Documentation<Précédent | Table des matières | Suivant>
5.9. Imbrication
Les conteneurs partagent tous le même noyau hôte. Cela signifie qu'il existe toujours un compromis inhérent entre les fonctionnalités exposées au conteneur et la sécurité de l'hôte contre les conteneurs malveillants. Les conteneurs par défaut sont donc limités aux fonctionnalités nécessaires pour imbriquer les conteneurs enfants. Pour exécuter des conteneurs lxc ou lxd sous un conteneur lxd, la fonctionnalité 'security.nesting' doit être définie sur true :
ensemble de configuration lxc conteneur1 security.nesting true
Une fois cela fait, container1 pourra démarrer des sous-conteneurs.
Afin d'exécuter des conteneurs non privilégiés (par défaut dans LXD) imbriqués sous un conteneur non privilégié, vous devrez vous assurer d'un mappage UID suffisamment large. Veuillez consulter la section « Mappage de l'UID » ci-dessous.