<div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><a href="https://github.com/docker/docker/issues/1034" target="_blank">https://github.com/docker/docker/issues/1034</a></div><div><a href="https://github.com/docker/docker/issues/2918" target="_blank">https://github.com/docker/docker/issues/2918</a></div><div><a href="https://github.com/docker/docker/issues/2919" target="_blank">https://github.com/docker/docker/issues/2919</a></div><div><br></div><div>resume: Docker daemon requires real root rights in the node for aufs mount/dismount layers, iptables rules. unprivileged containers == user namespaces, and this will not work with Docker (one reason why i prefer lxc/lxd + Ansible than Docker)</div></blockquote><div><br></div><div>Yes, the docker daemon does fail when you try to use a layered FS for storage and their libcontainer driver. But when I switched to VFS for storage and LXC driver for exec, I did manage to get the docker daemon running. I think this is very recent, but after docker 1.2 I think when the removed a bunch of capabilities that docker would need. So I definitely can't run a privileged docker container inside LXC but should be able to run a docker container without any capabilities. I'm I missing something? The problem is what Serge mentions that the docker containers try to create devices and fail to do so because of the containers have no perms.</div><div><br></div><div>Switching the app_armor profile also won't help if I understand correct?</div></div></div>