90 Typische Fehlermuster

Containerfehler folgen oft wiederkehrenden Mustern. Obwohl sie sich als individuelle Symptome äußern – ein Dienst startet nicht, ein Port ist blockiert, Daten gehen verloren –, basieren sie auf einigen wenigen archetypischen Ursachenketten. Diese Muster zu erkennen, reduziert Diagnosezeit erheblich. Podman macht das besonders transparent, da Container direkt als normale Hostprozesse laufen. Statt eines Daemons, der Probleme verdeckt, offenbaren Kernel, Namespaces und Storage-Subsystem unmittelbar, was schiefgeht. Dieses Kapitel beschreibt die Fehlertypen, die in der Praxis am häufigsten auftreten, und zeigt, wie sie identifiziert werden.

90.1 Muster 1: Der Container startet nicht

Dieses Fehlermuster ist so verbreitet wie vielseitig – und dennoch strukturiert analysierbar. Typische Ursachen:

• fehlerhafter Command/Entrypoint
• fehlende Dateien im Image
• falsche Volume-Mounts
• fehlende Permissions
• kollidierende Ports
• ungültiges User-Mapping (rootless)
• Seccomp-, SELinux- oder AppArmor-Verstöße

Diagnose:

1. podman logs <ctr>
2. podman inspect --format '{{.State.ExitCode}}' <ctr>
3. podman inspect → Command/Entrypoint überprüfen
4. journalctl -k → Kernel-Fehler/Denied-Messages

Ein typisches Muster:

Error: exec: "run.sh": stat run.sh: no such file or directory

oder im SELinux-Fall:

permission denied (13)

Die Technik: die Kette aus Entry-Point → Mount → Policy kontrollieren.

90.2 Muster 2: „Port nicht erreichbar“

Dieser Klassiker ist fast immer auf wenigen Ursachen zurückzuführen:

• Prozess lauscht auf 127.0.0.1 statt 0.0.0.0
• falsche Publish-Angabe (-p)
• Firewall blockiert NAT
• falsches Netzwerk
• rootless Podman (slirp4netns Limitierungen)
• anderer Prozess belegt den Port

Diagnose:

podman port <ctr>
podman inspect | jq '.NetworkSettings'
ss -tulpen

Beispiel: Die Anwendung ist erreichbar aus dem Container, aber nicht vom Host. Mögliche Ursache: python -m http.server bindet standardmäßig nur an localhost.

90.3 Muster 3: Container fällt sofort wieder um (Crashloop)

Crashloops haben fast immer dieselben Gründe:

• Applikationsfehler (NullPointer, Dependency fehlt)
• falsche Umgebungsvariablen
• Config File fehlt oder ist leer
• Volume überschreibt Config
• OOM-Killer greift ein
• Seccomp blockiert einen wichtigen Systemcall

Diagnosekette:

1. podman logs
2. podman events --since 10m → zeigt Crash-Zeitpunkte
3. podman inspect --format '{{.State.ExitCode}}'
4. bei OOM: journalctl -k | grep -i oom

Wenn Logs leer sind, war es fast sicher OOM oder ein Policy-Enforcement.

90.4 Muster 4: Container kann nicht schreiben (Storageprobleme)

Ursachen sind fast immer dieselben:

• Volume fehlt
• Volume nicht gemountet
• Volume mit falschem SELinux-Label
• rootless UID/GID-Mapping greift nicht
• Overlay-Layer erschöpft
• Partition voll

Diagnose:

podman inspect <ctr> | jq '.Mounts'
df -h
df -i
ls -lZ

Fehlerbild:

permission denied

→ Aufmerksamkeit auf SELinux-Labels (container_file_t).

90.5 Muster 5: Container hat keine Netzwerkverbindung

Netzwerkfehler im Container sind oft klar strukturiert:

• DNS fehlt oder ist falsch
• Gateway nicht erreichbar
• Rootless: slirp4netns eingeschränkt
• Container in falschem Netzwerk
• Firewall blockiert OUTBOUND
• Routing-Konflikt

Diagnose:

podman exec <ctr> ip route
podman exec <ctr> ping <gateway>
podman exec <ctr> dig google.com

Wenn DNS nicht funktioniert, meistens: falsches /etc/resolv.conf im Host.

90.6 Muster 6: „Daten verschwinden“

Dieses Muster tritt auf, wenn Entwickler Volumes oder Overlay-Verhalten nicht kennen. Typische Ursachen:

• Volume überschreibt Image-Verzeichnis
• Daten im Container-UpperDir statt im Volume gespeichert
• stateless Images mit nicht persistenter Logik
• Container wird neu erstellt, UpperDir geht verloren
• Bind-Mount verwechselt (Hostpfad vs. relativer Pfad)

Diagnose:

podman diff <ctr>
podman volume inspect

Wenn Daten nur im Upper-Layer liegen → beim Recreate verloren.

90.7 Muster 7: Ungewöhnlich hohe Latenz

Performanceprobleme entstehen oft nicht in der Anwendung, sondern in der Containerlaufzeit:

• FUSE-Overlay im rootless Betrieb
• Block-I/O-Limitierungen
• Netzwerkverzögerungen (slirp4netns)
• CPU-Cgroups throttling
• DNS-Roundtrip-Zeit hoch

Diagnose:

podman stats
iostat -xz
podman exec <ctr> time curl http://service

Im rootless Mode sind slirp4netns-Latenzen ein typischer Grund für „gefühlt langsame“ Container.

90.8 Muster 8: „Funktioniert nur auf meinem Rechner“

Dieses Muster beruht selten auf mystischen Unterschieden, sondern auf reproduzierbaren Parametern:

• unterschiedliche Images (latest-Tag)
• abweichende UID/GID Ranges
• rootless vs. rootful
• andere Cgroups-Version (v1 vs. v2)
• Host-Firewall unterschiedlich konfiguriert
• Libraries in Bind-Mounts unterschiedlich

Diagnose:

podman inspect
podman system info
grep <user> /etc/subuid

Insbesondere rootless Cgroups führen zu anderen Limits als rootful.

90.9 Muster 9: Speicherauslastung steigt unkontrolliert

Hier sind möglich:

• Memory-Leaks
• ungecachte Logs
• Datenbanken schreiben ins Overlay → Copy-on-Write eskaliert
• verwaiste Prozesse
• Applikation lädt Dateien in den Arbeitsspeicher

Diagnose:

podman stats
ps auxf
podman diff

Ein wachsender UpperDir zeigt oft ein ungewolltes Write-Pattern.

90.10 Muster 10: Komplexe Podfehler

Pods mit mehreren Containern erzeugen eigene Fehlerszenarien:

• Sidecar-Container nehmen Ports weg
• Init-Container schlägt fehl → Pod bleibt „kalt“
• Hauptcontainer startet, aber Netzwerkpfad fehlt
• gemeinsame Namespaces erzeugen Kollisionen

Diagnose:

podman pod inspect
podman pod logs

Wichtig: Pod-Start bedeutet nicht Container-Start.

90.11 Muster 11: Capabilities oder Seccomp blockieren Funktionen

Viele Entwickler vergessen, dass Container nicht wie Rootprozesse agieren dürfen.

Beispiele:

• CAP_NET_RAW fehlt → ping funktioniert nicht
• CAP_SYS_TIME fehlt → Prozess kann Zeit nicht setzen
• Seccomp blockiert ptrace, clone3, mknod

Diagnose:

podman inspect | jq '.HostConfig.CapAdd'
strace -p <pid>

Fehlt CAP_NET_ADMIN, funktionieren iptables-Kommandos nicht.

90.12 Muster 12: Netzwerk- und Storagefehler durch VPN

Ein weiterer Klassiker:

• VPN verändert Routingtabellen
• Podman-Bridge wird „überschrieben“
• DNS wird über VPN resolvt
• überlappende Subnetze

Diagnose:

ip route
ip addr
systemd-resolve --status

VPN-Probleme erzeugen Containerfehler, die keinerlei Containerursache haben – ein typisches Muster.

Diese Fehlermuster sind de facto die „Big Twelve“ im Containerbereich. Wer sie erkennt, wird in der Lage sein, 90 Prozent aller Podman-Probleme innerhalb weniger Minuten systematisch zu isolieren.