前回は、root権限で起動するコンテナを使って多段にネストさせたコンテナを起動させたり、LXCコンテナ内でDockerを起動したりしました。 今回は、一般ユーザで起動する非特権コンテナでネストを試してみます。同時に、Ubuntu 16.04で採用された、一般ユーザに書き込み権限のあるcgroupを作るためのpam_cgfsも紹介します。 pam_cgfs コンテナのネストを試す前に、一般ユーザ権限で起動する非特権コンテナで使用するpam_cgfsというPAMモジュールを紹介します。pam_cgfsはLXCFSに含まれています。 Ubuntuではこれまで、cgmanagerやパッチを適用したsystemd-logindを使って、ユーザ権限で操作できるcgroupを作成し、非特権コンテナを起動してきました。Ubuntu 16.04では、ログイン時にpam_cgfsというPAMモジュールを使って