Ubuntu 系统 Docker 启动失败(iptables/nf_tables)问题排查与修复详解
在 Ubuntu 系统中安装 Docker 后,有部分用户在启动 Docker 服务时遇到如下报错:
bash
Failed to start Docker Application Container Engine.
failed to create NAT chain DOCKER: iptables v1.8.7 (nf_tables): Could not fetch rule set generation id: Invalid argument本文将详细解释该问题的原因,并提供完整的修复方案。
问题现象
使用以下命令启动 Docker:
bash
sudo systemctl start docker执行后,使用以下命令查看docker运行情况
bash
sudo systemctl status docker发现状态为 failed,
使用以下命令查看详细错误日志
bash
sudo journalctl -u docker.service --no-pager --since "10 minutes ago"
伴随日志提示:
failed to create NAT chain DOCKER: iptables v1.8.7 (nf_tables): Could not fetch rule set generation id: Invalid argument这是 Docker 在使用默认 iptables-nft 后端时,与内核的 nf_tables 实现存在兼容性问题,无法创建 NAT 表中用于容器网络的 DOCKER chain。
原因分析
Ubuntu 从 20.04 起,iptables 默认使用 nf_tables 模式,而 Docker 更稳定地支持 iptables-legacy 模式。
这就导致 Docker 启动时无法正确配置网络桥接规则,从而守护进程失败退出。
解决方案:切换为 iptables-legacy 模式
1. 确保系统已安装 iptables(非 nft 工具包)
bash
sudo apt install iptables2. 执行切换命令(无需单独安装 iptables-legacy 包)
bash
sudo update-alternatives --config iptables系统会提示你可选项,例如:
选择带有 iptables-legacy 的序号(如 1),然后回车。
同理,切换 IPv6:
bash
sudo update-alternatives --config ip6tables
3. 若缺少 iptables-legacy 可用项,可软链接模拟:
bash
sudo ln -sf /usr/sbin/iptables /usr/sbin/iptables-legacy
sudo ln -sf /usr/sbin/ip6tables /usr/sbin/ip6tables-legacy
sudo update-alternatives --install /usr/sbin/iptables iptables /usr/sbin/iptables-legacy 100
sudo update-alternatives --install /usr/sbin/ip6tables ip6tables /usr/sbin/ip6tables-legacy 100然后再次运行 --config 命令进行选择。
4. 重启 Docker 服务
bash
sudo systemctl daemon-reexec
sudo systemctl restart docker5. 验证是否恢复正常
bash
docker info
docker run hello-world如无报错即修复成功。