5.9. Verschachtelung
Alle Container nutzen denselben Host-Kernel. Dies bedeutet, dass es immer einen inhärenten Kompromiss zwischen den dem Container ausgesetzten Funktionen und der Hostsicherheit vor bösartigen Containern gibt. Container sind daher standardmäßig auf Funktionen beschränkt, die zum Verschachteln untergeordneter Container erforderlich sind. Um lxc- oder lxd-Container unter einem lxd-Container auszuführen, muss die Funktion „security.nesting“ auf true gesetzt sein:
lxc config set container1 security.nesting true
Sobald dies erledigt ist, kann Container1 Untercontainer starten.
Um nicht privilegierte (die Standardeinstellung in LXD) Container auszuführen, die unter einem nicht privilegierten Container verschachtelt sind, müssen Sie eine ausreichend breite UID-Zuordnung sicherstellen. Bitte lesen Sie den Abschnitt „UID-Zuordnung“ weiter unten.