ドキュメント5.9. 入れ子
すべてのコンテナは同じホスト カーネルを共有します。 これは、コンテナーに公開される機能と、悪意のあるコンテナーからのホスト セキュリティとの間には、常に固有のトレードオフが存在することを意味します。 したがって、デフォルトでは、コンテナは子コンテナをネストするために必要な機能が制限されています。 lxd コンテナの下で lxc または lxd コンテナを実行するには、「security.nesting」機能を true に設定する必要があります。
lxc config setcontainer1 security.nesting true
これが完了すると、container1 はサブコンテナを起動できるようになります。
非特権コンテナの下にネストされた非特権 (LXD のデフォルト) コンテナを実行するには、十分な幅の UID マッピングを確保する必要があります。 以下の「UID マッピング」セクションを参照してください。