LXC & OverlayFS

Одна опция состоит в том, чтобы полностью установить веб-приложение в контейнере LXD и предоставить им доступ к этому контейнеру LXD по SSH. Таким образом Ваш хост не будет выставлен вообще, и что происходит в этом контейнере веб-приложения, остается в контейнере веб-приложения. Если у Вас есть несколько клиентов на том же сервере, можно поместить каждого клиента в их собственный контейнер. Затем настройте обратный прокси (такой как HAProxy) для направления каждого входящего соединения с соответствующим контейнером. Посмотрите, например, https://www.digitalocean.com/community/tutorials/how-to-host-multiple-web-sites-with-nginx-and-haproxy-using-lxd-on-ubuntu-16-04 можно также установить HAProxy как прокси Завершения TLS, подразумевая, что все веб-сайты будут https и сертификатами будут управлять в единственном местоположении в HAProxy.

Если Вы действительно, что сделать то, что Вы описали в вопросе, вот - то, как сделать это: 1. Вы не делаете никакой путаницы с overlayFS, потому что он не работает таким образом в LXC/LXD. 2. Можно связать - монтируют (https://blog.ubuntu.com/2016/12/08/mounting-your-home-directory-in-lxd) каталог веб-приложения от хоста, чтобы заставить его появиться в контейнере. В контейнере они смогут видеть подкаталог, который имеет файлы веб-приложения. Однако, они могли легко изменить .php файл и выставить Ваш хост страшными способами. Поэтому пойдите для первой опции.

Кроме того, см. https://discuss.linuxcontainers.org/t/comparing-lxd-vs-lxc/24 для различия между LXC и LXD.