yum-utils安装后Docker无法启动？

1. 问题背景与现象描述

在 CentOS/RHEL 系统中，yum-utils 是一个常用的系统管理工具包，提供如 yum-config-manager 等命令用于管理 YUM 软件源。然而，在某些场景下，安装或更新 yum-utils 后会导致 Docker 服务无法正常启动。

典型症状包括：

• systemctl start docker 报错："Failed to start docker.service: Unit not found"
• Docker 守护进程日志中出现 "permission denied" 或 "cannot initialize namespace"
• 执行 docker version 提示客户端正常但服务端未运行
• 使用 journalctl -u docker 查看日志时发现 SELinux 相关拒绝记录

2. 根本原因分析

虽然 yum-utils 本身不直接包含容器运行时组件，但它在安装过程中可能触发以下连锁反应：

3. 故障诊断流程图

```mermaid
graph TD
    A[尝试启动Docker服务失败] --> B{检查服务单元是否存在}
    B -->|Unit not found| C[确认docker.service是否被卸载]
    B -->|Exists but fails| D[查看journalctl -u docker日志]
    D --> E{是否存在SELinux拒绝记录?}
    E -->|Yes| F[检查container-selinux版本]
    E -->|No| G[排查runc/containerd配置]
    F --> H[对比当前与推荐的SELinux策略版本]
    H --> I[决定是否降级或重新安装container-selinux]
```
    

4. 详细排查步骤与命令清单

1. 验证 Docker 服务单元文件是否存在：

   ls /usr/lib/systemd/system/docker.service

2. 查看最近的软件包变更历史：

   yum history | grep -i yum-utils

3. 检查 container-selinux 当前版本：

   rpm -q container-selinux

4. 获取 Docker 启动失败的具体错误信息：

   journalctl -u docker --since "1 hour ago" | grep -i denied

5. 确认 SELinux 运行模式：

   getenforce

6. 列出所有与 Docker 相关的已安装包：

   rpm -qa | grep -E '(docker|container|run)' | sort

7. 检查是否因缺少依赖导致服务未注册：

   systemctl list-unit-files | grep docker

8. 查看 yum-utils 安装引入的依赖变化：

   yum deplist yum-utils

9. 检测是否存在多个仓库提供冲突包：

   repoquery --whatprovides docker-ce

10. 强制重建 RPM 数据库（必要时）：

    rpm --rebuilddb

5. 解决方案与恢复策略

根据上述诊断结果，可采取以下一种或组合方式修复：

• 方案一：重新安装 Docker CE 及其依赖

  yum remove docker-ce docker-ce-cli containerd.io -y
  yum install docker-ce docker-ce-cli containerd.io -y

• 方案二：手动锁定 container-selinux 版本防止升级

  echo "exclude=container-selinux*" >> /etc/yum.conf

• 方案三：从备份恢复 SELinux 策略模块

  semodule -i /path/to/backup/container.pp

• 方案四：临时禁用 SELinux 测试（仅限调试）

  setenforce 0

  注意：生产环境应避免永久关闭 SELinux，建议通过策略模块修复。

6. 预防性最佳实践

为避免未来再次发生类似问题，建议实施以下运维规范：