Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration Oracle Solaris : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources Oracle Solaris 11 Information Library (Français) |
Partie I Gestion des ressources Oracle Solaris
1. Introduction à la gestion des ressources
2. Projets et tâches (présentation)
3. Administration des projets et des tâches
4. Comptabilisation étendue (présentation)
5. Administration de la comptabilisation étendue (tâches)
6. Contrôles des ressources (présentation)
7. Administration des contrôles des ressources (tâches)
8. Ordonnanceur FSS (présentation)
9. Administration de l'ordonnanceur FSS (tâches)
10. Contrôle de la mémoire physique à l'aide du démon de limitation des ressources (présentation)
11. Administration du démon de limitation des ressources (tâches)
12. Pools de ressources (présentation)
13. Création et administration des pools de ressources (tâches)
14. Exemple de configuration de la gestion des ressources
Partie II Oracle Solaris Zones
15. Introduction à Oracle Solaris Zones
16. Configuration des zones non globales (présentation)
17. Planification et configuration de zones non globales (tâches)
20. Connexion à une zone non globale (présentation)
21. Connexion à une zone non globale (tâches)
22. A propos des migrations de zones et de l'outil zonep2vchk
23. Migration de systèmes Oracle Solaris et migration de zones non globales (tâches)
25. Administration d'Oracle Solaris Zones (présentation)
Accès et visibilité de la zone globale
Visibilité des identificateurs de processus dans les zones
Capacité d'observation du système dans les zones
Génération de rapports statistiques sur la zone active avec l'utilitaire zonestat
Nom de noeud dans une zone non globale
Exécution d'un serveur NFS dans une zone
Systèmes de fichiers et zones non globales
Montage de systèmes de fichiers dans les zones
Démontage des systèmes de fichiers dans les zones
Restrictions de sécurité et comportement du système de fichiers
Zones non globales en tant que clients NFS
Interdiction d'utiliser la commande mknod dans une zone
Parcours des systèmes de fichiers
Restriction d'accès à une zone non globale à partir de la zone globale
Mise en réseau dans des zones non globales en mode IP partagé
Partition de zone en mode IP partagé
Interfaces réseau en mode IP partagé
Trafic IP entre zones en mode IP partagé sur une même machine
Oracle Solaris IP Filter dans les zones en mode IP partagé
Multipathing sur réseau IP dans les zones en mode IP partagé
Mise en réseau dans des zones non globales en mode IP exclusif
Partitionnement de zone en mode IP exclusif
Interfaces de liaison de données en mode IP exclusif
Trafic IP entre zones en mode IP exclusif sur la même machine
Oracle Solaris IP Filter dans les zones en mode IP exclusif
Multipathing sur réseau IP dans les zones en mode IP exclusif
Utilisation de périphériques dans les zones non globales
Répertoire /dev et espace de nom /devices
Périphérique d'utilisation exclusive
Gestion de pilote de périphérique
Dysfonctionnement ou modification d'utilitaires dans les zones non globales
Dysfonctionnement d'utilitaires dans les zones non globales
SPARC : Modification d'utilitaire pour une application dans les zones non globales
Utilitaires autorisés avec des implications de sécurité
Exécution d'applications dans les zones non globales
Utilisation de contrôles de ressources dans les zones non globales
Ordonnanceur FSS sur un système doté de zones
Division de partage FSS dans une zone globale ou non globale
Equilibre de partages entre zones
Comptabilisation étendue sur un système doté de zones
Privilèges dans une zone non globale
Utilisation de l'architecture de sécurité IP dans les zones
Architecture de sécurité IP dans les zones en mode IP partagé
Architecture de sécurité IP dans les zones en mode IP exclusif
Utilisation de l'audit Oracle Solaris dans les zones
Exécution de DTrace dans une zone non globale
A propos de la sauvegarde d'un système Oracle Solaris doté de zones
Sauvegarde des répertoires du système de fichiers en loopback
Sauvegarde du système à partir de la zone globale
Sauvegarde individuelle de zones non globales sur le système
Création de sauvegardes Oracle Solaris ZFS
Identification des éléments à sauvegarder dans les zones non globales
Sauvegarde des données d'application uniquement
Opérations générales de sauvegarde de base de données
A propos de la restauration de zones non globales
Commandes utilisées dans un système doté de zones
26. Administration d'Oracle Solaris Zones (tâches)
27. Configuration et administration de zones immuables
28. Dépannage des problèmes liés à Oracle Solaris Zones
Partie III Oracle Solaris 10 Zones
29. Introduction à Oracle Solaris 10 Zones
30. Evaluation d'un système Oracle Solaris 10 et création d'une archive
32. Configuration de la zone marquée solaris10
33. Installation de la zone marquée solaris10
34. Initialisation d'une zone, connexion et migration de zone
Sur un système Oracle Solaris doté de zones, les zones peuvent communiquer entre elles sur le réseau. Toutes possèdent des connexions ou des liaisons distinctes et peuvent exécuter leurs propres démons de serveur. Ces derniers peuvent écouter sur les mêmes ports sans que cela n'engendre de conflit. La pile IP résout les conflits en prenant en compte les adresses IP pour les connexions entrantes. Les adresses IP identifient la zone.
Pour utiliser le type IP partagé, la configuration réseau dans la zone globale doit être effectuée via ipadm , et non via une configuration automatique du réseau. La commande suivante doit renvoyer DefaultFixed si ipadm est en cours d'utilisation.
# svcprop -p netcfg/active_ncp svc:/network/physical:default DefaultFixed
Le mode IP partagé n'est pas le mode par défaut, mais il est pris en charge.
La pile IP dans un système prenant en charge les zones organise la séparation, entre les zones, du trafic sur le réseau. Les applications réceptrices de trafic IP reçoivent uniquement le trafic envoyé à la même zone.
Chaque interface logique du système appartient à une zone donnée (par défaut, la zone globale). Les interfaces réseau logiques assignées à des zones par le biais de l'utilitaire zonecfg permettent la communication sur le réseau. Tous les flux et connexions appartiennent à la zone du processus à l'origine de leur ouverture.
Des restrictions s'appliquent aux liaisons entre les flux de couche supérieure et les interfaces logiques. Un flux peut uniquement établir des liaisons aux interfaces logiques figurant dans sa zone. De même, les paquets d'une interface logique peuvent être transmis uniquement aux flux de couche supérieure de la zone dans laquelle figure l'interface logique.
Chaque zone possède son propre ensemble de liaisons. Chaque zone peut exécuter la même application à l'écoute sur le même port sans que les liaisons n'échouent parce que l'adresse est déjà utilisée. Chaque zone peut exécuter sa propre version des différents services réseau, tels que les éléments suivants :
Démons de services Internet avec un fichier de configuration complet (voir la page de manuel inetd(1M))
sendmail (reportez-vous à la page de manuel sendmail(1M))
apache
Les zones non globales disposent d'un accès limité au réseau. Les interfaces socket TCP et UDP standard sont disponibles, mais les interfaces socket SOCK_RAW sont limitées au protocole ICMP (Internet Control Message Protocol). Le protocole ICMP est requis pour la détection et le signalement des conditions d'erreur réseau ou l'utilisation de la commande ping.
Chaque zone non globale devant se connecter au réseau dispose d'une ou plusieurs adresses IP dédiées. Ces adresses sont associées à des interfaces réseau logiques que vous pouvez placer dans une zone. Les interfaces réseau de zone configurées à l'aide de la commande zonecfg sont automatiquement paramétrées et placées dans la zone lors de l'initialisation de cette dernière. La commande ipadm permet d'ajouter ou de supprimer des interfaces logiques lorsque la zone est en cours d'exécution. Seul l'administrateur global ou un utilisateur disposant des autorisations appropriées est autorisé à modifier la configuration de l'interface et les routes du réseau.
Au sein d'une zone non globale, seules les interfaces de la zone sont visibles pour la commande ipadm.
Pour plus d'informations, reportez-vous aux pages de manuel ipadm(1M) et if_tcp(7P).
Une zone en mode IP partagé peut atteindre n'importe quelle destination IP s'il existe une route utilisable pour cette destination dans sa table de transfert. Pour afficher la table de transfert, utilisez la commande netstat avec l'option -r au sein de la zone. Les règles de transfert IP sont les mêmes pour les destinations IP dans d'autres zones ou sur d'autres systèmes.
Oracle Solaris IP Filter permet le filtrage de paquets avec état et la traduction d'adresse réseau (NAT, Network Address Translation). Un filtre de paquets avec état permet de contrôler l'état des connexions actives. A l'aide des informations obtenues, il identifie alors les paquets autorisés à franchir le pare-feu. Oracle Solaris IP Filter permet également le filtrage de paquets sans état ainsi que la création et la gestion des pools d'adresses. Reportez-vous au Chapitre 20, IP Filter dans Oracle Solaris (présentation) du manuel Administration d’Oracle Solaris : Services IP pour plus d'informations.
Pour activer Oracle Solaris IP Filter dans les zones non globales, activez le filtrage en loopback, comme décrit dans le Chapitre 21, IP Filter (tâches) du manuel Administration d’Oracle Solaris : Services IP.
Oracle Solaris IP Filter est dérivé du logiciel Open Source IP Filter.
Le multipathing sur réseau IP (IPMP, IP Network Multipathing) permet de détecter les défaillances des interfaces physiques et de basculer en transparence l'accès au réseau pour un système présentant plusieurs interfaces sur une même liaison IP. IPMP permet également de répartir la charge des paquets pour les systèmes dotés de plusieurs interfaces.
L'intégralité de la configuration du réseau s'effectue dans la zone globale. Vous pouvez configurer IPMP dans la zone globale, puis étendre cette fonctionnalité aux zones non globales. Pour cela, lorsque vous configurez la zone, vous devez placer son adresse dans un groupe IPMP. En cas d'échec de l'une des interfaces de la zone globale, les adresses de zone non globale migrent vers une autre carte d'interface réseau.
Au sein d'une zone non globale, seules les interfaces qui lui sont associées sont visibles par le biais de la commande ipadm.
Voir la section Extension de la fonction de multipathing sur réseau IP aux zones non globales en mode IP partagé. La procédure de configuration des zones est traitée dans la section Configuration d'une zone. Pour plus d'informations sur les fonctions, les composants et l'utilisation d'IPMP, reportez-vous au Chapitre 14, Présentation d’IPMP du manuel Administration d’Oracle Solaris : interfaces réseau et virtualisation réseau.