Solaris ゾーンソフトウェア区分技術

この機能は、Solaris Express 2/04 で新しく追加されました。Solaris Express 7/04 では、ゾーンに新しい機能が追加されています。

Solaris ゾーンソフトウェア区分技術は、Solaris コンテナ環境のコンポーネントの 1 つで、オペレーティングシステムサービスを仮想化して、アプリケーションの実行に適した安全で隔離された環境を提供します。ゾーンとは、Solaris オペレーティングシステムの単一インスタンスに作成される、仮想化されたオペレーティングシステム環境です。ゾーンは、基本的に Solaris 標準のインタフェースおよびアプリケーション環境だけで構成され、アプリケーションの移植を必要とするような新しい ABI や API は含みません。

ゾーンごとにカスタマイズされたサービスを提供できます。ゾーンは、複数のアプリケーションを 1 つのサーバーに統合する環境にもっとも適しています。ゾーン内で資源管理機能を使用すると、利用可能なシステム資源をアプリケーションがどのように使用するかを詳細に制御できます。

ゾーンは、箱と見なすことができます。この箱の中で、システムのほかの箱に影響を与えずに、1 つ以上のアプリケーションを実行できます。各ゾーンは隔離されているので、あるゾーンで実行しているプロセスが、ほかのゾーンで実行しているプロセスから監視または干渉されることがありません。スーパーユーザーの資格で実行しているプロセスでも、ゾーンで実行している場合には、ほかのゾーンの動作を表示または操作することはできません。

Solaris オペレーティングシステムの実体は、大域ゾーンだけです。大域ゾーンは、システムのデフォルトのゾーンであり、システム全体の管理に使用されるゾーンでもあります。大域ゾーンで操作を行う管理者は、1 つ以上の非大域ゾーンを作成できます。非大域ゾーンは、ゾーンを作成した管理者が個別に管理します。ゾーン管理者の特権は、非大域ゾーンに対してのみ有効です。

非大域ゾーンでは、必要となるあらゆる詳細なレベルのほとんどの隔離が提供されます。専用の CPU、物理デバイス、物理メモリーの一部分などをゾーンに割り当てる必要はありません。これらの資源は、1 つのドメインまたはシステムで動作しているいくつかのゾーンの間で多重化したり、オペレーティングシステムで使用可能になっている資源管理機能を使用してゾーン単位で割り当てることもできます。小規模の単一プロセッサシステムでも、同時に複数のゾーンに対応できます。

プロセスの隔離を実現するため、プロセスは同じゾーンに含まれるプロセスだけ認識やシグナルの送信ができます。

ゾーン間で基本的な通信を行うには、各ゾーンに 1 つ以上の論理ネットワークインタフェースを割り当てます。同じシステム上の異なるゾーンでアプリケーションを実行している場合には、各ゾーンに個別に割り当てられている IP アドレスを使用するか、ワイルドカードアドレスを使用すると、それらのアプリケーションを同じネットワークポートに割り当てることができます。あるゾーンで実行中のアプリケーションが、別のゾーンのネットワークトラフィックを監視することはできません。それぞれのパケットストリームが同じ物理インタフェースを通過する場合でも、この隔離は維持されます。

各ゾーンには、ファイルシステム階層の一部分が割り当てられます。各ゾーンは、ファイルシステム階層で割り当てられた部分ツリーに限定されます。したがって、特定のゾーンで実行されている作業負荷は、別のゾーンで実行されているほかの作業負荷のディスク上のデータにアクセスすることはできません。

ネームサービスで使用されるファイルは、ゾーン独自のルートファイルシステムのビュー内に置かれます。つまり、あるゾーンのネームサービスはほかのゾーンのネームサービスから隔離されるので、個別に構成することができます。

システム上にゾーンを構成して使用する方法の詳細は、『Solaris のシステム管理 (Solaris コンテナ : 資源管理と Solaris ゾーン)』を参照してください。