VDS и свой openvz внутри.

VPS c OpenVZ - это неизменяемая константа(

http://www.webhostingtalk.com/showthread.php?t=942234

А посвежее что-то есть?

а что изменилось? контейнер в контейнере не пашет. разве что разнести все по chroot-ам. Или перескочить на VPS с полной виртуализацией, внутро которой поднять кучку контейнеров

Правильные приложения и так чрутятся, сами по себе.

Например?

Bind

Есть у клиента одна VPS на OpenVZ

Насколько я понимаю, LXC/Docker там использовать невозможно

Так вот, как выйти из ситуации?

Взять vds на kvm

Читай выше

LXC в принципе умеет вложенность контейнеров (при-чём неограниченную). Но во-первых LXC это не OVZ, во-вторых это ещё разрешить нужно.
Так-что в текущем виде задача ТС не имеет решения. Если конечно не приравнять chroot к виртуалке (:

А что чрут не может что lxc может?

Это шутка такая, да?
Чрут это, по сути, нэймспэйс файловой системы. LXC, как и любой контейнер, это набор нэйсмпэйсов для различных ядерных подсистем (в том числе ФС).
Контейнер это сильно больше чем chroot.

Ну а если следующий клиент тебя на shared-хостинге потребует это же сделать?

так тут ведь речь не про LXC. перед тем как ответить я на всякий случай погуглил на предмет nested ovz

Ты писал «контейнер в контейнере не пашет». OVZ не пашет (вроде как), LXC в принципе может.
Просто уточнил.

пардон, я имел ввиду OVZ

А что чрут не может что lxc может?

Мальчик, кто тебя подпустил к компьютеру?

Нет, я знаю что такое lxc и что такое чрут и даже в чем у них различия в теории. Меня интересует в прикладном применении

Мне необязательно запускать ovz в ovz-контейнере. Я вполне рассматриваю вариант запуска lxc/docker в ovz

Если бы ты потратил пять минут на теорию (хотя бы по вики), то сэкономил бы время затраченное на этот тред. Эффективность, Инновации!
Все упирается в хост твоей vps. Он (хостовый ovz) не может во вложенные контейнеры. А если бы и мог (lxc) - тебе бы не разрешили.

Если вкратце — из чрута можно сбежать.

Думаю такое возможно, но только если админ хоста (провайдер VPS) отдельно озаботится такой возможностью.
А ещё OVZ зачастую использует довольно винтажные ядра. LXC в принципе сыроват, а уж в старых ядрах и подавно.
И ещё не исключено что OVZ ломает что-то в LXC, всё-таки они близкородственные.

У нас виртуалочка на fornex, там kvm. Потыкай палочкой, там вроде триал в наличии.

Ага, понял

Я могу тыкать палочкой куда угодно, но клиент уже пользуется одним сервисом, и съезжать с него не собирается

тогда клиенту надо умерить хотелки

Не клиенту а исполнителю.

наверное и тому и другому. нельзя и рыбку съесть и аквариум выпить

Хотелки - мои, требования - его.

Спасибо за разъяснения, буду думать

Попробуй jailkit ещё.
С другой стороны, по сути это всего лишь прокачанный chroot…

Взгляну, спасибо

Ещё один jail

https://l3net.wordpress.com/projects/firejail/

контейнер внутри openvz

Внутри должен нормально работать user-mode-linux PS: про firejail с интересом прочитал. но он тоже из разряда openvz, только без cgroups