文件记录6.2.4. 嵌套
为了在容器内运行容器 - 称为嵌套容器 - 父容器配置文件中必须存在两行:
lxc.mount.auto = cgroup
lxc.aa_profile = lxc-container-default-with-nesting
第一个将导致 cgroup 管理器套接字绑定到容器中,以便容器内的 lxc 能够为其嵌套容器管理 cgroup。 第二个导致容器以更宽松的 Apparmor 策略运行,该策略允许容器执行启动容器所需的安装。 请注意,此策略与特权容器一起使用时,远不如常规策略或非特权容器安全。 见第 6.9 节,“Apparmor”[p. 368] 了解更多信息。