Documentatie5.9. Nesten
Containers delen allemaal dezelfde hostkernel. Dit betekent dat er altijd een inherente wisselwerking bestaat tussen functies die aan de container worden blootgesteld en de hostbeveiliging van kwaadaardige containers. Containers zijn daarom standaard beperkt in de functies die nodig zijn om onderliggende containers te nesten. Om lxc- of lxd-containers onder een lxd-container te kunnen uitvoeren, moet de functie 'security.nesting' worden ingesteld op true:
lxc-configuratieset container1 security.nesting waar
Zodra dit is gebeurd, kan container1 subcontainers starten.
Om niet-bevoorrechte (de standaard in LXD) containers uit te voeren die zijn genest onder een niet-bevoorrechte container, moet u zorgen voor een voldoende brede UID-toewijzing. Zie het gedeelte 'UID-toewijzing' hieronder.