Вы не написали, почему выбрали LXC, так как это не самое безопасное решение для виртуализации. Я большой пользователь KVM / XEN, а также LXC, и я могу сказать одно: когда дело доходит до безопасности, я никогда не использую контейнеры Linux (неважно, LXC / OpenVZ / VServer). С KVM / XEN это проще (и надежнее).
Если речь идет о требованиях к производительности или оборудованию, тогда хорошо - вы можете попробовать с LXC, но есть некоторые правила, которые вы должны соблюдать:
- libvirt обеспечивает строгое ограничение контейнеров при использовании SELinux (благодаря LXC_driver) - хотя не уверен, что это только случай RHEL / Centos / Fedora (я не так часто использую Ubuntu / Debian) https://www.redhat.com/archives /libvir-list/2012-January/msg01006.html - поэтому использование SELinux - хорошая идея (на мой взгляд, в таких обстоятельствах это "должно быть")
- Установите строгие правила cgroups, чтобы Ваши гости не заставляли вашего хоста зависать и не влияли на другие контейнеры.
- Я бы предпочел использовать контейнеры на основе LVM - это всегда еще один уровень «безопасности»
- Подумайте о сетевом решении и архитектуре. Эти контейнеры должны общаться друг с другом?
Начните с чтения этого - оно довольно старое, но все же - там много знаний. А также - встретить пользовательские пространства имен
И после всего этого подумайте еще раз - у вас действительно так много времени, чтобы поиграть с безопасностью LXC? KVM просто намного проще ...