Seu aplicativo precisa suportar intervalos de MCS, porque o binário é o mesmo para todas as instâncias. É assim que é feito para o isolamento da VM com libvirt nos sistemas RHEL , por exemplo.
Você pode experimentar iniciando instâncias diferentes em intervalos diferentes usando a opção runcon(1) -l .
Dessa forma, você pode usar o mesmo tipo de imposição para todas as instâncias, enquanto executa cada instância em uma categoria diferente. Isso isolaria as instâncias do resto do sistema e entre elas ao mesmo tempo.