Ajout d'interfaces réseau et acheminement vers les zones étiquetées

Les tâches suivantes prennent en charge des environnements où chaque zone est connectée à un réseau physique distinct.

Ajout d'une interface réseau pour acheminer une zone étiquetée existante

Cette procédure permet d'ajouter des zone interfaces réseau spécifiques à des zones étiquetées existantes. Cette configuration prend en charge les environnements dans lesquels chaque zone étiquetée est connectée à un réseau physique distinct. Les zones étiquetées utilisent l'acheminement des données fourni par la zone globale.

Avant de commencer

Vous êtes superutilisateur dans la zone globale.

Pour chaque zone, vous avez terminé les tâches de la section Création de zones étiquetées.

1. Dans la zone globale, saisissez les adresses IP et les noms d'hôtes des interfaces réseau supplémentaires dans le fichier /etc/hosts.

   Utilisez une convention de nommage standard, par exemple ajoutez zone-name au nom de l'hôte.

   ## /etc/hosts in global zone
   10.10.8.2   hostname-zone-name1
   10.10.8.3   hostname-global-name1
   10.10.9.2   hostname-zone-name2
   10.10.9.3   hostname-global-name2

2. Ajoutez des entrées pour le réseau de chaque interface dans le fichier /etc/netmasks .

   ## /etc/netmasks in global zone
   10.10.8.0 255.255.255.0
   10.10.9.0 255.255.255.0

   Pour plus d'informations, reportez-vous à la page de manuel netmasks(4).

3. Dans la zone globale, montez les interfaces physiques spécifiques aux zones.
   1. Identifiez les interfaces physiques déjà montées.

      # ifconfig -a

   2. Configurez les adresses de la zone globale sur chaque interface.

      # ifconfig interface-nameN1 plumb
      # ifconfig interface-nameN1 10.10.8.3 up
      # ifconfig interface-nameN2 plumb
      # ifconfig interface-nameN2 10.10.9.3 up

   3. Pour chaque adresse de zone globale, créez un fichier hostname. interface-nameN.

      # /etc/hostname.interface-nameN1
      10.10.8.3
      # /etc/hostname.interface-nameN2
      10.10.9.3

   Les adresses de zone globale sont configurées immédiatement après le démarrage du système. Les adresses spécifiques aux zones sont configurées lors de l'initialisation de la zone.

4. Affectez un modèle de sécurité à chaque interface réseau spécifique à une zone.

   Si la passerelle vers le réseau n'est pas configurée avec des étiquettes, affectez le modèle de sécurité admin_low. Si la passerelle vers le réseau est étiquetée, affectez un modèle de sécurité cipso.

   Vous pouvez créer des modèles de sécurité de type d'hôte cipso qui reflètent l'étiquette de chaque réseau. Pour plus d'informations sur les procédures de création et d'affectation de modèles, reportez-vous à la section Configuration des bases de données réseau de confiance (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.

5. Arrêtez chaque zone étiquetée à laquelle vous prévoyez d'ajouter une interface spécifique.

   # zoneadm -z zone-name halt

6. Démarrez le gestionnaire de zones étiquetées.

   # /usr/sbin/txzonemgr

7. Pour chaque zone à laquelle vous voulez ajouter une interface spécifique, procédez comme suit :
   1. Sélectionnez la zone.
   2. Sélectionnez Add Network (Ajouter un réseau).
   3. Nommez l'interface réseau.
   4. Saisissez l'adresse IP de l'interface.
8. Dans le gestionnaire de zones étiquetées, pour chaque zone terminée, sélectionnez Zone Console (Console de zone).
9. Sélectionnez Boot (Initialiser).
10. Dans la console de zone, vérifiez que les interfaces ont été créées.

    # ifconfig -a

11. Vérifiez que la zone est acheminée vers la passerelle pour le sous-réseau.

    # netstat -rn

Erreurs fréquentes

Pour déboguer la configuration de zone, reportez-vous aux sections suivantes :

• Chapitre 30, Troubleshooting Miscellaneous Solaris Zones Problems du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones

• Dépannage de votre configuration Trusted Extensions

• Dépannage du réseau de confiance (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions

Ajout d'une interface réseau qui n'utilise pas la zone globale pour acheminer une zone étiquetée existante

Cette procédure permet de définir des routes par défaut spécifiques à une zone pour les zones étiquetées existantes. Dans cette configuration, les zones étiquetées n'utilisent pas la zone globale pour l'acheminement.

La zone étiquetée doit être montée dans la zone globale avant l'initialisation de la zone. Cependant, pour isoler la zone étiquetée de la zone globale, l'interface doit se trouver en état down lors de l'initialisation de la zone. Pour plus d'informations, reportez-vous au Chapitre 17, Non-Global Zone Configuration (Overview) du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.

Avant de commencer

Vous êtes superutilisateur dans la zone globale.

Pour chaque zone, vous avez terminé les tâches de la section Création de zones étiquetées. Vous utilisez l'interface vni0 ou lo0 pour connecter les zones étiquetées à la zone globale.

1. Pour chaque interface réseau, déterminez son adresse IP, son masque de réseau et son routeur par défaut.

   Utilisez la commande ifconfig -a pour déterminer l'adresse IP et le masque de réseau. Utilisez la commande zonecfg -z zonename info net pour déterminer si un routeur par défaut a été attribué.

2. Créer un fichier /etc/hostname.interface vide pour chaque zone étiquetée.

   # touch /etc/hostname.interface
   # touch /etc/hostname.interface:n

   Pour plus d'informations, reportez-vous à la page de manuel netmasks(4).

3. Montez les interfaces réseau des zones étiquetées.

   # ifconfig zone1-network-interface plumb
   # ifconfig zone2-network-interface plumb

4. Vérifiez que les interfaces de la zone étiquetée se trouvent dans l'état down.

   # ifconfig -a
   zone1-network-interface zone1-IP-address down
   zone2-network-interface zone2-IP-address down

   Les adresses spécifiques aux zones sont configurées lors de l'initialisation de la zone.

5. Ajoutez des entrées pour le réseau de chaque interface dans le fichier /etc/netmasks .

   ## /etc/netmasks in global zone
   192.168.2.0 255.255.255.0
   192.168.3.0 255.255.255.0

   Pour plus d'informations, reportez-vous à la page de manuel netmasks(4).

6. Affectez un modèle de sécurité à chaque interface réseau spécifique à une zone.

   Créez des modèles de sécurité de type d'hôte cipso qui reflètent l'étiquette de chaque réseau. Pour créer et affecter les modèles, reportez-vous à la section Configuration des bases de données réseau de confiance (liste des tâches) du Procédures de l’administrateur Oracle Solaris Trusted Extensions.

7. Exécutez le script txzonemgr, puis ouvrez une autre fenêtre de terminal.

   Dans le gestionnaire de zones étiquetées, vous ajoutez les interfaces réseau pour les zones étiquetées. Dans la fenêtre de terminal, vous affichez les informations relatives à la zone et définissez le routeur par défaut.

8. Pour chaque zone à laquelle vous allez ajouter une interface réseau spécifique et un routeur, procédez comme suit :
   1. Dans la fenêtre de terminal, arrêtez la zone.

      # zoneadm -z zone-name halt

   2. Dans le gestionnaire de zones étiquetées, procédez comme suit :
      1. Sélectionnez la zone.
      2. Sélectionnez Add Network (Ajouter un réseau).
      3. Nommez l'interface réseau.
      4. Saisissez l'adresse IP de l'interface.
      5. Dans la fenêtre de terminal, vérifiez la configuration de la zone.

         # zonecfg -z zone-name info net
         net:   address: IP-address
                physical: zone-network-interface
                defrouter not specified

   3. Dans la fenêtre de terminal, configurez le routeur par défaut pour le réseau de la zone étiquetée.

      # zonecfg -z zone-name
      zonecfg:zone-name > select net address=IP-address 
      zonecfg:zone-name:net> set defrouter=router-address 
      zonecfg:zone-name:net> end 
      zonecfg:zone-name > verify 
      zonecfg:zone-name > commit 
      zonecfg:zone-name > exit 
      #

      Pour en savoir plus, reportez-vous à la page de manuel zonecfg(1M) et à la section How to Configure the Zone du System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.

   4. Démarrez la zone étiquetée.

      # zoneadm -z zone-name boot

   5. Dans la zone globale, vérifiez que la zone étiquetée possède une route vers la passerelle pour le sous-réseau.

      # netstat -rn

      Une table de routage s'affiche. La destination et l'interface de la zone étiquetée sont différentes de l'entrée de la zone globale.

9. Pour supprimer la route par défaut, sélectionnez l'adresse IP de la zone, puis supprimez la route.

   # zonecfg -z zone-name
   
   zonecfg:zone-name > select net address=zone-IP-address
   zonecfg:zone-name:net> remove net defrouter=zone-default-route
   zonecfg:zone-name:net>  info net
   net:
      address: zone-IP-address
      physical: zone-network-interface
      defrouter not specified

Exemple 4-5 Définition d'une route par défaut pour une zone étiquetée

Dans cet exemple, l'administrateur achemine la zone Secret vers un autre sous-réseau physique. Le trafic en provenance et à destination de la zone Secret n'est pas acheminé par le biais de la zone globale. L'administrateur utilise le gestionnaire de zones étiquetées et la commande zonecfg, puis vérifie que l'acheminement fonctionne.

L'administrateur détermine si qfe1 et qfe1:0 ne sont pas en cours d'utilisation et crée un mappage pour deux zones étiquetées. qfe1 est l'interface désignée pour la zone Secret.

Interface IP Address    Netmask        Default Router
qfe1     192.168.2.22 255.255.255.0 192.168.2.2
qfe1:0   192.168.3.33 255.255.255.0 192.168.3.3

Tout d'abord, l'administrateur crée le fichier /etc/hostname.qfe1 et configure le fichier /etc/netmasks.

# touch /etc/hostname.qfe1

# cat /etc/netmasks
## /etc/netmasks in global zone
192.168.2.0 255.255.255.0

Ensuite, l'administrateur monte l'interface réseau et vérifie si elle est en état down.

# ifconfig qfe1 plumb
# ifconfig -a

Ensuite, dans la Console de gestion Solaris, l'administrateur crée un modèle de sécurité à l'aide d'une seule étiquette, Secret, et affecte l'adresse IP de l'interface au modèle.

L'administrateur arrête la zone.

# zoneadm -z secret halt

L'administrateur exécute le script txzonemgr pour ouvrir le gestionnaire de zones étiquetées.

# /usr/sbin/txzonemgr

Dans le gestionnaire de zones étiquetées, l'administrateur sélectionne la zone Secret, Add Network (Ajouter un réseau), puis une interface réseau. L'administrateur ferme le gestionnaire de zones étiquetées.

Sur la ligne de commande, l'administrateur sélectionne l'adresse IP de la zone, puis définit sa route par défaut. Avant de quitter la commande, l'administrateur vérifie la route et la valide.

# zonecfg -z secret
zonecfg: secret > select net address=192.168.6.22 
zonecfg: secret:net> set defrouter=192.168.6.2 
zonecfg: secret:net> end 
zonecfg: secret > verify 
zonecfg: secret > commit 
zonecfg: secret > info net 
  net:
     address: 192.168.6.22
     physical: qfe1
     defrouter: 192.168.6.2
zonecfg: secret > exit 
#

L'administrateur initialise la zone.

# zoneadm -z secret boot

Dans une autre fenêtre de terminal dans la zone globale, l'administrateur vérifie l'envoi et la réception de paquets.

# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref     Use  Interface 
-------------------- -------------------- ----- ----- ------- --------- 
default              192.168.5.15         UG        1    2664 qfe0      
192.168.6.2          192.168.6.22         UG        1     240 qfe1      
192.168.3.3          192.168.3.33         U         1     183 qfe1:0    
127.0.0.1            127.0.0.1            UH        1     380 lo0       
...

Configuration d'un cache de service de noms dans chaque zone étiquetée

Cette procédure permet de configurer séparément un démon du service de noms (nscd) dans chaque zone étiquetée. Cette configuration prend en charge les environnements dans lesquels chaque zone est connectée à un sous-réseau s'exécutant à l'étiquette de la zone, et le sous-réseau possède son propre serveur de noms pour cette étiquette.

Avant de commencer

Vous êtes superutilisateur dans la zone globale. root ne doit pas encore être un rôle. Vous avez exécuté les tâches de la section Ajout d'une interface réseau pour acheminer une zone étiquetée existante.

Pour procéder à cette configuration, vous devez posséder des compétences avancées en matière de gestion de réseaux. Si votre service de nommage est LDAP, vous êtes chargé d'établir la connexion client LDAP pour chaque zone étiquetée. Le démon nscd met en cache les informations relatives au service de noms, mais ne les achemine pas.

1. Si vous utilisez LDAP, vérifiez la route entre le serveur LDAP et la zone étiquetée.

   Dans une fenêtre de terminal dans chaque zone étiquetée, exécutez la commande suivante :

   zone-name # netstat -rn

2. Dans la zone globale, démarrez le gestionnaire de zones étiquetées.

   # /usr/sbin/txzonemgr

3. Sélectionnez le service de noms Configure per-zone (Configuration par zone), puis cliquez sur OK.

   Cette option est destinée à être utilisée une fois, pendant la configuration initiale du système.

4. Configurez le service nscd de chaque zone.

   Pour obtenir de l'aide, reportez-vous aux pages de manuel nscd(1M) and nscd.conf(4).

5. Redémarrez le système.
6. Pour chaque zone, vérifiez la route et le démon du service de noms.
   1. Dans la console de la zone, répertoriez les services nscd.

      zone-name # svcs -x name-service-cache
      svc:/system/name-service-cache:default (name service cache)
       State: online since October 10, 2010  10:10:10 AM PDT
         See: nscd(1M)
         See: /etc/svc/volatile/system-name-service-cache:default.log
      Impact: None.

   2. Vérifiez la route vers le sous-réseau.

      zone-name # netstat -rn

7. Pour supprimer les démons du service de noms spécifiques à des zones, procédez comme suit dans la zone globale :
   1. Ouvrez le gestionnaire de zones étiquetées.
   2. Sélectionnez le service de noms Unconfigure per-zone (Annulation de la configuration par zone), puis cliquez sur OK.

      Cette sélection supprime le démon nscd de toutes les zones étiquetées.

   3. Redémarrez le système.