Tento návod se týká zprovoznění dockeru přímo v naší VPS, tedy pod OpenVZ, což funguje skvěle až na chybějící bezpečnostní features, které nejsou na námi používaných kernelech, viz níže.

LXD naběhne s následujícími Warningy:

• AppArmor support has been disabled because of lack of kernel support
• Couldn't find the CGroup pids controller, process limits will be ignored.
• One or more uid/gid map entry isn't usable (typically due to nesting)
• Only privileged containers will be able to run

Provozu v zásadě nevadí, nutno mít na vědomí jejich význam.

1) vpsAdmin / VPS → Features → je třeba zapnout Bridge, iptables a TUN/TAP (VPS se restartuje)

2) Spusťte následující příkazy (změna subuid a subgid není nutná, ale zvykově ji provádím):

echo "JoinControllers=cpu,cpuacct,cpuset freezer,devices" >> /etc/systemd/system.conf
echo "lxd:100000:1000000000
root:100000:1000000000" > /etc/subuid
echo "lxd:100000:1000000000
root:100000:1000000000" > /etc/subgid
reboot

3) Po rebootu nainstalujte lxd a nakonfigurujde bridge jako obvykle

apt update
apt update && apt upgrade -y && apt install lxd
lxd init
systemctl enable lxd

4) Testujte:

# Nový kontejner (asi to pojede i bez všech parametrů)
lxc launch ubuntu:16.10 nginx -c security.nesting=true -c security.privileged=true -c security.idmap.isolated=true
lxc list
lxc exec nginx -- apt update
lxc exec nginx -- apt upgrade
lxc exec nginx -- apt nginx
iptables -t nat -A PREROUTING -d <public-ip> -p tcp --dport <container-ip> -j DNAT --to <container-ip>:80
iptables -D FORWARD -d <public-ip> -o <bridge-ip> -p tcp -d v --dport 80 -j ACCEPT

Měl by v pořádku běžet - běžte na <public-ip> z prohlížeče pro test.