Аспро: ЛайтШоп [тема: Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.]

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Mon, 03 Nov 2025 07:46:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Та же проблема с Debian 12 и 13, PVE 9.0.11.
03.11.2025 07:46:00, maoxuner.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Wed, 15 Oct 2025 18:22:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Если честно, у меня была точно такая же проблема — привилегированный LXC, обновил lxc.apparmor.profile на unconfined в .conf файле, и проблема решилась.
15.10.2025 18:22:00, n7qnm.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Tue, 09 Sep 2025 23:35:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Столкнулся с точно такой же проблемой, как описано здесь, на версии 9.0.6 — новый контейнер с повышенными привилегиями, сеть не запускается. Потратил уйму времени, пытаясь найти решение. Какой же это глупый баг, которого легко избежать с помощью нормального удобства использования.
09.09.2025 23:35:00, leeh.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Sun, 24 Aug 2025 01:44:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Наблюдаю такое же поведение в последней версии v9.0.5 Ubuntu 24.04 Privileged CT — состояние ссылки показывает "вниз" и невозможно получить доступ к сети.
24.08.2025 01:44:00, menthius.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Sat, 23 Aug 2025 04:37:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
nested=1 работает, у меня тоже такая проблема, так что, кажется, это часто встречается. Но так исправлять не стоит, что-то не так с Proxmox, нужно это как-то решить, да?
23.08.2025 04:37:00, FastLaneJB.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Tue, 10 Jun 2025 16:51:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я просто добавил это в конфигурацию контейнеров и особо не переживай — всё равно всё под защитой файрвола. lxc.apparmor.profile = unconfined
10.06.2025 16:51:00, asahiguy.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Tue, 03 Jun 2025 01:52:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Интересно, есть ли у тебя какое-то решение или ты застрял на Debian? Я тоже немного схожу с ума из-за этого. Пытался поставить Ubuntu 24.04 в непривилегированном режиме — всё было нормально, а в привилегированном ни консоли, ни сети. Если переключить консоль на shell, я хотя бы получал shell. Обнаружил, что если удалить сетевой интерфейс и заново его создать, сеть появляется, ну но только до перезагрузки. Следующий шаг — попробовать с Debian.
03.06.2025 01:52:00, Lost_Ones.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Tue, 27 Jan 2026 16:40:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Apparmor был проблемой в Debian-контейнерах всегда. Я использую этот способ с Debian 9: ostype: ubuntu, features: nesting=1, и внутри контейнера нужен перекомпилированный пакет Apparmor из Ubuntu. Берёте похожую версию исходников из Ubuntu, распаковываете, копируете папку debian/ из исходников Debian-пакета и собираете свой .deb. Например, для Debian 13-контейнеров я использую Apparmor 4.0.1 из Ubuntu, перекомпилирую с файлами из debian/* из исходников Debian, пакет переименовываю в 4.1.1 чтобы избежать перезаписи при обновлениях (можно было бы поставить apt hold, но я этого не люблю). Смотрите также мою старую тему https://forum.proxmox.com/threads/proxmox-with-working-apparmor-inside-debian-containers.64725/

Возможно, можно что-то сделать с /usr/share/apparmor-features/features, чтобы избежать всех этих танцев, но я не эксперт и не встречал/не читал про более хорошее решение. Поверьте, оно того стоит, и это делается один раз на версию Debian.

Внутри контейнера:

wget https://ftp.ubuntu.com/ubuntu/ubuntu/pool/main/a/apparmor/apparmor_4.0.1really4.0.1.orig.tar.gz
tar -zxvf apparmor_4.0.1really4.0.1.orig.tar.gz
mv apparmor-v4.0.1 apparmor-v4.1.1/

wget https://deb.debian.org/debian/pool/main/a/apparmor/apparmor_4.1.0-1.debian.tar.xz
tar -xf apparmor_4.0.1really4.0.1-0ubuntu0.24.04.5.debian.tar.xz
mv debian apparmor-v4.1.1/

cd apparmor-v4.1.1/
dch --newversion 4.1.1really4.0.1-0ubuntu0.24.04.5 "Custom build for LXC compatibility"
debuild -us -uc
cd ..
dpkg -i apparmor_4.1.1really4.0.1-0ubuntu0.24.04.5_amd64.deb
reboot

Примечание: нужно ставить только основной пакет Apparmor. Если используете libapache2, ставьте и apparmor для него.

Про контейнеры Ubuntu не подскажу, но, по идее, с ostype ubuntu и nesting всё должно работать из коробки. Nesting обязательно для совместимости, согласно рекомендациям поддержки Proxmox в других темах.
27.01.2026 16:40:00, user18587.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Thu, 27 Nov 2025 21:52:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
У меня постоянно появляются эти сообщения об ошибках, и, как я понял, их можно просто игнорировать. Но я из тех людей, кто хочет разобраться и исправить проблему, чтобы они больше не появлялись. Ошибка, которую я получаю, такая: [714661.771751] audit: type=1400 audit(1764276269.273:69012): apparmor="DENIED" operation="sendmsg" class="file" namespace="root//lxc-102_<-var-lib-lxc>" profile="rsyslogd" name="/run/systemd/journal/dev-log" pid=608352 comm="systemd-journal" requested_mask="r" denied_mask="r" fsuid=100000 ouid=100000. Можно как-то это исправить или лучше просто оставить эту ошибку и не париться?
27.11.2025 21:52:00, Dan1jel.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Mon, 03 Nov 2025 08:09:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
lxc.apparmor.profile = unconfined — это на самом деле не решение, потому что по сути вы просто снимаете все меры безопасности. Если вы говорите, что вам все равно в вашей инфраструктуре — это ваше право, но может кто-то случайно наткнется на эту тему и действительно заботится о безопасности. Им не стоит узнавать о таком «решении» без предупреждения о возможных последствиях.
03.11.2025 08:09:00, Johannes S.

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor.

Sat, 03 May 2025 01:25:00 +0300

Новый привилегированный LXC-контейнер не запускает сеть из-за ограничений AppArmor. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет. Большой фанат Proxmox, но тут наткнулся на одну штуку и не понимаю — это баг или так задумано? Я запускаю Proxmox 8.3.4 на ПК с архитектурой Intel X86_64, использую репозиторий "pve-no-subscription", все пакеты обновлены на сегодня (3 мая 2025).

Создал LXC-контейнер на базе Ubuntu 24.04 LTS, скачанного из библиотеки шаблонов. Я ОТМЕТИЛ галочку “unprivileged” (то есть сделал контейнер с привилегиями). Назначил статический IP (DHCP тоже не работал). Запускаю контейнер.

Первое, что заметил — нет консоли, только чёрный экран и курсор. Второе — нет сети. Захожу в контейнер, проверяю сеть, пишет, что интерфейс отключён:
2: eth0@if15: mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether bc:24:11:dd:dd:50 brd ff:ff:ff:ff:ff:ff link-netnsid 0
Переключение в UP ничего не даёт.

Проверяю логи — ничего полезного. Смотрю kernel ring buffer — куча ошибок от apparmor по новому контейнеру, видны много DENIED.

Небольшой фрагмент:
[2159192.899519] audit: type=1400 audit(1746226570.170:740): apparmor="DENIED" operation="mount" class="mount" info="failed perms check" error=-13 profile="lxc-101_" name="/dev/" pid=3442760 comm="(sd-mkdcreds)" flags="rw, rslave"

Конфигурация контейнера после создания через GUI:

arch: amd64
cores: 2
hostname: zerotier
memory: 512
net0: name=eth0,bridge=vmbr0,gw=10.10.10.1,hwaddr=BC:24:11:DD:DD:50,ip=10.10.10.11/24,type=veth
onboot: 1
ostype: ubuntu
rootfs: local-zfs:subvol-101-disk-0,mountoptions=discard,size=8G
swap: 512

После добавления в .conf строки
lxc.apparmor.profile = unconfined
и перезагрузки контейнера сеть заработала, как по DHCP, так и с статикой.

Так что, наверное, я не первый, кто столкнулся с этим, но поиски в гугле дали только людей на Reddit несколько лет назад с не связанными проблемами. Может, мой поиск неидеален, но я пытался с запросами типа "proxmox lxc container privileged no networking".

Мой вопрос: это баг или фича? По моему мнению, если снята галочка unprivileged (т.е. контейнер с привилегиями), то при создании конфигурации могла бы сразу добавляться эта строка, чтобы сеть работала, иначе это сбивает с толку.

Теперь думаю: это сделано намеренно, чтобы человек сам руками это делал? Есть ли способ лучше, чем ставить lxc.apparmor.profile = unconfined в конфиг?

То есть, стоит ли GUI/метод создания LXC как-то автоматически решать эту проблему или нет? Если нет, может, стоит предупредить пользователей об этом?
03.05.2025 01:25:00, asahiguy.