>
> Interestingly, if I virsh stop one virtual machine, I am able to boot<br>
> another. Besides, I managed to manually boot a virtual machine without<br>
> any issue. So my question is what could be the potential cause of this<br>
> behavior and how can I deal with it? Thank you very much in advance for<br>
> the help.<br>
> <br>
<br>
I wonder whether the fact that openstack runs VMs in container has<br>
something to do with this. Perhaps it touches the limit/sets different<br>
accounting for it?<br>
<br>
Michal<br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><br><div>Best Regards,</div><div><br></div><div>Jiatong Shen</div></div></div>