6.2.4. Verschachtelung
Um Container innerhalb von Containern – sogenannte verschachtelte Container – auszuführen, müssen zwei Zeilen in der Konfigurationsdatei des übergeordneten Containers vorhanden sein:
lxc.mount.auto = cgroup
lxc.aa_profile = lxc-container-default-with-nesting
Der erste führt dazu, dass der cgroup-Manager-Socket in den Container eingebunden wird, sodass lxc innerhalb des Containers in der Lage ist, cgroups für seine verschachtelten Container zu verwalten. Die zweite Möglichkeit führt dazu, dass der Container nach einer lockereren Apparmor-Richtlinie ausgeführt wird, die es dem Container ermöglicht, die zum Starten von Containern erforderliche Bereitstellung durchzuführen. Beachten Sie, dass diese Richtlinie bei Verwendung mit einem privilegierten Container weitaus weniger sicher ist als die reguläre Richtlinie oder ein nicht privilegierter Container. Siehe Abschnitt 6.9, „Apparmor“ [S. 368] für weitere Informationen.