test

Guía de administración de sistemas: administración de recursos y contenedores de Oracle Solaris y zonas de Oracle Solaris

Capítulo 16 Introducción a Solaris Zones

La función Zonas de Solaris del sistema operativo Solaris proporciona un entorno aislado en el que ejecutar aplicaciones en el sistema. Zonas de Solaris es un componente del entorno de contenedores de Solaris.

Este capítulo trata de los temas siguientes:

Si está listo para empezar a crear zonas en el sistema, omita el Capítulo 17Configuración de zonas no globales (descripción general).

Descripción general de las zonas

La tecnología de partición de zonas de Solaris se utiliza para virtualizar servicios del sistema operativo y proporcionar un entorno aislado y seguro para ejecutar aplicaciones. Una zona es un entorno de sistema operativo virtualizado creado en una única instancia del sistema operativo Solaris. Cuando se crea una zona, se genera un entorno de ejecución de aplicaciones en el que los procesos están aislados del resto del sistema. Este aislamiento evita que los procesos que se están ejecutando en una zona sean controlados o se vean afectados por los procesos que se están ejecutando en otras zonas. Incluso un proceso que se está ejecutando con credenciales de superusuario no puede ver ni afectar a la actividad que se esté realizando en otras zonas.

Una zona también proporciona un nivel abstracto que separa las aplicaciones de los atributos físicos del equipo en el que se han implementado. Entre los ejemplos de este tipo de atributos, se incluyen las rutas de dispositivos físicos.

Las zonas pueden utilizarse en cualquier equipo en el que se ejecute como mínimo Solaris 10. El límite máximo de número de zonas en un sistema es de 8192. El número de zonas que se pueden alojar de manera efectiva en un único sistema viene determinado por la cantidad total de requisitos de recursos del software que se esté ejecutando en todas las zonas.

En la versión Solaris 10, existen dos tipos de modelos de sistema de archivos raíz de zona no global: disperso y raíz completa. El modelo de zona raíz dispersa optimiza el uso compartido de objetos. El modelo de zona raíz completa permite la máxima configuración. Estos conceptos se describen en el Capítulo 18Planificación y configuración de zonas no globales (tareas).

Solaris 10 9/10: los productos que se instalan, denominados activos del sistema, están controlados por una función de registro automático. Durante la instalación, el usuario proporciona credenciales o se registra de forma anónima. Cuando se reinicia el sistema, las etiquetas de servicio para los nuevos productos se cargan en el servidor My Oracle Support. Esta función sólo es efectiva en la zona global. Consulte System Administration Guide: Basic Administration para obtener más información.

Acerca de las zonas con marca

Las zonas con marca (BrandZ) proporcionan la estructura para crear contenedores que incluyan conjuntos alternativos de comportamientos de tiempo de ejecución. El término marca puede hacer referencia a una amplia variedad de entornos operativos. Por ejemplo, la zona no global puede emular al sistema operativo Solaris 8, o un entorno operativo, como Linux.

La marca define el entorno operativo que puede instalarse en la zona y determina cómo se comportará el sistema dentro de la zona para que el software instalado en la zona funcione correctamente. Asimismo, la marca de una zona se utiliza para identificar el tipo de aplicación correcta en el momento de su inicio. Toda la administración de zonas con marca se lleva a cabo mediante extensiones a los comandos de zonas estándar. La mayoría de los procedimientos de administración son idénticos para todas las zonas.

Las siguientes dos marcas son compatibles en máquinas SPARC que utilizan el sistema operativo Solaris 10 8/07 o una versión posterior de Solaris 10:

Entre otras marcas compatibles con el sistema operativo Solaris 10 se incluyen:

Aunque puede configurar e instalar zonas con marca en un sistema Trusted Solaris con etiquetas activas, no puede iniciar las zonas con marca con esta configuración del sistema.

Cuándo se utilizan las zonas

Las zonas son idóneas para entornos que consolidan varias aplicaciones en un único servidor. Debido al coste y la complejidad de administrar varios equipos, se recomienda consolidar varias aplicaciones en servidores más grandes y escalables.

La siguiente figura muestra un sistema con tres zonas. Cada una de las zonas ( apps, users y work) ejecuta una carga de trabajo no relacionada con las cargas de trabajo de las demás zonas, en un ejemplo consolidado. Este ejemplo ilustra que pueden ejecutarse diferentes versiones de la misma aplicación sin las consecuencias negativas de las diferentes zonas, para que cumplan los requisitos de la consolidación. Cada zona puede proporcionar un conjunto se servicios personalizados.

Figura 16–1 Ejemplo de consolidación de servidor de zonas

Pueden ejecutarse diferentes versiones de la misma aplicación en diferentes zonas sin consecuencias negativas.

Las zonas permiten un uso más eficaz de los recursos en el sistema. La reasignación dinámica de recursos permite mover los recursos no utilizados a otros contenedores, según precise. El aislamiento de seguridad y fallos significa que las aplicaciones con un comportamiento anómalo no requieren un sistema dedicado e infrautilizado. Con el uso de las zonas, estas aplicaciones pueden consolidarse con otras aplicaciones.

Las zonas permiten delegar algunas funciones administrativas a la vez que se mantiene la seguridad global del sistema.

Funcionamiento de las zonas

Una zona no global sería similar a una caja. Una o varias aplicaciones pueden ejecutarse en esa caja sin interactuar con el resto del sistema. Las zonas de Solaris aíslan las aplicaciones y servicios utilizando unos límites flexibles y bien definidos. Las aplicaciones que se ejecutan en la misma instancia del sistema operativo Solaris se pueden administrar de forma independiente. De este modo, pueden ejecutarse diferentes versiones de la misma aplicación en zonas distintas, para cumplir los objetivos de la configuración.

Un proceso asignado a una zona puede manipular, supervisar y comunicarse directamente con otros procesos asignados a la misma zona. El proceso no puede llevar a cabo estas funciones con procesos que están asignados a otras zonas del sistema o con procesos que no están asignados a ninguna zona. Los procesos asignados a diferentes zonas sólo pueden comunicarse a través de las API de red.

A partir de Solaris 10 8/07, las redes IP pueden configurarse de modos distintos, en función de si la zona tiene su instancia IP exclusiva o comparte la configuración y el estado de la capa de IP con la zona global. Para obtener más información sobre los tipos de IP en las zonas, consulte Interfaces de red de zona. Para obtener información relativa a la configuración, consulte Cómo configurar la zona.

Cada sistema Solaris contiene una zona global. La zona global tiene una doble función. La zona global es tanto la zona predeterminada para el sistema, como la zona que se usa para el control administrativo de todo el sistema. Todos los procesos se ejecutan en la zona global si el administrador global no crea zonas no globales, denominadas simplemente zonas.

La zona global es la única zona desde la que se puede configurar, instalar, gestionar o desinstalar una zona no global. Sólo es posible iniciar la zona global desde el hardware del sistema. La administración de la infraestructura del sistema, como dispositivos físicos, enrutamiento en una zona IP compartida o reconfiguración dinámica (DR), sólo es posible en la zona global. Algunos procesos con privilegios adecuados que se ejecuten en la zona global pueden acceder a objetos asociados con otras zonas.

Los procesos sin privilegios en la zona global podrían llevar a cabo operaciones no permitidas para los procesos con privilegios en una zona no global. Por ejemplo, los usuarios de la zona global pueden ver información sobre cada uno de los procesos del sistema. Si esta función presenta un problema para su sitio, puede restringir el acceso a la zona global.

Se asigna un nombre a cada zona, incluida la zona global. La zona global siempre tiene el nombre global. Cuando se inicia la zona, el sistema también asigna a cada zona un identificador numérico exclusivo. La zona global siempre se asigna al ID 0. Los nombres de zona e ID numéricos se describen en Uso del comando zonecfg.

Cada zona también tiene un nombre de nodo completamente independiente del nombre de la zona. El nombre de nodo lo asigna el administrador de la zona. Para obtener información adicional, consulte Nombre de nodo de zona no global.

Cada zona tiene una ruta a su directorio raíz relativa al directorio raíz de la zona global. Para más información, consulte Uso del comando zonecfg.

La clase de planificación para una zona no global se configura como la clase de planificación para el sistema de forma predeterminada. Consulte Clase de planificación en una zona para conocer los métodos que se utilizan para configurar la clase de planificación de una zona.

Puede utilizar el comando priocntl que se describe en la página del comando man priocntl(1) para mover los procesos en ejecución a una clase de planificación diferente sin cambiar la clase de planificación predeterminada ni reiniciar.

Resumen de la función de zonas

La tabla siguiente resume las características de las zonas globales y no globales.

Tipo de zona 

Característica 

Global 

 

  • El sistema le asigna el ID 0

  • Proporciona la única instancia del núcleo de Solaris que se puede iniciar y ejecutar en el sistema

  • Contiene una instalación completa de los paquetes de software del sistema Solaris

  • Puede contener paquetes de software adicionales, así como archivos, directorios, software y otros datos adicionales que no se instalan mediante paquetes

  • Proporciona una base de datos de productos completa y coherente que contiene información acerca de todos los componentes de software instalados en la zona global

  • Almacena solamente la información de configuración específica para la zona global como, por ejemplo, la tabla del sistema de archivos y el nombre de host de la zona global

  • Se trata de la única zona que tiene información de todos los dispositivos y todos los sistemas de archivos

  • Es la única zona que tiene constancia de la existencia y la configuración de la zona no global

  • Es la única zona desde la que se puede configurar, instalar, gestionar o desinstalar una zona no global

No global 

 

  • El sistema le asigna un ID de zona cuando se inicia la zona

  • Comparte el funcionamiento en el núcleo de Solaris iniciado desde la zona global

  • Tiene instalado un subconjunto de los paquetes de software del sistema operativo Solaris

  • Contiene paquetes de software Solaris compartidos desde la zona global

  • Puede contener paquetes de software instalados adicionales que no estén compartidos desde la zona global

  • Puede contener archivos, directorios, software y otros datos adicionales creados en la zona no global que no se instalan mediante paquetes y no están compartidos desde la zona global

  • Dispone de una base de datos de productos coherente que incluye información acerca de todos los componentes de software instalados en la zona, con independencia de que estén presentes en la zona no global o que sean elementos de sólo lectura compartidos desde la zona global

  • No tiene información sobre la existencia de ninguna otra zona

  • No se pueden instalar, gestionar ni desinstalar otras zonas, incluida ella misma

  • Dispone solamente de información de configuración específica para dicha zona no global como, por ejemplo, la tabla del sistema de archivos y el nombre de host de la zona no global

  • Puede tener su propia configuración de zona horaria

Administración de las zonas no globales

Un administrador global tiene privilegios de superusuario o el rol de administrador principal. Cuando el administrador global inicia sesión en la zona global, puede supervisar y controlar el sistema de forma global.

Un administrador de zona puede administrar una zona no global. El administrador global asigna el perfil de administración de zona al administrador de zona. Los privilegios de un administrador de zona se reducen a una zona no global.

Creación de zonas no globales

El administrador global utiliza el comando zonecfg para configurar una zona especificando varios parámetros para la plataforma virtual y el entorno de aplicación de la zona. A continuación, el administrador global instala la zona, y utiliza el comando de administración de zonas zoneadm para instalar software en el paquete de la jerarquía del sistema de archivos que se ha establecido para la zona. El administrador global puede iniciar sesión en la zona instalada utilizando el comando zlogin. En el primer inicio de sesión, se completa la configuración interna para la zona. A continuación, se utiliza el comando zoneadm para iniciar la zona.

Para obtener información sobre la configuración de zonas, consulte el Capítulo 17Configuración de zonas no globales (descripción general). Para obtener información sobre la instalación de zonas, consulte el Capítulo 19Cómo instalar, detener, clonar y desinstalar zonas no globales (descripción general). Para obtener información sobre el inicio de sesión de las zonas, consulte el Capítulo 21Inicio de sesión en zonas no globales (descripción general).

Modelo de estado de zona no global

Una zona no global puede tener uno de los seis estados siguientes:

Configurada

La configuración de la zona está completa y se envía a una ubicación de almacenamiento estable. Sin embargo, todavía no están presentes los elementos del entorno de aplicación de la zona que deben especificarse tras el inicio inicial.

Incompleta

Durante una operación de instalación o desinstalación, zoneadm define el estado de la zona de destino como incompleto. Cuando la operación se completa correctamente, el estado se configura con el estado correcto.

Instalada

La configuración de la zona se instancia en el sistema. El comando zoneadm permite verificar que la configuración se pueda utilizar correctamente en el sistema Solaris designado. Los paquetes se instalan bajo la ruta raíz de la zona. En este estado, la zona no tiene ninguna plataforma virtual asociada.

Lista

Se establece la plataforma virtual para la zona. El núcleo crea el proceso zsched, las interfaces de red se configuran y ponen a disposición de la zona, los sistemas de archivos se montan y los dispositivos se configuran. El sistema asigna un ID de zona único. En esta fase, no se ha iniciado ningún proceso asociado con la zona.

Ejecutándose

Los procesos del usuario asociados con el entorno de aplicación de la zona están en ejecución. La zona pasa al estado de ejecución en cuanto se crea el primer proceso de usuario asociado con el entorno de aplicación (init).

Cerrándose y cerrada

Se trata de estados de transición visibles cuando se está deteniendo la zona. Sin embargo, si una zona no puede cerrarse por cualquier motivo, se detendrá en uno de estos estados.

El Capítulo 20Cómo instalar, iniciar, detener, desinstalar y clonar zonas no globales (tareas) y la página del comando man zoneadm(1M) describen cómo utilizar el comando zoneadm para iniciar las transiciones entre estos estados.

Tabla 16–1 Comandos que afectan al estado de la zona

Estado de zona actual 

Comandos aplicables 

Configurada 

zonecfg -z nombre_zona verify

zonecfg -z nombre_zona commit

zonecfg -z nombre_zona delete

zoneadm -z nombre_zona attach

zoneadm -z nombre_zona verify

zoneadm -z nombre_zona install

zoneadm -z nombre_zona clone

También puede utilizar zonecfg para cambiar el nombre de una zona que tenga el estado de configurada o instalada.

Incompleta 

zoneadm -z nombre_zona uninstall

Instalada 

zoneadm -z nombre_zona ready (opcional)

zoneadm -z nombre_zona boot

zoneadm -z nombre_zona uninstall desinstala la configuración de la zona especificada del sistema.

zoneadm -z nombre_zona move ruta

zoneadm -z nombre_zona detach

zonecfg -z nombre_zona puede utilizarse para añadir o eliminar una propiedad attr, bootargs, capped-memory, dataset, dedicated-cpu, device, fs, ip-type, limitpriv, net, rctl o scheduling-class. También puede cambiar el nombre de una zona que tenga el estado de instalada. Los recursos inherit-pkg-dir no se pueden cambiar.

Lista 

zoneadm -z nombre_zona boot

zoneadm halt y el reinicio del sistema devuelven una zona con el estado de lista al estado de instalada.

zonecfg -z nombre_zona puede utilizarse para añadir o eliminar una propiedad attr, bootargs, capped-memory, dataset, dedicated-cpu, device, fs, ip-type, limitpriv, net, rctl o scheduling-class. Los recursos inherit-pkg-dir no se pueden cambiar.

Ejecutándose 

zlogin opciones zonename

zoneadm -z nombre_zona reboot

zoneadm -z nombre_zona halt devuelve a una zona lista el estado de instalada.

zoneadm halt y el reinicio del sistema devuelven una zona en ejecución al estado de instalada.

zonecfg -z nombre_zona puede utilizarse para añadir o eliminar una propiedad attr, bootargs, capped-memory, dataset, dedicated-cpu, device, fs, ip-type, limitpriv, net, rctl o scheduling-class. Los recursos zonepath y inherit-pkg-dir no se pueden cambiar.

Nota –

Los parámetros que se modifican con zonecfg no afectan a una zona en ejecución. La zona debe reiniciarse para que los cambios surtan efecto.

Características de las zonas no globales

Una zona proporciona aislamiento a prácticamente cualquier nivel de granularidad que se desee. Una zona no necesita una CPU dedicada, ni un dispositivo físico ni una porción de memoria física. Estos recursos pueden estar multiplexados a lo largo de varias zonas que se ejecuten en un único sistema o dominio. También pueden estar asignados en función de las zonas usando las funciones de gestión de recursos que estén disponibles en el sistema operativo.

Cada zona puede proporcionar un conjunto se servicios personalizados. Para aplicar el aislamiento básico de los procesos, cada uno de ellos puede ver o señalar únicamente aquellos procesos que se encuentren en la misma zona. La comunicación básica entre las zonas se lleva a cabo asignando conectividad de red a cada IP de zona. Una aplicación que se ejecute en una zona no puede observar el tráfico de red de otra zona. Este aislamiento se mantiene aunque los respectivos flujos de paquetes viajen a través de la misma interfaz física.

Cada zona cuenta con una porción de la jerarquía del sistema de archivos. Como cada zona está limitada a su árbol de la jerarquía del sistema de archivos, una carga de trabajo que se esté ejecutando en una zona concreta no puede acceder a los datos que estén en un disco de otra carga de trabajo que se ejecute en una zona diferente.

Los archivos utilizados por los servicios de nombres residen en la vista de un sistema de archivos raíz propia de una zona. De esta forma, los servicios de nombre que estén en distintas zonas estarán aislados unos de otros y podrán configurarse de forma diferente.

Uso de las funciones de administración de recursos con las zonas no globales

Si utiliza funciones de administración de recursos, debe alinear los límites de los controles de administración de recursos con los de las zonas. Esta alineación crea un modelo más completo de un equipo virtual, en el que es posible controlar el acceso al espacio de nombres, el aislamiento de seguridad y el uso de los recursos.

Cualquier requisito especial para utilizar las distintas funciones de administración de recursos con las zonas se describe en los capítulos de este manual relativos a dichas funciones.

Funciones proporcionadas por las zonas no globales

Las zonas no globales proporcionan las siguientes funciones:

Seguridad

Una vez colocado un proceso en una zona que no sea la global, ni el proceso ni sus procesos subordinados pueden cambiar las zonas.

Los servicios de red pueden ejecutarse en una zona. Al ejecutar servicios de red en una zona, se limitan los posibles daños en caso de una infracción de la seguridad. Un intruso que consiga explotar una brecha de seguridad en el software que se ejecuta en una zona está limitado al conjunto restringido de acciones posibles en la zona. Los privilegios disponibles dentro de una zona no global son un subconjunto de los disponibles en el sistema de forma global.

Aislamiento

Las zonas permiten la implementación de múltiples aplicaciones en el mismo equipo, aunque dichas operaciones funcionen en diferentes dominios de confianza, requieren un acceso exclusivo a un recurso global o presentan dificultados con las configuraciones globales. Por ejemplo, varias aplicaciones que se ejecutan en diferentes zonas de IP compartida en el mismo sistema pueden vincularse al mismo puerto de red utilizando las diferentes direcciones IP asociadas con cada zona o utilizando la dirección comodín. Las aplicaciones tampoco pueden supervisar ni interceptar el tráfico de red, datos del sistema de archivos o de los procesos de las otras aplicaciones.

Aislamiento de red

Si una zona debe aislarse en la capa IP de la red, por ejemplo, conectándose a diferentes VLAN o LAN que la zona global y otras zonas no globales, la zona puede tener una dirección IP exclusiva por motivos de seguridad. La zona con la dirección IP exclusiva puede utilizarse para consolidar las aplicaciones que deben comunicarse en diferentes subredes que se encuentran en diferentes VLAN o LAN.

Las zonas también pueden configurarse como zonas de IP compartida. Estas zonas se conectan a las mismas VLAN o LAN que la zona global y comparten la configuración de ruta de la dirección IP con la zona global. Las zonas de IP compartida tienen direcciones IP distintas, pero comparten otras partes de la dirección IP.

Virtualización

Las zonas proporcionan un entorno virtualizado que puede ocultar detalles como los dispositivos físicos, la dirección IP principal del sistema y el nombre de sistema de las aplicaciones. El mismo entorno de aplicación puede mantenerse en diferentes equipos físicos. El entorno virtualizado permite una administración independiente de cada zona. Las acciones que lleva a cabo el administrador de zona en una zona no global no afectan al resto del sistema.

Granularidad

Una zona puede proporcionar aislamiento a prácticamente cualquier nivel de granularidad. Consulte Características de las zonas no globales para obtener más información.

Entorno

Las zonas no cambian el entorno en el que se ejecutan las aplicaciones, excepto cuando es necesario para alcanzar los objetivos de seguridad y aislamiento. Las zonas no presentan una nueva API o ABI a la que deben importarse las aplicaciones. En lugar de ello, las zonas proporcionan el entorno de aplicación y las interfaces de Solaris estándar, con algunas restricciones. Las restricciones afectan principalmente a las aplicaciones que intentan llevar a cabo operaciones con privilegios.

Las aplicaciones de la zona global se ejecutan sin modificaciones, tanto si tienen zonas adicionales configuradas como si no las tienen.

Configuración de zonas en el sistema (mapa de tareas)

En la tabla siguiente se proporciona una descripción general de las tareas relacionadas con la configuración de zonas en el sistema por primera vez.

Tarea 

Descripción 

Para obtener instrucciones 

Identificar las aplicaciones que desea ejecutar en las zonas. 

Revise las aplicaciones que se ejecutan en el sistema: 

  • Determine qué aplicaciones son críticas para los objetivos empresariales.

  • Evalúe las necesidades del sistema de las aplicaciones que está ejecutando.

Consulte los objetivos empresariales y la documentación del sistema si es preciso. 

Determinar cuántas zonas configurar. 

Evalúe: 

  • Los requisitos de rendimiento de las aplicaciones que desea ejecutar en las zonas

  • La disponibilidad de los 100 MB de espacio libre en disco que se recomiendan por cada zona que instalar

 

Consulte Evaluación de la configuración del sistema actual.

Determinar si utilizará agrupaciones de recursos con la zona para crear un contenedor. 

Si también utiliza funciones de administración de recursos en el sistema, alinee las zonas con los límites de administración de recursos. Configure las agrupaciones de recursos antes de configurar las zonas. 

A partir de Solaris 10 8/07, puede añadir controles de recursos para las zonas y funciones de agrupaciones para una zona rápidamente con las propiedades zonecfg.

Consulte Cómo configurar la zona y el Capítulo 13Creación y administración de agrupaciones de recursos (tareas).

Llevar a cabo tareas de preconfiguración. 

Determine el nombre y la ruta de la zona. Determine si la zona será una zona de IP compartida o de IP exclusiva, y obtenga direcciones IP o el nombre del vínculo de datos. Determine los dispositivos y sistemas de archivos necesarios para cada zona. Determine la clase de planificación para la zona. Establezca el conjunto de privilegios a los que deben limitarse los procesos que hay dentro de la zona, si no es suficiente el conjunto predeterminado estándar. Algunas opciones de zonecfg agregan privilegios automáticamente. Por ejemplo, ip-type=exclusive agrega de manera automática varios privilegios necesarios para configurar y administrar pilas de redes.

Para obtener información sobre el nombre y la ruta de la zona, los tipos de IP, las direcciones IP, los sistemas de archivos, los dispositivos, la clase de planificación y los privilegios, consulte el Capítulo 17Configuración de zonas no globales (descripción general) y Evaluación de la configuración del sistema actual. Para ver una lista de los privilegios predeterminados y los privilegios que pueden configurarse en una zona no global, consulte Privilegios en una zona no global. Para obtener información sobre la disponibilidad de las funciones IP, consulte Redes en zonas no globales de IP compartida y Solaris 10 8/07: redes en zonas no globales de IP exclusiva.

Desarrollar configuraciones. 

Configure las zonas no globales. 

Consulte Configuración, verificación y confirmación de una zona y la página del comando man zonecfg(1M).

Como administrador global, verificar e instalar las zonas configuradas. 

Es necesario verificar e instalar las zonas antes del inicio de sesión. 

Consulte el Capítulo 19Cómo instalar, detener, clonar y desinstalar zonas no globales (descripción general) y el Capítulo 20Cómo instalar, iniciar, detener, desinstalar y clonar zonas no globales (tareas).

Como administrador global, iniciar sesión en cada zona no global utilizando el comando zlogin con la opción -C o colocar un archivo sysidcfg en el directorio /etc de la zona.

 

Consulte el Capítulo 21Inicio de sesión en zonas no globales (descripción general) y el Capítulo 22Registro en zonas no globales (tareas).

Como administrador global, iniciar la zona no global. 

Inicie cada zona para colocarla en el estado de ejecución. 

Consulte el Capítulo 19Cómo instalar, detener, clonar y desinstalar zonas no globales (descripción general) y el Capítulo 20Cómo instalar, iniciar, detener, desinstalar y clonar zonas no globales (tareas).

Preparar la zona nueva para uso de producción. 

Cree cuentas de usuario, añada software adicional y personalice la configuración de la zona. 

Consulte la documentación para configurar un equipo que acaba de instalar. En esta guía se incluyen las consideraciones especiales aplicables al entorno de zonas.