Documentazione<Precedenti | Contenuti | Succ.>
5.9. Nidificazione
I contenitori condividono tutti lo stesso kernel host. Ciò significa che esiste sempre un compromesso intrinseco tra le funzionalità esposte al contenitore e la sicurezza dell'host da contenitori dannosi. I contenitori per impostazione predefinita sono quindi limitati dalle funzionalità necessarie per nidificare i contenitori figlio. Per eseguire contenitori lxc o lxd in un contenitore lxd, la funzione "security.nesting" deve essere impostata su true:
La configurazione lxc imposta container1 security.nesting true
Fatto ciò, container1 sarà in grado di avviare i sottocontenitori.
Per eseguire contenitori senza privilegi (l'impostazione predefinita in LXD) annidati in un contenitore senza privilegi, sarà necessario garantire una mappatura UID sufficientemente ampia. Si prega di consultare la sezione "Mappatura UID" di seguito.