<Anterior | Contenido | Siguiente>
5.9. Anidamiento
Todos los contenedores comparten el mismo núcleo de host. Esto significa que siempre existe una compensación inherente entre las características expuestas al contenedor y la seguridad del host de contenedores maliciosos. Por lo tanto, los contenedores están restringidos de forma predeterminada para las funciones necesarias para anidar contenedores secundarios. Para ejecutar contenedores lxc o lxd en un contenedor lxd, la función 'security.nesting' debe establecerse en true:
lxc config establece container1 security.nesting true
Una vez hecho esto, container1 podrá iniciar subcontenedores.
Para ejecutar contenedores sin privilegios (el valor predeterminado en LXD) anidados en un contenedor sin privilegios, deberá garantizar una asignación de UID lo suficientemente amplia. Consulte la sección 'Mapeo de UID' a continuación.