<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Mar 29, 2017 at 4:20 AM, Serge E. Hallyn <span dir="ltr"><<a href="mailto:serge@hallyn.com" target="_blank">serge@hallyn.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">Quoting BIGOT Adrien (<a href="mailto:adrien.bigot@smile.fr">adrien.bigot@smile.fr</a>):<br>
> Hello,<br>
><br>
> Actually hosting many containers (2000+) with OpenVZ technology, we<br>
> want to move to LXC/LXD.<br>
> The goal is to host up to 20 unprivilegied containers per<br>
> hypervisor. I'd like to know if there is some best practice<br>
> regarding subuid and subgid in particular if we must have one range<br>
> of subuid/subgid per containers or not.<br>
</span></blockquote><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
</span>It's been discussed a few times, but I can't be bothered to find<br>
links :)  General guidance is if the containers are working together<br>
you can have them share uid ranges.  If they belong to different<br>
groups, or if you want to prevent all chances of one container<br>
subverting another, then give them different ranges.<br>
<div class="gmail-HOEnZb"><div class="gmail-h5"><br></div></div></blockquote><div><br></div><div><br></div><div>... and if you're feeling lazy:<br>- allocate large-enough [ug]id range for root and lxd on /etc/sub[ug]id</div><div>- use newer lxd (e.g. from <a href="https://launchpad.net/~ubuntu-lxc/+archive/ubuntu/stable">https://launchpad.net/~ubuntu-lxc/+archive/ubuntu/stable</a>)</div><div>- set security.idmap.isolated true (<a href="https://github.com/lxc/lxd/blob/master/doc/userns-idmap.md#different-idmaps-per-container">https://github.com/lxc/lxd/blob/master/doc/userns-idmap.md#different-idmaps-per-container</a>)</div><div><br></div><div>It should automatically assign unique [ug]id range for each container with minimal manual setup.</div><div><br></div><div>-- </div><div>Fajar</div></div></div></div>