Хочется странного: докер контейнер без демона.
Т.е. есть докер образ, из него хочется запустить программулинку.
Но докер или любой другой демон не хочется использовать (нельзя). Т.е. фактически нужен функционал наподобие чрута, который бы транслировал запросы к определённым путям на хост, а все остальные - внутрь read-only файловой системы образа с бинарными зависимостями (его можно распаковать/перепаковать в какой нужно формат).
Вангую, что подобное можно сделать с помощью просто systemd-container. Но сходу не нагуглил примеров чего-то похожего.
Может кто-то делал что-то похожее и есть что-то типа инструкции?