将网络接口和路由添加到有标签区域

以下任务支持其中的每个区域都连接到单独物理网络的环境。

添加网络接口以路由现有的有标签区域

此过程将特定于区域的网络接口添加到现有的有标签区域中。此配置支持其中的每个有标签区域都连接到单独物理网络的环境。有标签区域使用全局区域提供的网络路由。

开始之前

您是全局区域中的超级用户。

对于每个区域，您已完成了创建有标签区域中的任务。

1. 在全局区域中，将附加网络接口的 IP 地址和主机名键入到 /etc/hosts 文件中。

   使用标准命名约定，例如向主机的名称添加 -zone-name。

   ## /etc/hosts in global zone
   10.10.8.2   hostname-zone-name1
   10.10.8.3   hostname-global-name1
   10.10.9.2   hostname-zone-name2
   10.10.9.3   hostname-global-name2

2. 对于每个接口的网络，请将相应的项添加到 /etc/netmasks 文件中。

   ## /etc/netmasks in global zone
   10.10.8.0 255.255.255.0
   10.10.9.0 255.255.255.0

   有关更多信息，请参见 netmasks(4) 手册页。

3. 在全局区域中，检测特定于区域的物理接口。
   1. 确定已经检测的物理接口。

      # ifconfig -a

   2. 在每个接口上配置全局区域地址。

      # ifconfig interface-nameN1 plumb
      # ifconfig interface-nameN1 10.10.8.3 up
      # ifconfig interface-nameN2 plumb
      # ifconfig interface-nameN2 10.10.9.3 up

   3. 对于每个全局区域地址，创建一个 hostname.interface-nameN 文件。

      # /etc/hostname.interface-nameN1
      10.10.8.3
      # /etc/hostname.interface-nameN2
      10.10.9.3

   全局区域地址在系统启动时立即进行配置。特定于区域的地址在引导区域时进行配置。

4. 向每个特定于区域的网络接口指定安全模板。

   如果网络的网关未配置标签，请指定 admin_low 安全模板。如果网络的网关配有标签，请指定 cipso 安全模板。

   您可以创建主机类型为 cipso 的安全模板，以反映每个网络的标签。有关创建和指定模板的过程，请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"配置可信网络数据库（任务列表）"。

5. 停止打算向其添加特定于区域的接口的每个有标签区域。

   # zoneadm -z zone-name halt

6. 启动 Labeled Zone Manager（有标签区域管理器）。

   # /usr/sbin/txzonemgr

7. 对于要在其中添加特定于区域的接口的每个区域，执行以下操作：
   1. 选择区域。
   2. 选择 "Add Network"（添加网络）。
   3. 命名网络接口。
   4. 键入接口的 IP 地址。
8. 在每个已完成区域的 Labeled Zone Manager（有标签区域管理器）中，选择 "Zone Console"（区域控制台）。
9. 选择 "Boot"（引导）。
10. 在 "Zone Console"（区域控制台）中，检验是否已创建接口。

    # ifconfig -a

11. 检验区域是否有通往子网网关的路由。

    # netstat -rn

故障排除

要调试区域配置，请参见以下内容：

• 《System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones》中的第 30  章 "Troubleshooting Miscellaneous Solaris Zones Problems"

• Trusted Extensions 配置故障排除

• 《Oracle Solaris Trusted Extensions 管理员规程》中的"可信网络故障排除（任务列表）"

添加不使用全局区域的网络接口以路由现有的有标签区域

此过程为现有的有标签区域设置特定于区域的缺省路由。在此配置中，有标签区域不使用全局区域进行路由。

在引导区域前，必须在全局区域中检测有标签的区域。但是，要将有标签区域与全局区域隔离，在引导区域时接口必须处于 down（关闭）状态。有关更多信息，请参见 《System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones》中的第 17  章 "Non-Global Zone Configuration (Overview)"。

开始之前

您是全局区域中的超级用户。

对于每个区域，您已完成了创建有标签区域中的任务。您使用 vni0 接口或 lo0 接口将有标签区域连接到全局区域。

1. 对于每个网络接口，确定其 IP 地址、网络掩码和缺省路由器。

   使用 ifconfig -a 命令确定 IP 地址和网络掩码。使用 zonecfg -z zonename info net 命令确定是否指定了缺省路由器。

2. 为每个有标签区域创建一个空 /etc/hostname.interface 文件。

   # touch /etc/hostname.interface
   # touch /etc/hostname.interface:n

   有关更多信息，请参见 netmasks(4) 手册页。

3. 检测有标签区域的网络接口。

   # ifconfig zone1-network-interface plumb
   # ifconfig zone2-network-interface plumb

4. 检验有标签区域的接口是否处于 down（关闭）状态。

   # ifconfig -a
   zone1-network-interface zone1-IP-address down
   zone2-network-interface zone2-IP-address down

   特定于区域的地址在引导区域时进行配置。

5. 对于每个接口的网络，请将相应的项添加到 /etc/netmasks 文件中。

   ## /etc/netmasks in global zone
   192.168.2.0 255.255.255.0
   192.168.3.0 255.255.255.0

   有关更多信息，请参见 netmasks(4) 手册页。

6. 向每个特定于区域的网络接口指定安全模板。

   创建主机类型为 cipso 的安全模板，以反映每个网络的标签。要创建和指定模板，请参见《Oracle Solaris Trusted Extensions 管理员规程》中的"配置可信网络数据库（任务列表）"。

7. 运行 txzonemgr 脚本，打开一个单独的终端窗口。

   在 Labeled Zone Manager（有标签区域管理器）中，您将为有标签区域添加网络接口。在终端窗口中，您将显示有关区域的信息并设置缺省路由器。

8. 对于要向其添加特定于区域的网络接口和路由器的每个区域，请完成以下步骤：
   1. 在终端窗口中，停止区域。

      # zoneadm -z zone-name halt

   2. 在 Labeled Zone Manager（有标签区域管理器）中，执行以下操作：
      1. 选择区域。
      2. 选择 "Add Network"（添加网络）。
      3. 命名网络接口。
      4. 键入接口的 IP 地址。
      5. 在终端窗口中，检验区域配置。

         # zonecfg -z zone-name info net
         net:   address: IP-address
                physical: zone-network-interface
                defrouter not specified

   3. 在终端窗口中，为有标签区域的网络配置缺省路由器。

      # zonecfg -z zone-name
      zonecfg:zone-name > select net address=IP-address 
      zonecfg:zone-name:net> set defrouter=router-address 
      zonecfg:zone-name:net> end 
      zonecfg:zone-name > verify 
      zonecfg:zone-name > commit 
      zonecfg:zone-name > exit 
      #

      有关更多信息，请参见 zonecfg(1M) 手册页，以及《System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones》中的"How to Configure the Zone"。

   4. 引导有标签区域。

      # zoneadm -z zone-name boot

   5. 在全局区域中，检验有标签区域是否有通往子网网关的路由。

      # netstat -rn

      将会显示一个路由表。有标签区域的目标和接口不同于全局区域的条目。

9. 要删除缺省路由，请选择区域的 IP 地址，然后删除路由。

   # zonecfg -z zone-name
   
   zonecfg:zone-name > select net address=zone-IP-address
   zonecfg:zone-name:net> remove net defrouter=zone-default-route
   zonecfg:zone-name:net>  info net
   net:
      address: zone-IP-address
      physical: zone-network-interface
      defrouter not specified

示例 4-5 设置有标签区域的缺省路由

在此示例中，管理员将 Secret（秘密）区域路由到单独的物理子网。来往于 Secret（秘密）区域的通信不会通过全局区域进行路由。管理员使用 Labeled Zone Manager（有标签区域管理器）和 zonecfg 命令，然后检验路由是否有效。

管理员确定 qfe1 和 qfe1:0 当前未在使用，并为两个有标签区域创建映射。qfe1 是 Secret（秘密）区域的指定接口。

Interface IP Address    Netmask        Default Router
qfe1     192.168.2.22 255.255.255.0 192.168.2.2
qfe1:0   192.168.3.33 255.255.255.0 192.168.3.3

首先，管理员创建 /etc/hostname.qfe1 文件并配置 /etc/netmasks 文件。

# touch /etc/hostname.qfe1

# cat /etc/netmasks
## /etc/netmasks in global zone
192.168.2.0 255.255.255.0

接着，管理员检测网络接口并检验接口是否关闭。

# ifconfig qfe1 plumb
# ifconfig -a

然后，在 Solaris Management Console 中，管理员创建一个具有单一标签 Secret（秘密）的安全模板，并将接口的 IP 地址指定给模板。

管理员停止区域。

# zoneadm -z secret halt

管理员运行 txzonemgr 脚本打开 Labeled Zone Manager（有标签区域管理器）。

# /usr/sbin/txzonemgr

在 Labeled Zone Manager（有标签区域管理器）中，管理员依次选择 Secret（秘密）区域、"Add Network"（添加网络）和一个网络接口。管理员关闭 Labeled Zone Manager（有标签区域管理器）。

在命令行上，管理员选择区域的 IP 地址，然后设置其缺省路由。在退出命令之前，管理员检验路由并将其提交。

# zonecfg -z secret
zonecfg: secret > select net address=192.168.6.22 
zonecfg: secret:net> set defrouter=192.168.6.2 
zonecfg: secret:net> end 
zonecfg: secret > verify 
zonecfg: secret > commit 
zonecfg: secret > info net 
  net:
     address: 192.168.6.22
     physical: qfe1
     defrouter: 192.168.6.2
zonecfg: secret > exit 
#

管理员引导区域。

# zoneadm -z secret boot

在全局区域中的单独终端窗口中，管理员检验数据包的发送和接收。

# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref     Use  Interface 
-------------------- -------------------- ----- ----- ------- --------- 
default              192.168.5.15         UG        1    2664 qfe0      
192.168.6.2          192.168.6.22         UG        1     240 qfe1      
192.168.3.3          192.168.3.33         U         1     183 qfe1:0    
127.0.0.1            127.0.0.1            UH        1     380 lo0       
...

在每个有标签区域中配置名称服务高速缓存

通过此过程，可以在每个有标签区域中单独配置名称服务守护进程 (nscd)。此配置支持满足以下条件的环境：其中的每个区域都连接到一个以区域的标签运行的子网，并且该子网拥有自己的用于该标签的名称服务器。

开始之前

您是全局区域中的超级用户。root 必须尚未成为角色。您已成功完成了添加网络接口以路由现有的有标签区域。

此配置要求您具备网络方面的高级技能。如果您的命名服务是 LDAP，则您要负责建立与每个有标签区域的 LDAP 客户机连接。nscd 守护进程会缓存名称服务信息，但不会路由该信息。

1. 如果要使用 LDAP，请检验从有标签区域到 LDAP 服务器的路由。

   在每个有标签区域的终端窗口中，运行以下命令：

   zone-name # netstat -rn

2. 在全局区域中，启动 Labeled Zone Manager（有标签区域管理器）。

   # /usr/sbin/txzonemgr

3. 选择 "Configure per-zone name service"（配置每区域名称服务），然后单击 "OK"（确定）。

   此选项规定为在初始系统配置过程中使用一次。

4. 配置每个区域的 nscd 服务。

   有关帮助，请参见 nscd(1M) 和 nscd.conf(4) 手册页。

5. 重新引导系统。
6. 对于每个区域，检验路由和名称服务守护进程。
   1. 在 "Zone Console"（区域控制台）中，列出 nscd 服务。

      zone-name # svcs -x name-service-cache
      svc:/system/name-service-cache:default (name service cache)
       State: online since October 10, 2010  10:10:10 AM PDT
         See: nscd(1M)
         See: /etc/svc/volatile/system-name-service-cache:default.log
      Impact: None.

   2. 检验通往子网的路由。

      zone-name # netstat -rn

7. 要删除特定于区域的名称服务守护进程，请在全局区域中执行以下操作：
   1. 打开 Labeled Zone Manager（有标签区域管理器）。
   2. 选择 "Unconfigure per-zone name service"（取消配置每区域名称服务），然后单击 "OK"（确定）。

      此选择将删除每个有标签区域中的 nscd 守护进程。

   3. 重新引导系统。