Créer un conteneur LXC dans Proxmox VE

Ce guide vous accompagne pour créer votre premier conteneur LXC dans Proxmox VE. Vous allez comprendre pourquoi choisir un conteneur plutôt qu’une VM, maîtriser les options de l’assistant de création (privileged vs unprivileged, nesting), et apprendre à gérer vos conteneurs en CLI avec pct. À la fin, vous aurez un conteneur Debian opérationnel, prêt à héberger vos services.

Ce que vous allez apprendre

• La différence entre conteneur LXC et VM KVM : quand choisir l’un ou l’autre
• Privileged vs unprivileged : comprendre les implications de sécurité
• Nesting : autoriser Docker ou d’autres conteneurs à l’intérieur
• Créer un conteneur via l’interface web et en CLI avec pct
• Les templates : où les trouver et comment les télécharger
• Les commandes pct essentielles pour la gestion quotidienne

Prérequis

Élément	Détail
Proxmox VE installé	Version 8.x ou 9.x — guide d’installation
Interface web maîtrisée	Les 3 niveaux Datacenter → Node → Guest — guide interface
Stockage configuré	Au moins un stockage avec le type de contenu “CT Templates”
Réseau fonctionnel	Un bridge configuré (vmbr0 par défaut)

Glissez pour voir

Concepts clés avant de commencer

Conteneur LXC vs VM KVM : quelle différence ?

Un conteneur LXC (Linux Container) partage le noyau Linux de l’hôte Proxmox. Contrairement à une VM qui émule un ordinateur complet avec son propre noyau, le conteneur n’est qu’un processus isolé. Résultat : démarrage instantané, empreinte mémoire minimale, performances natives.

Critère	VM KVM	Conteneur LXC
Noyau	Propre noyau (Linux, Windows, BSD…)	Noyau de l’hôte (Linux uniquement)
Démarrage	10-60 secondes	1-2 secondes
RAM minimum	~256 Mo	~32 Mo
Isolation	Forte (hyperviseur)	Moyenne (namespaces + cgroups)
Overhead	~2-5% CPU, RAM fixe	Quasi nul
OS supportés	Tous (Windows, Linux, BSD…)	Linux uniquement
Live migration	Oui	Non (restart migration)

Glissez pour voir

Analogie : si une VM est un appartement avec ses propres murs, plomberie et électricité, un conteneur est une chambre dans une colocation — plus léger, mais on partage les parties communes (le noyau).

Quand choisir un conteneur ?

Choisissez un conteneur LXC quand :

• Vous faites tourner un service Linux (Nginx, Pi-hole, Home Assistant…)
• Vous voulez un démarrage rapide et peu de ressources consommées
• Vous n’avez pas besoin de Windows ou d’un noyau personnalisé

Choisissez une VM KVM quand :

• Vous avez besoin de Windows ou FreeBSD
• Vous voulez une isolation maximale (production multi-tenant)
• Vous avez besoin de live migration dans un cluster

Privileged vs unprivileged : le choix sécurité

C’est la question la plus importante lors de la création d’un conteneur.

Mode	UID root dans le conteneur	Sécurité	Cas d’usage
Unprivileged (défaut)	Mappé vers UID 100000+	Forte	99% des cas — toujours préférable
Privileged	= root de l’hôte (UID 0)	Faible	Cas spéciaux uniquement

Glissez pour voir

Unprivileged : le root du conteneur (UID 0) est mappé vers un utilisateur non-privilégié de l’hôte (par exemple UID 100000). Même si un attaquant s’échappe du conteneur, il atterrit avec les droits d’un utilisateur lambda. C’est le mode par défaut depuis Proxmox VE 4.0 — gardez-le sauf cas précis.

Privileged : le root du conteneur = le root de l’hôte. Une faille d’évasion = accès root à votre serveur. L’équipe LXC considère ces conteneurs comme non sécurisés par design. N’utilisez que dans un environnement de confiance.

Quand faut-il vraiment privileged ?

Quelques rares cas nécessitent un conteneur privileged :

• Accéder à certains périphériques de l’hôte (NFS server, certains drivers)
• Montages spéciaux (FUSE, certains bind mounts avec ACL)
• Applications très anciennes avec des permissions exotiques

Dans 99% des cas, unprivileged fonctionne. Essayez toujours unprivileged d’abord, passez en privileged uniquement si ça ne marche pas.

Nesting : conteneurs dans le conteneur

Le nesting expose /proc et /sys au conteneur, ce qui permet :

• Docker ou Podman à l’intérieur du conteneur
• D’autres conteneurs LXC imbriqués
• Le fonctionnement de systemd pour isoler ses services

Nesting + unprivileged est la combinaison recommandée pour faire tourner Docker dans un conteneur Proxmox.

Nesting et Ubuntu 24.04+

À partir d’Ubuntu 24.04 et des distributions avec systemd récent, le nesting doit être activé même pour les conteneurs privileged. Proxmox a modifié le comportement par défaut : la checkbox nesting est désactivée par défaut lors de la création d’un conteneur privileged.

Télécharger un template

Avant de créer un conteneur, vous avez besoin d’un template — une image de base contenant un système Linux minimal.

1. Accéder au gestionnaire de templates

   Dans l’interface Proxmox, allez dans : Node → local (ou votre stockage) → CT Templates

   

2. Télécharger un template depuis les dépôts

   Cliquez sur le bouton Templates. Une liste de templates officiels apparaît. Sélectionnez par exemple debian-12-standard puis cliquez sur Download.

   

   Le téléchargement prend quelques secondes. Le template apparaît ensuite dans la liste.

En CLI avec pveam :

# Mettre à jour la liste des templates disponibles
pveam update

# Lister les templates système disponibles
pveam available --section system

# Télécharger un template vers le stockage local
pveam download local debian-12-standard_12.7-1_amd64.tar.zst

# Lister les templates téléchargés
pveam list local

Templates TurnKey Linux

En plus des templates système de base, Proxmox propose des templates TurnKey Linux — des appliances préconfigurées (WordPress, Nextcloud, GitLab…). Pratique pour déployer rapidement un service sans tout installer manuellement.

Créer un conteneur depuis l’interface web

1. Lancer l’assistant de création

   Cliquez sur le bouton bleu Create CT en haut à droite de l’interface. Un assistant en 7 étapes s’ouvre.

2. Onglet General : identité du conteneur

   Option	Valeur recommandée	Explication
   Node	(votre nœud)	Serveur où le CT sera créé
   CT ID	(proposé auto)	Numéro unique — gardez celui proposé
   Hostname	debian-test	Nom d’hôte du conteneur
   Unprivileged container	✅ Coché (défaut)	Mode sécurisé — gardez-le
   Nesting	✅ Coché si Docker	Nécessaire pour Docker/systemd
   Password	(définir)	Mot de passe root du conteneur

   Glissez pour voir

   Convention de nommage

   Adoptez une convention dès le début. Par exemple : {os}-{role}-{env} → debian-pihole-prod, ubuntu-docker-dev.

   

3. Onglet Template : choisir l’image de base

   • Storage : local (ou votre stockage avec les templates)
   • Template : debian-12-standard_12.7-1_amd64.tar.zst

   

4. Onglet Disks : stockage du conteneur

   Option	Valeur recommandée	Explication
   Storage	local-lvm	Stockage pour le rootfs
   Disk size (GiB)	8	8 Go suffisent pour un conteneur de base

   Glissez pour voir

   Redimensionnement facile

   Contrairement aux VM, les conteneurs LXC peuvent être agrandis à chaud (ct en cours d’exécution). Commencez petit, vous pourrez toujours augmenter plus tard avec pct resize.

   

5. Onglet CPU : processeur

   Option	Valeur recommandée	Explication
   Cores	1	1 cœur suffit pour la plupart des services

   Glissez pour voir

   Le conteneur peut utiliser tous les cœurs de l’hôte si vous ne spécifiez pas de limite. La valeur “Cores” définit le maximum.

   

6. Onglet Memory : mémoire vive

   Option	Valeur recommandée	Explication
   Memory (MiB)	512	512 Mo — suffisant pour un conteneur minimal
   Swap (MiB)	512	Swap alloué au conteneur

   Glissez pour voir

   

7. Onglet Network : réseau

   Option	Valeur recommandée	Explication
   Name	eth0	Nom de l’interface dans le conteneur
   Bridge	vmbr0	Bridge par défaut de Proxmox
   IPv4	DHCP ou IP statique	Choisissez selon votre réseau
   Firewall	✅ Coché	Active le firewall Proxmox

   Glissez pour voir

   Pour une IP statique : entrez l’adresse au format CIDR (ex: 192.168.1.100/24) et la gateway (ex: 192.168.1.1).

   

8. Onglet DNS : résolution de noms

   Option	Valeur recommandée	Explication
   DNS domain	(laisser vide)	Hérite de l’hôte
   DNS servers	(laisser vide)	Hérite de l’hôte

   Glissez pour voir

   Par défaut, le conteneur utilise les DNS de l’hôte Proxmox. Vous pouvez spécifier des DNS personnalisés (ex: 1.1.1.1 pour Cloudflare).

9. Onglet Confirm : vérifier et créer

   L’assistant affiche un récapitulatif. Vérifiez que Unprivileged est bien coché, puis cliquez sur Finish.

   Optionnel : cochez Start after created pour démarrer immédiatement.

   

Créer le même conteneur en ligne de commande

L’interface web appelle pct create. Voici l’équivalent CLI :

# Télécharger le template (si pas déjà fait)
pveam download local debian-12-standard_12.7-1_amd64.tar.zst

# Créer le conteneur
pct create 101 local:vztmpl/debian-12-standard_12.7-1_amd64.tar.zst \
  --hostname debian-test \
  --memory 512 \
  --swap 512 \
  --cores 1 \
  --rootfs local-lvm:8 \
  --net0 name=eth0,bridge=vmbr0,ip=dhcp,firewall=1 \
  --unprivileged 1 \
  --features nesting=1 \
  --password "VotreMotDePasseSecurise"

# Démarrer le conteneur
pct start 101

--password vs --ssh-public-keys

En production, préférez --ssh-public-keys pour injecter une clé SSH plutôt qu’un mot de passe :

pct create 101 local:vztmpl/debian-12-standard_12.7-1_amd64.tar.zst \
  --ssh-public-keys ~/.ssh/id_ed25519.pub \
  ...

Accéder au conteneur

Trois méthodes pour ouvrir un shell dans votre conteneur :

Console Proxmox

Dans l’interface web : CT → Console. Une session getty s’ouvre, connectez-vous avec root et le mot de passe défini.

pct enter (recommandé)

Depuis l’hôte Proxmox, entrez directement dans le namespace du conteneur :

# Entrer dans le conteneur (shell root)
pct enter 101

Vous êtes immédiatement root dans le conteneur, sans authentification. C’est la méthode la plus rapide pour l’administration.

SSH

Si SSH est configuré dans le conteneur, connectez-vous classiquement :

ssh root@<ip-du-conteneur>

Pour connaître l’IP du conteneur :

pct exec 101 -- ip addr show eth0

Configurer le nesting pour Docker

Si vous voulez faire tourner Docker dans un conteneur LXC, voici la configuration complète :

1. Activer nesting et keyctl

   # Si le conteneur est déjà créé
   pct set 101 --features nesting=1,keyctl=1

   • nesting : expose /proc et /sys
   • keyctl : nécessaire pour Docker (gestion des clés du noyau)

2. Redémarrer le conteneur

   pct reboot 101

3. Installer Docker dans le conteneur

   pct enter 101
   
   # Dans le conteneur
   apt update && apt install -y curl
   curl -fsSL https://get.docker.com | sh

4. Vérifier que Docker fonctionne

   docker run hello-world

Docker et conteneurs privileged

Docker fonctionne très bien dans un conteneur unprivileged avec nesting et keyctl. Ne passez pas en privileged “pour faire marcher Docker” — ce n’est pas nécessaire et ça dégrade la sécurité.

Si Docker ne démarre pas, vérifiez d’abord que keyctl est activé.

Monter un répertoire de l’hôte (bind mount)

Un bind mount permet d’accéder à un dossier de l’hôte Proxmox depuis le conteneur. Utile pour partager des données ou accéder à un stockage NFS.

# Créer le dossier sur l'hôte
mkdir -p /mnt/bindmounts/shared

# Ajouter le bind mount au conteneur (conteneur arrêté)
pct set 101 --mp0 /mnt/bindmounts/shared,mp=/shared

Le dossier /mnt/bindmounts/shared de l’hôte devient /shared dans le conteneur.

Sécurité des bind mounts

Ne montez jamais des dossiers système (/, /etc, /var) dans un conteneur. Une faille dans le conteneur pourrait compromettre l’hôte.

Créez toujours une arborescence dédiée sous /mnt/bindmounts/ pour vos partages.

Aide-mémoire pct

Les commandes pct essentielles pour gérer vos conteneurs :

Action	Commande	Notes
Créer un CT	pct create <ctid> <template> ...	Voir exemple complet ci-dessus
Lister les CT	pct list	Affiche ID, statut, nom
Démarrer	pct start <ctid>
Arrêter proprement	pct shutdown <ctid>
Forcer l’arrêt	pct stop <ctid>
Redémarrer	pct reboot <ctid>
Entrer dans le CT	pct enter <ctid>	Shell root immédiat
Exécuter une commande	pct exec <ctid> -- <cmd>	Ex: pct exec 101 -- hostname
Voir la config	pct config <ctid>
Modifier un paramètre	pct set <ctid> --<option> <val>	Ex: pct set 101 --memory 1024
Redimensionner disque	pct resize <ctid> rootfs +5G	Agrandir de 5 Go
Cloner un CT	pct clone <ctid> <newctid>	Clone complet
Créer un snapshot	pct snapshot <ctid> <nom>
Supprimer un CT	pct destroy <ctid>	⚠️ Supprime aussi les données

Glissez pour voir

Dépannage

Symptôme	Cause probable	Solution
CT ne démarre pas : “permission denied”	Stockage incompatible avec unprivileged	Utilisez un stockage de type dir ou zfspool (pas certains LVM)
Pas de réseau	Bridge mal configuré	Vérifiez que vmbr0 existe et est up sur l’hôte
Docker échoue : “keyctl” error	Feature keyctl manquante	pct set <ctid> --features keyctl=1 puis reboot
Erreur mapping UID	Bind mount avec unprivileged	Ajustez les permissions du dossier sur l’hôte ou passez en privileged
CT démarre mais services échouent	Nesting manquant pour systemd	pct set <ctid> --features nesting=1
Template non trouvé	Pas téléchargé ou mauvais storage	pveam list local pour vérifier
”Resource busy” à la suppression	CT encore en cours d’exécution	pct stop <ctid> avant pct destroy
Erreur “TASK ERROR: CT is locked”	Opération précédente interrompue	pct unlock <ctid>

Glissez pour voir

À retenir

1. Conteneur LXC = Linux uniquement, mais 10× plus léger qu’une VM. Idéal pour services Linux, Pi-hole, Home Assistant, Nginx…

2. Unprivileged par défaut : gardez ce mode sauf cas très spécifique. C’est beaucoup plus sécurisé.

3. Nesting + keyctl pour Docker : configurez ces features si vous voulez faire tourner Docker dans un conteneur.

4. pct enter est votre meilleur ami : accès root instantané au conteneur sans authentification.

5. Redimensionnement à chaud : contrairement aux VM, vous pouvez agrandir le disque d’un conteneur en cours d’exécution avec pct resize.

6. Bind mounts avec précaution : ne montez jamais de dossiers système. Créez une arborescence dédiée sous /mnt/bindmounts/.

7. Templates TurnKey : pensez-y pour déployer rapidement une application préconfigurée (WordPress, GitLab…).

Prochaines étapes

Créer une VM KVM Quand un conteneur ne suffit pas : VM avec son propre noyau

Concepts stockage LVM-thin, ZFS, répertoires : comprendre les options

Concepts réseau Bridges, VLAN et bonnes pratiques réseau Proxmox

Automatiser avec Ansible Gérer vos conteneurs LXC avec la collection Ansible Proxmox

×

📖 Voir la documentation →