文件记录5.9. 嵌套
容器都共享相同的主机内核。 这意味着在暴露给容器的功能和来自恶意容器的主机安全之间总是存在固有的权衡。 因此,默认情况下,容器受到嵌套子容器所需的功能的限制。 为了在 lxd 容器下运行 lxc 或 lxd 容器,'security.nesting' 特性必须设置为 true:
lxc 配置集 container1 security.nesting true
完成此操作后,container1 将能够启动子容器。
为了运行嵌套在非特权容器下的非特权(LXD 中的默认值)容器,您需要确保足够宽的 UID 映射。 请参阅下面的“UID 映射”部分。