Sua fonte descreve uma apresentação feita pelo desenvolvedor do systemd, Lennart Poettering. Lennart é funcionário da Red Hat. Tanto o Red Hat Enterprise Linux quanto a distribuição da comunidade Fedora Linux usam o SELinux.
A integrao entre o systemd-nspawn e o SELinux parece estar quebrada, e. veja rhbz1416540 . Além disso, se você tentar acessar a rede de um container iniciado em um namespace de rede privada no Fedora Linux, (o padrão quando usar [email protected] ), será bloqueado pelo firewalld .
Minha conclusão foi que systemd-nspawn não é suportado para a execução de contêineres como servidores. Provavelmente, ele é executado em sistemas não-Red Hat, mas você não terá o benefício de nenhuma proteção baseada em LSM . A menos que você possa fazer alguma coisa sozinho.
Observe que outros gerenciadores de contêiner conhecidos incluem proteções baseadas em LSM. Particularmente Docker, mas o LXC também inclui alguma política para o AppArmor.
Estar pronto para produção implicaria que as pessoas estão auditando, documentando ou até mesmo publicando como usar o systemd-nspawn com segurança. Eu acho que os desenvolvedores do systemd estão sendo honestos em admitir que eles não estão realmente fazendo isso, pelo menos no momento.