Функции, предоставляемые неглобальными зонами

Неглобальные зоны предоставляют следующие функции.

Безопасность

После перевода процесса в зону, отличную от глобальной зоны, изменение зон в ходе процесса или любых последующих процессов невозможно.

В зоне можно запускать сетевые службы. Это позволяет избежать ущерба всей системе при компрометации какой-либо сетевой службы. Действия злоумышленника, воспользовавшегося сбоем в системе безопасности программного обеспечения в пределах зоны, ограничиваются набором операций, выполнение которых возможно в этой зоне. Полномочия, доступные в зоне, представляют собой подмножество полномочий, доступных в системе в целом.

Изоляция

Зоны обеспечивают развертывание нескольких приложений на одном компьютере, даже если эти приложения используются в доменах с различными уровнями надежности, требуют эксклюзивного доступа к глобальным ресурсам или приводят к возникновению трудностей, связанных с глобальными настройками. Например, несколько приложений, работающих в различных зонах с общим IP в одной системе, может быть связано с одним сетевым портом через особые IP-адреса, связанные с каждой зоной, или через групповой адрес. Кроме того, приложения не могут контролировать или перехватывать сетевой трафик других приложений и данные файловой системы, или обрабатывать операции.

Изоляция сети

При необходимости изоляции зоны по соображениям безопасности на IP-уровне в сети, например через подключение к VLAN или LAN, отличным от глобальной зоны и других неглобальных зон, этой зоне можно назначить эксклюзивный IP-адрес. Зону с эксклюзивным IP можно использовать для консолидации приложений, которые должны взаимодействовать в разных подсетях, относящихся к разным VLAN или LAN.

Зоны также могут быть сконфигурированы как зоны с общим IP. Эти зоны подключаются к тем же VLAN или LAN, что и глобальная зона, и совместно используют конфигурацию IP-маршрутизации с глобальной зоной. Зоны с общим IP имеют отдельные IP-адреса, но совместно используют другие компоненты IP-сети.

Виртуализация

Зоны обеспечивают виртуализированную среду, которая может использоваться для скрытия данных, например первичного IP-адреса и имени узла физических устройств и системы для приложений. Такая же прикладная среда может обеспечиваться на различных физических машинах. Виртуализированная среда обеспечивает раздельное управление каждой зоной. Действия, предпринимаемые администратором зоны в неглобальной зоне, не оказывают влияния на остальные компоненты системы.

Гранулярность

Зона может обеспечить изоляцию почти на любом уровне детализации. Для получения дополнительной информации см. Характеристики неглобальной зоны.

Среда

Зоны не изменяют среду для выполнения приложений, за исключением изменений в целях безопасности и изоляции. Зоны не представляют новый интерфейс API или ABI, на который должны портироваться приложения. Вместо этого зоны обеспечивают стандартные интерфейсы Solaris и прикладную среду с некоторыми ограничениями. Эти ограничения влияют, прежде всего, на приложения, в которых выполняются привилегированные операции.

В глобальной зоне приложения выполняются без изменений, вне зависимости от настройки дополнительных зон.