В этой главе описываются действия, которые необходимо выполнить перед настройкой типизированной зоны lx на компьютере с архитектурой x64 или x86. Также в этой главе рассматривается использование команды zonecfg.
С использованием типизированных зон lx связаны следующие основные требования к компьютеру.
необходим компьютер с архитектурой x64 или x86;
необходим достаточный объем дискового пространства для хранения файлов, уникальных для каждой зоны lx; требования к дисковому пространству для зоны lx определяются размером и количеством установленных RPM или пакетов Linux;
Для типа lx поддерживается только модель зоны без унаследованных каталогов, так что в каждой установленной зоне содержится собственная копия каждого файла.
На дисковое пространство, потребляемое зоной, не накладываются ограничения. Ограничение пространства входит в сферу ответственности глобального администратора. Глобальный администратор должен убедиться в достаточности локального пространства для размещения корневой файловой системы неглобальной зоны. При достаточном размере пространства даже в небольшой однопроцессорной системе может поддерживаться несколько одновременно работающих зон.
Для ограничения размера зоны можно воспользоваться следующими способами.
Зону можно поместить на lofi-смонтированный раздел. При этом объем пространства, потребляемого зоной, сводится к размеру файла, используемого lofi. Для получения дополнительной информации см. справочные страницы lofiadm(1M) и lofi(7D).
Дисковые разделы или логические тома можно разделить на виртуальные разделы. Эти разделы затем можно использовать в качестве корней зон и ограничить таким образом потребление дискового пространства каждой зоной. Предел программного разбиения на разделы – 8192 раздела. Для получения дополнительной информации см. раздел Глава 12, Soft Partitions (Overview), в Solaris Volume Manager Administration Guide.
Для корней зон можно использовать стандартные разделы диска, в результате чего можно ограничить предельное потребление дискового пространства каждой зоной.
Каждая зона, требующая сетевых подключений, имеет один или несколько уникальных IP-адресов. Поддерживаются адреса IPv4. Зоне необходимо назначить адрес IPv4. Для получения дополнительной информации см. Сетевой адрес типизированной зоны. Кроме того, для сетевого интерфейса можно указать адрес маршрутизатора по умолчанию, как описано в разделе Настройка типизированной зоны lx.
Команда zonecfg используется в следующих целях.
Настройка типа зоны.
Создание конфигурации для зоны lx
Проверка конфигурации для определения того, являются ли указанные ресурсы и свойства допустимыми и внутренне непротиворечивыми в гипотетической системе на базе x86 или x64.
Выполнение проверки, зависящей от типа зоны. Верификация обеспечивает следующее:
В зоне не может быть унаследованных каталогов пакетов, наборов данных ZFS или добавленных устройств.
Если для зоны настроено использование звука, указанные устройства (если таковые имеются) должны быть определены как none, default или состоять из одной цифры.
В ходе проверки, выполняемой для заданной конфигурации командой zonecfg verify, проверяется следующее:
указан ли путь зоны;
указаны ли все требуемые свойства для каждого ресурса.
выполнены ли требования типа.
Для получения дополнительной информации о команде zonecfg см. справочную страницу zonecfg(1M).
В этом разделе рассматриваются следующие компоненты:
ресурсы и свойства зон, которые настраиваются командой zonecfg;
ресурсы, включенные в конфигурацию по умолчанию.
Для зоны необходимо выбрать имя и путь.
Свойство autoboot определяет, загружается ли данная зона автоматически при загрузке глобальной зоны.
Если в системе настроены пулы ресурсов в соответствии с Глава 13Создание и администрирование пулов ресурсов (задачи), для зоны можно настроить привязку к одному из пулов ресурсов с помощью свойства pool.
Если пулы ресурсов не настраивались, можно указать подмножество процессоров системы, которые должны выделяться для неглобальной зоны во время ее работы, с помощью ресурса dedicated-cpu. При этом в системе автоматически создается временный пул, используемый во время работы зоны.
Конфигурация зоны, созданная с использованием сохраняемого набора пулов при помощи свойства pool, не совместима с временным пулом, настроенным через ресурс dedicated-cpu. Допускается установка только одного из этих двух свойств.
Ресурс dedicated-cpu указывает, что для работающей неглобальной зоны необходимо выделить подмножество процессоров компьютера. При загрузке зоны динамически создается временный пул, используемый при работе зоны.
Ресурс dedicated-cpu позволяет задать ограничения для ncpus и, дополнительно, importance.
Здесь указывается количество процессоров или диапазон, например 2-4 процессора. Если диапазон указывается вследствие необходимости реализации динамического поведения пула ресурсов, также необходимо выполнить следующее:
установить свойство importance;
активировать службу динамического пула ресурсов, как описано в разделе Включение и отключение механизма пулов.
Если для реализации динамического поведения используется диапазон процессоров, также следует настроить свойство importance. Свойство importance является необязательным и определяет относительную важность пула. Это свойство требуется только в случае указания диапазона для ncpus и при использовании динамических пулов ресурсов, управляемых демоном poold. Если демон poold не запущен, свойство importance игнорируется. Если демон poold не запущен, а свойство importance не задано, значение importance по умолчанию принимается равным 1. Для получения дополнительной информации см. Ограничения посредством свойства pool.importance.
Элемент управления ресурсами cpu-shares и ресурс dedicated-cpu являются несовместимыми.
Ресурс capped-cpu обеспечивает абсолютное ограничение по количеству процессорных ресурсов, потребляемых проектом или зоной. Ресурс capped-cpu имеет единственное свойство ncpus, представляющее собой положительное десятичное число с двумя дробными разрядами. Это свойство соответствует количеству ЦП. Ввести диапазон для этого ресурса невозможно. Также нельзя задать число в десятичном представлении. При настройке свойства ncpus значение 1 означает 100% одного ЦП. Значение 1,25 соответствует 125%, поскольку 100% – это один полностью загруженный ЦП в системе.
Ресурсы capped-cpu и dedicated-cpu являются несовместимыми.
Планировщик долевого распределения (FSS) предназначен для управления распределением доступных процессорных ресурсов по зонам в зависимости от их важности. Важность при этом выражается количеством долей процессорных ресурсов, назначенных каждой зоне.
При явном указании свойства cpu-shares в качестве класса планирования для такой зоны используется планировщик долевого распределения (FSS). Однако в этом случае рекомендуется задать FSS как общесистемный класс планирования по умолчанию с помощью команды dispadmin. При этом процессорные ресурсы системы справедливо распределяются по всем зонам. Если свойство cpu-shares для зоны не задано, то в зоне используется класс планирования, заданный в системе по умолчанию. Следующие действия позволяют настроить для зоны класс планирования:
Для установки класса планирования зоны можно воспользоваться свойством scheduling-class команды zonecfg.
Класс планирования для зоны можно установить и при помощи инструмента управления пулами ресурсов. Если зона связана с пулом, свойство pool.scheduler которого представляет действительный класс планирования, то процессы, выполняющиеся в этой зоне, по умолчанию работают в этом классе планирования. См. Введение в пулы ресурсов и Связывание пула с классом планирования.
Если задан элемент управления ресурсами cpu-shares, а FSS не определен в качестве класса планирования для зоны другим способом, при загрузке зоны командой zoneadmd в качестве класса планирования выбирается FSS.
Если класс планирования не настроен другим способом, в зоне наследуется системный класс планирования по умолчанию.
Следует отметить, что для перевода работающих процессов в другой класс планирования без изменения класса планирования по умолчанию и перезагрузки можно использовать команду priocntl, описанную на справочной странице priocntl(1).
Ресурс capped-memory устанавливает ограничения для следующих видов памяти: physical (физическая), swap (подкачка) и locked (блокированная). Все ограничения являются необязательными, однако должно быть задано по крайней мере одно из них.
Значения для этого ресурса задаются в случае, если планируется ограничить память для зоны командой rcapd в глобальной зоне. Свойство physical ресурса capped-memory используется командой rcapd как значение max-rss для данной зоны.
Свойство swap ресурса capped-memory является рекомендуемым способом настройки элемента управления ресурсами zone.max-swap.
Свойство locked ресурса capped-memory является рекомендуемым способом настройки элемента управления ресурсами zone.max-locked-memory .
Как правило, блокирование памяти для приложений в значительном объеме не требуется, однако настройка блокирования памяти может оказаться необходимой, если известно, что приложения зоны выполняют блокирование памяти. Если доверительный статус зоны неоднозначен, рекомендуется установить ограничение памяти в размере 10 процентов физической памяти системы или 10 процентов ограничения физической памяти зоны.
Для получения дополнительной информации см. Глава 10Управление физической памятью с помощью демона ограниченного выделения ресурсов (обзор), Глава 11Администрирование демона ограниченного выделения ресурсов (задачи) и Настройка типизированной зоны lx.
В типизированной зоне lx поддерживаются только конфигурации сети с совместным использованием IP.
Каждой зоне, для которой требуются сетевые подключения, необходимо назначить один или несколько выделенных IP-адресов. Эти адреса связаны с логическими сетевыми интерфейсами. Сетевые интерфейсы, настроенные командой zonecfg, автоматически настраиваются и размещаются в зоне при ее начальной загрузке. Начиная с версии Solaris 10 10/08, для сетевого интерфейса можно указать адрес маршрутизатора по умолчанию с помощью свойства defrouter.
Как правило, в зоне монтируются следующие группы файловых систем:
набор файловых систем, монтируемых при инициализации виртуальной платформы;
набор файловых систем, монтируемых изнутри самой зоны.
Сюда могут входить, например, следующие файловые системы:
файловые системы, монтирование которых инициируется посредством automount;
файловые системы, явным образом монтируемые администратором зоны.
На монтирование файловых систем изнутри прикладной среды накладываются определенные ограничения. Эти ограничения не позволяют администратору зоны вызвать отказ обслуживания остальной системы или иным образом отрицательно воздействовать на функционирование других зон.
С монтированием некоторых файловых систем изнутри зоны связан ряд ограничений по безопасности. Другие файловые системы при монтировании в зоне следуют особой модели поведения. Для получения дополнительной информации см. Файловые системы и неглобальные зоны.
Наиболее простой и удобный способ настройки элемента управления ресурсами для всей зоны заключается в использовании имени свойства вместо ресурса rctl. Эти пределы указываются как для глобальных, так и для неглобальных зон.
С помощью ресурса rctl глобальный администратор также может устанавливать привилегированные элементы управления ресурсами всей зоны.
Элементы управления ресурсами всей зоны позволяют ограничить суммарное потребление ресурсов всеми экземплярами процессов внутри зоны. Эти ограничения задаются как для глобальных, так и для неглобальных зон командой zonecfg. См. инструкции в разделе Настройка типизированной зоны lx.
В настоящее время доступны следующие элементы управления ресурсами:
Таблица 31–1 Элементы управления ресурсами всей зоны
Имя элемента управления |
Глобальное имя свойства |
Описание |
Единица по умолчанию |
Использование значения |
---|---|---|---|---|
zone.cpu-cap |
В Solaris 10 5/08 этот элемент управления задает абсолютное ограничение по количеству ресурсов ЦП для зоны. Значение 100 означает, что в качестве project.cpu-cap задано 100% одного ЦП. Значение 125 соответствует 125%, т. к. 100% – это один полностью загруженный ЦП в системе при использовании ограничений по ЦП. |
Количество (число ЦП) | ||
zone.cpu-shares |
cpu-shares |
Количество процессорных долей в соответствии с планировщиком долевого распределения (FSS) для этой зоны. |
Количество (доли) | |
zone.max-locked-memory |
|
Общее количество доступной зоне физической блокированной памяти. |
Размер (байты) |
Свойство locked ресурса capped-memory |
zone.max-lwps |
max-lwps |
Максимальное количество LWP, одновременно доступных этой зоне. |
Количество (LWP) | |
zone.max-msg-ids |
max-msg-ids |
Максимальное количество идентификаторов очередей сообщений, разрешенное для этой зоны. |
Количество (идентификаторы очередей сообщений) | |
zone.max-sem-ids |
max-sem-ids |
Максимальное количество идентификаторов семафоров, разрешенных для этой зоны. |
Количество (идентифика- торы семафоров) | |
zone.max-shm-ids |
max-shm-ids |
Максимальное количество идентификаторов совместно используемой памяти, разрешенных для этой зоны. |
Количество (идентифика- торы совместно используемой памяти) | |
zone.max-shm-memory |
max-shm-memory |
Общий объем совместно используемой памяти System V, разрешенный для этой зоны. |
Размер (байты) | |
zone.max-swap |
|
Общий объем подкачки, доступный для потребления при отображении адресного пространства пользовательских процессов и файловых систем tmpfs в этой зоне. |
Размер (байты) |
Свойство swap ресурса capped-memory |
Свойство limitpriv используется для указания маски полномочий, отличной от установленной по умолчанию. При загрузке зоны в конфигурацию типа зоны включается набор полномочий по умолчанию. Использование этих полномочий считается безопасным, поскольку таким образом предотвращается воздействие привилегированного процесса в зоне на процессы в других неглобальных зонах системы или в глобальной зоне. Свойство limitpriv можно использовать для выполнения следующих действий:
дополнение набора полномочий по умолчанию с учетом того, что такие изменения могут позволить процессам в одной зоне воздействовать на процессы в других зонах по причине получения возможности управления глобальным ресурсом;
удаление из набора полномочий по умолчанию с учетом того, что подобные изменения могут воспрепятствовать корректной работе некоторых процессов, для выполнения которых требуются эти полномочия.
Некоторые полномочия невозможно удалить из набора полномочий зоны; кроме того, некоторые полномочия невозможно добавить к этому набору.
Для получения дополнительной информации см. Полномочия, определенные в типизированных зонах lx, Полномочия в неглобальных зонах и privileges(5).
Тип ресурса attr может использоваться для разрешения доступа к звуковому устройству из глобальной зоны. Инструкции приведены на этапе 12 процедуры Настройка, проверка и сохранение параметров типизированной зоны lx.
С помощью типа ресурса attr зону можно снабдить комментарием.
Устройства, поддерживаемые в каждой зоне, описаны на справочных страницах и в прочей документации по данному типу зоны. В зонах lx не допускается добавление неподдерживаемых или нераспознаваемых устройств. Архитектура позволяет обнаруживать попытки добавления неподдерживаемых устройств. Выдается сообщение об ошибке, указывающее на то, что проверка конфигурации зоны невозможна.
Следует отметить, что доступ к звуковому устройству, работающему в глобальной зоне, можно разрешить через свойство ресурса attr, как показано на этапе 12 процедуры Настройка, проверка и сохранение параметров типизированной зоны lx.
Файловые системы, требуемые для типизированной зоны, определены в типе зоны. Дополнительные файловые системы Solaris добавляются к типизированной зоне lx с помощью свойства ресурса fs, как показано на этапе 9 процедуры Настройка, проверка и сохранение параметров типизированной зоны lx.
Добавление локальных файловых систем Linux не поддерживается. Файловые системы можно смонтировать по NFS с сервера под управлением Linux.
Процессы ограничены подмножеством полномочий. Ограничение полномочий не позволяет зоне выполнять операции, которые могут воздействовать на другие зоны. Набор полномочий ограничивает возможности привилегированных пользователей внутри зоны.
Полномочия по умолчанию, обязательные, дополнительные и запрещенные полномочия определяются для каждого типа зоны. Также полномочия можно добавлять или удалять с помощью свойства limitpriv , как показано на этапе 8 процедуры Настройка, проверка и сохранение параметров типизированной зоны lx. В Таблица 26–1 приведен список всех полномочий Solaris и указан статус каждого полномочия по отношению к зонам.
Для получения дополнительной информации о полномочиях см. справочную страницу ppriv(1) и руководство Руководство по системному администрированию: службы безопасности.
Для настройки зоны используется команда zonecfg, описанная на справочной странице zonecfg(1M). Эта команда также позволяет сохраняемым образом определить параметры управления ресурсами для глобальной зоны.
Команда zonecfg может использоваться в интерактивном режиме, в режиме командной строки или в режиме командного файла. С помощью этой команды можно выполнить следующие операции:
создание или удаление (уничтожение) конфигурации зоны;
добавление ресурсов к определенной конфигурации;
настройка свойств ресурсов, добавляемых в конфигурацию;
удаление ресурсов из определенной конфигурации;
запрос или проверка конфигурации;
Сохранение параметров конфигурации;
возврат к предыдущей конфигурации;
переименование зоны;
выход из сеанса zonecfg.
Запрос команды zonecfg имеет следующую форму:
zonecfg:zonename> |
При настройке определенного типа ресурса, например файловой системы, в запрос также включается этот тип ресурса:
zonecfg:zonename:fs> |
Для получения дополнительной информации, в том числе процедур, демонстрирующих использование различных компонентов команды zonecfg, описанных в этой главе, см. Настройка типизированной зоны lx.
В отношении пользовательского интерфейса используется понятиеобласти действия. Область действия может быть либо глобальным, либо специфичным для ресурса. По умолчанию используется глобальная область действия.
В глобальной области действия для выбора определенного ресурса используются подкоманды add и select. Область действия при этом изменяется в соответствии с этим типом ресурса.
Для подкоманды add используются подкоманды end или cancel, позволяющие завершить определение ресурса.
Для подкоманды select используются подкоманды end или cancel, позволяющие завершить определение ресурса.
При этом снова возвращается глобальная область действия.
Некоторые подкоманды, например add, remove и set, в разных областях действия обладают разной семантикой.
В интерактивном режиме поддерживаются следующие подкоманды. Для получения дополнительной информации о семантике и параметрах, используемых с этими подкомандами, см. справочную страницу zonecfg(1M). Для всех подкоманд, которые могут повлечь за собой разрушительные действия или потерю данных, перед продолжением выводится запрос на подтверждение пользователем. Для подавления подтверждения можно использовать параметр -F (принудительное исполнение).
Вывод общей справки либо справки о данном ресурсе.
zonecfg:lx-zone:net> help |
Запуск процесса заполнения настройки, хранящейся в памяти для указанной новой типизированной зоны.
Параметр -t шаблона позволяет создать конфигурацию, идентичную указанному шаблону. Имя зоны изменяется с имени шаблона на новое. Для создания типизированной зоны Linux используется следующая команда:
zonecfg:lx-zone> create -t SUNWlx |
Параметр -b используется для создания пустой конфигурации, в которой можно задать тип зоны.
zonecfg:lx-zone> create -b zonecfg:lx-zone> set brand=lx |
Параметр -F используется для перезаписи существующей конфигурации.
Вывод конфигурации на стандартный вывод либо в указанный выходной файл в форме, пригодной для использования в командном файле.
Добавление к конфигурации указанного типа ресурса в глобальной области действия.
Добавление свойства с данным именем и данным значением в области действия ресурса.
Для получения дополнительной информации см. инструкцию по настройке типизированной зоны lx и справочную страницу zonecfg(1M).
Установка значения для данного свойства. Следует отметить, что некоторые свойства, например zonepath, являются глобальными, в то время как другие – специфичными для ресурса. Таким образом, эта команда применима и в глобальной области действия, и в области действия ресурса.
Используется только в глобальной области действия. Выбор ресурса указанного типа, совпадающего с данной парой критериев имени и значения свойства, для изменения. Область действия изменяется на тип данного ресурса. Для однозначной идентификации ресурса необходимо указать достаточное количество пар "имя-значение свойства".
Очистка значений необязательных свойств. Значения обязательных свойств удалить невозможно. Однако некоторые из обязательных свойств можно изменить путем назначения нового значения.
Удаление указанного типа ресурса в глобальной области действия. Для однозначной идентификации типа ресурса необходимо указать достаточное количество пар "имя-значение свойства". Если пары "имя-значение" не указываются, удаляются все экземпляры. Если существует несколько экземпляров, то требуется подтверждение, за исключением случаев использования параметра -F.
В области действия ресурса из текущего ресурса удаляется указанная пара "имя свойства-значение свойства".
Имеет смысл только в области действия ресурса. и указывает на завершение процедуры определения ресурса.
После этого командаzonecfg проверяет, определен ли текущий ресурс полностью.
Если ресурс задан полностью, он добавляется к конфигурации в памяти, а область действия снова становится глобальной.
Если определение является неполным, отображается сообщение об ошибке с описанием необходимых действий.
Имеет смысл только в области действия ресурса. и указывает на завершение определения ресурса и возврат к глобальной области действия. Частично определенные ресурсы не сохраняются.
Уничтожение указанной конфигурации. Конфигурация удаляется из памяти и из постоянного хранилища. Для команды delete следует использовать параметр -F (принудительное выполнение) .
Это действие выполняется мгновенно. Сохранение параметров не требуется, и вернуть удаленную зону невозможно.
Отображение информации о текущей конфигурации или глобальных свойствах ресурса zonepath, autoboot и pool. Если указан тип ресурса, отображается информация только о ресурсах данного типа. В области действия ресурса эта подкоманда применяется только к добавляемому или изменяемому ресурсу.
Проверка текущей конфигурации на допустимость. Подтверждение наличия всех требуемых свойств по всем ресурсам.
Сохранение параметров текущей конфигурации из памяти в сохраняемое хранилище. До момента сохранения параметров конфигурации изменения можно отменить с помощью подкоманды revert. Сохранение параметров конфигурации необходимо для последующей работы команды zoneadm. При завершении сеанса zonecfg автоматически предпринимается попытка выполнения этой операции. Так как возможно сохранение параметров только корректной конфигурации, в ходе операции сохранения параметров автоматически выполняется проверка.
Возврат конфигурации к последнему зафиксированному состоянию.
Выход из сеанса zonecfg. С командой exit можно использовать параметр -F (принудительное выполнение) .
В случае необходимости автоматически предпринимается попытка выполнения команды commit. Следует отметить, что для выхода из сеанса также может использоваться символ EOF.
В режиме командного файла входные данные берутся из файла. Для создания этого файла используется подкоманда export, описанная при рассмотрении интерактивного режима команды zonecfg. Конфигурацию можно вывести на стандартный вывод или в выходной файл, указанный с помощью параметра -f.
Конфигурационные данные зоны включают в себя два вида сущностей: ресурсы и свойства. Каждый ресурс имеет тип, а также может обладать набором из одного или нескольких свойств. Свойства имеют имена и значения. Набор свойств зависит от типа ресурса.
Выделяют следующие типы ресурсов и свойств:
Имя зоны идентифицирует зону для служебной программы настройки. К именам зон применяются следующие правила:
Каждая зона должна иметь уникальное имя.
Имя зоны задается с учетом регистра.
Имя зоны должно начинаться с алфавитно-цифрового символа.
В имя могут входить алфавитно-цифровые символы, знаки подчеркивания (_), дефисы (-) и точки (.).
Имя не должно быть длиннее 64 символов.
Имя global и все имена, начинающиеся с SUNW, зарезервированы, и их использовать невозможно.
Свойство zonepath определяет путь к корню зоны. Каждой зоне соответствует путь к ее корневому каталогу относительно корневого каталога глобальной зоны. При установке для каталога глобальной зоны должна быть ограничена видимость. Владельцем этого каталога должен быть пользовательroot с режимом 700.
Путь к корню неглобальной зоны находится на один уровень ниже. Корневой каталог зоны имеет того же владельца и такие же полномочия, что и корневой каталог ( /) в глобальной зоне. Каталог зоны должен принадлежать пользователю root с режимом 755. Эти каталоги автоматически создаются с правильными полномочиями, и проверка администратором зоны не требуется. Подобная иерархия позволяет не допустить пользователей из глобальной зоны с недостаточными полномочиями в файловую систему неглобальной зоны.
Путь |
Описание |
---|---|
/home/export/lx-zone |
zonecfg zonepath |
/home/export/lx-zone/root |
Корень зоны |
/home/export/lx-zone/root/dev |
Устройства, создаваемые для зоны |
См. дальнейшее рассмотрение этого вопроса в разделе Прохождение файловых систем.
Зону можно переместить в другое местоположение в той же системе путем указания нового полного пути zonepathв подкоманде move команды zoneadm. Инструкции приведены в Solaris 10 11/06: перемещение неглобальной зоны.
Если для этого свойства установлено значение “истина”, зона автоматически загружается при загрузке глобальной зоны. Следует отметить, что если служба зон svc:/system/zones:default отключена, автоматической загрузки зоны не происходит, вне зависимости от значения этого свойства. Служба зон включается командой svcadm, описанной на справочной странице svcadm(1M):
global# svcadm enable zones |
Это свойство используется для указания загрузочного аргумента для зоны. Загрузочный аргумент применяется всегда, если иное не указано командой reboot, zoneadm boot или zoneadm reboot. См. Загрузочные аргументы типизированной зоны.
Это свойство используется для связывания зоны с определенным пулом ресурсов в системе. Ресурсы одного пула могут использоваться несколькими зонами. См. также Настройка ресурса dedicated-cpu .
Этот параметр используется для указания нестандартной маски полномочий. См. Полномочия в неглобальных зонах.
Полномочия добавляются путем указания имени полномочий с префиксом priv_ или без него. Для исключения полномочий перед именем указывается дефис (-) или восклицательный знак (!). Значения полномочий разделяются запятыми и заключаются в кавычки (“).
Как описано в priv_str_to_set(3C), особые наборы полномочий none, all и basic разворачиваются в свои нормальные определения. Поскольку настройка зоны выполняется из глобальной зоны, особый набор полномочий zone использовать невозможно. Поскольку обычно изменение стандартного набора полномочий проводится путем добавления или удаления определенных полномочий, стандартному набору полномочий соответствует особый набор default. Набор default, указанный в начале свойства limitpriv, разворачивается в стандартный набор.
Следующая запись добавляет возможность настройки системных часов и запрещает передачу необработанных пакетов протокола ICMP (Internet Control Message Protocol):
global# zonecfg -z userzone zonecfg:userzone> set limitpriv="default,sys_time,!net_icmpaccess" |
Если в набор полномочий зоны входят запрещенные полномочия, отсутствуют необходимые требуемые полномочия, либо входят неизвестные полномочия, то попытка проверки, подготовки или загрузки зоны повлечет за собой вывод сообщения об ошибке.
Это свойство устанавливает для зоны класса планирования. См. дополнительную информацию и рекомендации в разделе Класс планирования в зоне.
Этот ресурс позволяет выделить для работающей зоны подмножество процессоров компьютера. Ресурс dedicated-cpu позволяет задать ограничения для ncpus и, дополнительно, importance . Для получения дополнительной информации см. Настройка ресурса dedicated-cpu .
В этом ресурсе группируются свойства, используемые при ограничении потребления памяти для зоны. Ресурс capped-memory позволяет задать ограничения для областей памяти physical (физическая память), swap (подкачка) и locked (блокированная память). Необходимо указать по крайней мере одно из этих свойств.
В каждой зоне может быть несколько различных файловых систем, монтируемых при переводе зоны из установленного состояния в состояние готовности. Ресурс файловой системы задает путь к точке монтирования файловой системы. Для получения дополнительной информации об использовании файловых систем в зонах см. Файловые системы и неглобальные зоны.
Ресурс сетевого интерфейса – это имя виртуального интерфейса. В каждой зоне могут присутствовать сетевые интерфейсы, которые необходимо настроить при переводе зоны из установленного состояния в состояние готовности.
В типизированной зоне lx поддерживаются только конфигурации сети с совместным использованием IP
Ресурс rctl используется для элементов управления ресурсами всей зоны. Элементы управления включаются при переходе зоны из установленного состояния в состояние готовности.
Инструкции по настройке элементов управления всей зоны с помощью подкоманды set имя_глобального_свойства команды zonefig вместо ресурса rctl приведены в Настройка типизированной зоны lx.
Этот стандартный атрибут используется для комментариев пользователя или для других подсистем. Имя свойства ресурса attr должно начинаться с алфавитно-цифрового символа. Имя свойства может содержать алфавитно-цифровые символы, а также символы дефиса (-) и точки (.). Имена атрибутов, начинающиеся с zone., зарезервированы для системного использования.
Ресурсы также обладают настраиваемыми свойствами. С перечисленными типами ресурсов связаны следующие свойства.
ncpus, importance
Указывается количество процессоров и, дополнительно, относительная важность пула. В следующем примере задается диапазон процессоров для использования зоной my-zone. Также указывается значение importance.
zonecfg:my-zone> add dedicated-cpu zonecfg:my-zone:dedicated-cpu> set ncpus=1-3 zonecfg:my-zone:dedicated-cpu> set importance=2 zonecfg:my-zone:dedicated-cpu> end |
ncpus
Определяет количество ЦП. В следующем примере задается ограничение в 3,5 ЦП для зоны lx-zone.
zonecfg:lx-zone> add capped-cpu zonecfg:lx-zone:capped-cpu> set ncpus=3.5 zonecfg:lx-zone:capped-cpu> end |
physical, swap, locked
В этом ресурсе группируются свойства, используемые при ограничении потребления памяти для зоны. В следующем примере задается ограничение памяти для зоны my-zone . Все ограничения являются необязательными, однако должно быть задано по крайней мере одно из них.
zonecfg:my-zone> add capped-memory zonecfg:my-zone:capped-memory> set physical=50m zonecfg:my-zone:capped-memory> set swap=100m zonecfg:my-zone:capped-memory> set locked=30m zonecfg:my-zone:capped-memory> end |
dir, special, raw, type, options
Строки в следующем примере служат для добавления доступа только для чтения к компакт-диску или диску DVD в неглобальной зоне. Файловая система монтируется в петлевом режиме с параметрами ro,nodevices (только для чтения и без устройств) в неглобальной зоне.
zonecfg:lx-zone> add fs zonecfg:lx-zone:fs> set dir=/cdrom zonecfg:lx-zone:fs> set special=/cdrom zonecfg:lx-zone:fs> set type=lofs zonecfg:lx-zone:fs> add options [ro,nodevices] zonecfg:lx-zone:fs> end |
Следует отметить, что по особым параметрам монтирования для конкретной файловой системы имеются справочные страницы из раздела 1M. Имена этих справочных страниц имеют форму mount_файловая_система.
address, physical, defrouter,
В следующем примере к зоне добавляется IP-адрес 192.168.0.1. В качестве физического интерфейса выбирается плата bge0, и указывается маршрутизатор по умолчанию.
zonecfg:lx-zone> add net zonecfg:lx-zone:net> set address=192.168.0.1 zonecfg:lx-zone:net> set physical=bge0 zonecfg:lx-zone:net> set defrouter=10.0.0.1 zonecfg:lx-zone:net> end |
Для определения используемого физического интерфейса служит команда ifconfig - a. Каждая строка выходных данных, за исключением строк драйвера петлевого интерфейса, начинается с имени платы, установленной в компьютере. Строки, содержащие в описаниях LOOPBACK, не относятся к платам.
name, value
Доступные элементы управления ресурсами всей зоны описаны в разделе Элементы управления ресурсами всей зоны в типизированной зоне lx.
zonecfg:lx-zone> add rctl zonecfg:lx-zone:rctl> set name=zone.cpu-shares zonecfg:lx-zone:rctl> add value (priv=privileged,limit=10,action=none) zonecfg:lx-zone:rctl> end |
zonecfg:lx-zone> add rctl zonecfg:lx-zone:rctl> set name=zone.max-lwps zonecfg:lx-zone:rctl> add value (priv=privileged,limit=100,action=deny) zonecfg:lx-zone:rctl> end |
name, type, value
В следующем примере к зоне добавляется комментарий.
zonecfg:lx-zone> add attr zonecfg:lx-zone:attr> set name=comment zonecfg:lx-zone:attr> set type=string zonecfg:lx-zone:attr> set value="Production zone" zonecfg:lx-zone:attr> end |
Для вывода конфигурации зоны на стандартный вывод можно использовать подкоманду export. Конфигурация сохраняется в форме, позволяющей использовать эти данные в командном файле.