Trusted Extensions에서 네트워크 인터페이스 구성

DHCP를 사용하도록 시스템을 구성하는 경우 OpenSolaris Community: Security 웹 페이지의 Trusted Extensions 섹션에 있는 노트북 지침을 참조하십시오.

Solaris 10 10/08 릴리스부터 레이블이 있는 각 영역이 자체 서브넷에 있는 시스템을 구성하는 경우 이 단계를 건너뛰고 영역의 이름 및 레이블 지정의 절차를 계속 진행할 수 있습니다. 영역 설치 및 사용자 정의 작업을 완료한 후 레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가의 절차에 따라 레이블이 있는 각 영역에 네트워크 인터페이스를 추가합니다.

이 작업에서는 전역 영역에서 네트워크를 구성합니다. 정확히 한개 all-zones 인터페이스를 만들어야 합니다. all-zones 인터페이스가 레이블이 있는 영역과 전역 영역에 공유됩니다. 공유된 인터페이스는 레이블이 있는 영역과 전역 영역간의 트래픽 경로로 사용됩니다. 이 인터페이스를 구성하려면 다음 중 하나를 수행해야 합니다:

• 물리적 인터페이스에서 논리적 인터페이스를 만듭니다. 다음 물리적 인테페이스를 공유합니다.

  이 구성은 관리하기에 가장 간단합니다. 시스템에 두 개의 IP 주소가 할당된 경우 이 구성을 선택합니다. 이 절차에서 논리적 인터페이스가 전역 영역의 특정 주소로 되며 물리적 인터페이스가 전역 영역과 레이블이 있는 영역 사이에서 공유됩니다.

• 물리적 인터페이스 공유

  시스템에 하나의 IP 주소가 할당된 경우 이 구성을 선택합니다. 이 구성에서는 전역 영역과 레이블이 있는 영역이 물리적 인터페이스를 공유합니다.

• 가상 네트워크 인터페이스 공유, vni0

  DHCP를 구성하거나 또는 각 하위 네트워크가 다른 레이블상에 있을 때 이 구성을 선택합니다. 예제 절차는 OpenSolaris Community: Security 웹 페이지의 Trusted Extensions 섹션에 있는 노트북 지침을 참조하십시오.

  Solaris 10 10/08 릴리스부터는 Trusted Extensions의 루프백 인터페이스가 all-zones 인터페이스로 만들어집니다. 따라서 vni0 공유 인터페이스를 만들 필요가 없습니다.

영역별 네트워크 인터페이스를 추가하려면 영역 만들기를 마치고 이를 확인한 후에 인터페이스를 추가합니다. 절차는 레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가를 참조하십시오.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

Labeled Zone Manager(레이블이 있는 영역 관리자)가 표시됩니다. 이 GUI를 열려면 txzonemgr 스크립트 실행을 참조하십시오.

1. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 Manage Network Interfaces(네트워크 인터페이스 관리)를 선택하고 OK(확인)를 누릅니다.

   인터페이스 목록이 표시됩니다.

   ---

   주 –

   이 예에서 물리적 인터페이스는 설치 중에 호스트 이름과 IP 주소로 할당됩니다.

   ---

2. physical interface(물리적 인터페이스)를 선택.

   인터페이스가 하나인 시스템에는 다음과 비슷한 메뉴가 표시됩니다. 지원을 위해 주석이 추가됩니다.

   vni0 DownVirtual Network Interface eri0 global 10.10.9.9 cipso Up Physical Interface

   1. eri0 인터페이스 선택.

   2. OK(확인)를 누릅니다.

3. 이 네트워크 인터페이스에 해당하는 작업을 선택합니다.

   세 가지 옵션이 제공됩니다.

   View Template Assign a label to the interface Share Enable the global zone and labeled zones to use this interface Create Logical Interface Create an interface to use for sharing

   • 시스템이 한 개의 IP 주소를 갖고 있다면 단계 4로 이동합니다.

   • 시스템이 두 개의 IP 주소를 갖고 있다면 단계 5로 이동합니다.

4. 한개 IP 주소를 갖고 있는 시스템에서 물리적 인터페이스를 공유합니다.

   이 구성에서는 호스트의 IP 주소가 모든 영역에 적용됩니다. 따라서 호스트의 주소가 all-zones 주소입니다. 이 호스트는 다중 레벨 서버로 사용되지 않습니다. 예를 들어, 사용자가 이 시스템에서 파일을 공유할 수 없습니다. 시스템이 LDAP 프록시 서버, NFS 홈 디렉토리 서버 또는 인쇄 서버가 될 수 없습니다.

   1. Share(공유)을 선택하고 OK(확인)를 누릅니다.

   2. 공유된 인터페이스가 표시되는 대화 상자에서 OK(확인)를 누릅니다.

      eri0 all-zones 10.10.9.8 cipso Up

      물리적 인터페이스가 all-zones 인터페이스인 경우 성공. 영역의 이름 및 레이블 지정을 계속합니다.

5. 두개 IP 주소를 갖고 있는 시스템에서 논리적 인터페이스를 만듭니다.

   그런 다음 물리적 인터페이스를 공유합니다.

   이 구성이 가장 간단한 Trusted Extensions 네트워크 구성입니다. 이 구성에서 기본 IP 주소는 다른 시스템에 사용되여 이 시스템상의 모든 영역에 도달할 수 있으며 논리적 인터페이스는 전역 영역에 대해 영역별입니다. 전역 영역은 다중 레벨 서버로 사용할수 있습니다.

   1. Create Logical Interface(논리적 인터페이스 작성)를 선택하고 ok(확인)를 누릅니다.

      새로운 논리적 인터페이스 작성을 확인하는 대화 상자를 없앱니다.

   2. Set IP address(IP 주소 설정)를 선택하고 ok(확인)를 누릅니다.

   3. 프롬프트에서 논리적 인터페이스의 호스트 이름을 지정하고 ok(확인)를 누릅니다.

      예를 들어 논리적 인터페이스의 호스트 이름을 machine1-services 로 지정합니다. 이름은 이 호스트가 다중 레벨 서비스를 제공한다는것을 나타냅니다.

   4. 프롬프트에서 논리적 인터페이스의 IP 주소를 지정하고 ok(확인)를 누릅니다.

      예를 들어 논리적 인터페이스의 IP 주소를 10.10.9.2 로 지정합니다.

   5. logical interface(논리적 인터페이스)를 다시 선택하고 ok(확인)를 누릅니다.

   6. Bring Up(실행)를 선택하고 OK(확인)를 누릅니다.

      인터페이스가 Up으로 표시됩니다.

      eri0 global 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   7. 물리적 인터페이스를 공유합니다.

      1. physical interface(물리적 인터페이스)를 선택하고 ok(확인)를 누릅니다.

      2. Share(공유)을 선택하고 OK(확인)를 누릅니다.

         eri0 all-zones 10.10.9.1 cipso Up eri0:1 global 10.10.9.2 cipso Up

   적어도 한개 인터페이스가 all-zones 인터페이스이면 성공.

예 4–3 공유된 논리적 인터페이스를 사용하여 시스템에서 /etc/hosts 파일 보기

전역 영역에 고유한 인터페이스가 있고 레이블이 있는 영역이 전역 영역과 두 번째 인터페이스를 공유하는 시스템에서 /etc/hosts 파일은 다음과 비슷합니다.

# cat /etc/hosts
...
127.0.0.1  localhost
192.168.0.11 machine1 loghost
192.168.0.12 machine1-services 

기본 구성에서 tnrhdb 파일은 다음과 비슷합니다.

# cat /etc/security/tsol/tnrhdb
...
127.0.0.1:cipso
192.168.0.11:cipso
192.168.0.12:cipso
0.0.0.0:admin_low

all-zones 인터페이스가 tnrhdb 파일에 없는 경우 인터페이스는 기본적으로 cipso로 지정됩니다.

예 4–4 IP 주소가 하나인 Trusted Extensions 시스템에서 공유 인터페이스 표시

이 예에서 관리자는 시스템을 다중 레벨 서버로 사용하지 않습니다. IP 주소를 유지하기 위해 전역 영역은 레이블이 있는 모든 영역과 해당 IP 주소를 공유하도록 구성됩니다.

관리자는 시스템에서 hme0 인터페이스에 대해 Share(공유)를 선택합니다. 소프트웨어에서는 모든 영역이 논리적 NIC를 갖도록 구성합니다. 이러한 논리적 NIC는 전역 영역에서 한 개의 물리적 NIC를 공유합니다.

관리자는 ifconfig -a 명령을 실행하여 네트워크 인터페이스 192.168.0.11에서 물리적 인터페이스 hme0이 공유되는지 확인합니다. all-zones 값이 표시됩니다.

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

Solaris 10 10/08 릴리스부터는 Trusted Extensions의 루프백 인터페이스가 all-zones 인터페이스로 만들어집니다.

 lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         all-zones
         inet 127.0.0.1 netmask ff000000
 hme0: flags=1000843<BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
         all-zones
         inet 192.168.0.11 netmask fffffe00 broadcast 192.168.0.255

또한 관리자는 /etc/hostname.hme0 파일의 내용을 검사합니다.

192.168.0.11 all-zones