Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos Oracle Solaris 11 Information Library (Español) |
Parte I Gestión de recursos de Oracle Solaris
1. Introducción a la gestión de recursos
2. Proyectos y tareas (información general)
3. Administración de proyectos y tareas
4. Contabilidad ampliada (descripción general)
5. Administración de contabilidad ampliada (tareas)
6. Controles de recursos (descripción general)
7. Administración de controles de recursos (tareas)
8. Programador de reparto justo (descripción general)
9. Administración del programador de reparto justo (tareas)
10. Control de memoria física utilizando el daemon de límite de recursos (descripción general)
11. Administración del daemon de límite de recursos (tareas)
12. Agrupaciones de recursos (descripción general)
13. Creación y administración de agrupaciones de recursos (tareas)
14. Ejemplo de configuración de administración de recursos
Parte II Zonas de Oracle Solaris
15. Introducción a Zonas de Oracle Solaris
16. Configuración de zonas no globales (descripción general)
Acerca de los recursos en las zonas
Uso de perfiles de derechos y roles en la administración de zonas
Proceso de configuración de la preinstalación
Propiedad file-mac-profile para zona raíz de sólo lectura
Asociación de agrupaciones de recursos
Control de memoria física y recurso capped-memory
Zonas no globales de dirección IP compartida
Zonas no globales de IP exclusiva
Diferencias de seguridad entre las zonas globales de IP compartida y de IP exclusiva
Uso simultáneo de zonas no globales de IP compartida e IP exclusiva
Sistemas de archivos montados en zonas
Dispositivos configurados en zonas
Compatibilidad de formato de disco en zonas no globales
Modo de archivo de comando zonecfg
Datos de configuración de zonas
Tipos de recursos y propiedades
Propiedades del tipo de recurso
Biblioteca de edición de línea de comandos Tecla
17. Planificación y configuración de zonas no globales (tareas)
19. Cómo instalar, iniciar, cerrar, detener, desinstalar y clonar zonas no globales (tareas)
20. Inicio de sesión en zonas no globales (descripción general)
21. Registro en zonas no globales (tareas)
22. Acerca de migraciones de zonas y la herramienta zonep2vchk
23. Migración de sistemas Oracle Solaris y migración de zonas no globales (tareas)
25. Administración de zonas de Oracle Solaris (descripción general)
26. Administración de zonas de Oracle Solaris (tareas)
27. Configuración y administración de zonas inmutables
28. Resolución de problemas relativos a las zonas de Oracle Solaris
Parte III Zonas de Oracle Solaris 10
29. Introducción a las zonas de Oracle Solaris 10
30. Evaluación de un sistema Oracle Solaris 10 y creación de un archivo
32. Configuración de la zona con marca solaris10
33. Instalación de zona con marca solaris10
34. Inicio de una zona, inicio de sesión y migración de zona
Esta sección describe los componentes de zona obligatorios y opcionales que pueden configurarse. Sólo el nombre y la ruta de zona son necesarios. En Datos de configuración de zonas se proporciona información adicional.
Debe elegir un nombre y una ruta para la zona. La zona debe residir en un conjunto de datos ZFS. El conjunto de datos ZFS se creará automáticamente cuando la zona se instale o se conecte. Si un conjunto de datos ZFS no puede ser creado, la zona no se instalará ni se conectará. Tenga en cuenta que el directorio principal de la ruta de la zona también debe ser un conjunto de datos.
La configuración de la propiedad autoboot determina si la zona se inició automáticamente cuando se inició la zona global. También debe habilitarse el servicio de zonas, svc:/system/zones:default.
En las zonas de solaris, file-mac-profile se utiliza para configurar zonas con raíces de sólo lectura.
Para obtener más información, consulte Capítulo 27, Configuración y administración de zonas inmutables.
La configuración de admin le permite configurar la autorización de administración de zonas. El método preferido para definir autorizaciones es mediante el comando zonecfg .
Especifique el nombre de usuario.
Especifique las autorizaciones para el nombre de usuario.
Si el control de acceso basado en roles (RBAC) está en uso, se necesita la autorización de solaris.zone.login/nombre_zona para inicios de sesión interactivos. En la zona se realiza la autenticación de la contraseña.
Si RBAC está en uso para inicios de sesión no interactivos o para omitir la autenticación de la contraseña, se necesita la autorización de solaris.zone.manage/ nombre_zona.
Si RBAC está en uso, los subcomandos que realizan una copia de otra zona requieren la autorización solaris.zone.clonefrom/zona_origen.
Si ha configurado agrupaciones de recursos en el sistema tal como se describe en el Capítulo 13, Creación y administración de agrupaciones de recursos (tareas), puede utilizar la propiedad pool para asociar la zona con una de las agrupaciones de recursos al configurar la zona.
Si no tiene configuradas las agrupaciones de recursos, puede especificar que un subconjunto de los procesadores del sistema se dedique a una zona no global mientras se ejecuta utilizando el recurso dedicated-cpu. El sistema creará dinámicamente una agrupación temporal para utilizar mientras se ejecuta la zona. Con la especificación a través de zonecfg, la configuración de la agrupación se propaga durante las migraciones.
Nota - Una configuración de zona que utiliza un conjunto de agrupaciones persistentes mediante la propiedad pool es incompatible con una agrupación temporal configurada mediante el recurso dedicated-cpu. Puede definir sólo una de estas dos propiedades.
El recurso dedicated-cpu especifica que un subconjunto de los procesadores del sistema debe dedicarse a una zona no global mientras se ejecuta. Cuando se inicia la zona, el sistema crea dinámicamente una agrupación temporal para utilizar mientras se ejecuta la zona.
Con la especificación en zonecfg, la configuración de la agrupación se propaga durante las migraciones.
El recurso dedicated-cpu establece los límites de ncpus y, opcionalmente, importance.
Especifique el número de CPU o un intervalo, por ejemplo 2–4 CPU. Si especifica un intervalo porque desea que la agrupación de recursos tenga un comportamiento dinámico, haga también lo siguiente:
Configure la propiedad importance.
Active el servicio poold. Para obtener instrucciones, consulte Cómo habilitar el servicio de agrupaciones de recursos dinámicos utilizando svcadm.
Si utiliza un intervalo de CPU para conseguir un comportamiento dinámico, defina también la propiedad importance. La propiedad importance, que es opcional, define la importancia relativa de la agrupación. Esta propiedad sólo se necesita cuando especifica un intervalo para ncpus y está utilizando agrupaciones de recursos dinámicos administradas por poold. Si poold no está en ejecución, se omite importance. Si poold está en ejecución y no se configura importance, importance tendrá el valor de 1 de forma predeterminada. Para obtener más información, consulte Restricción de la propiedad pool.importance.
Nota - Los recursos capped-cpu y dedicated-cpu son incompatibles. Los recursos cpu-shares rctl y dedicated-cpu son incompatibles.
El recurso capped-cpu proporciona un límite de grano fino absoluto de la cantidad de recursos de CPU que un proyecto o una zona pueden consumir. Al utilizarse con conjuntos de procesadores, los recursos capped-cpu limitan el uso de las CPU en un conjunto. El recurso capped-cpu tiene una sola propiedad ncpus que es un número positivo con dos decimales. Esta propiedad corresponde a unidades de CPU. El recurso no acepta un intervalo. El recurso acepta un número decimal. Cuando se especifica ncpus, un valor de 1 significa el 100 por ciento de una CPU. Un valor de 1,25 significa el 125 por ciento, ya que el 100 por ciento corresponde a toda una CPU del sistema.
Nota - Los recursos capped-cpu y dedicated-cpu son incompatibles.
Puede utilizar el programador de reparto justo (FSS) para controlar la asignación de los recursos de CPU disponibles entre las zonas, basándose en su importancia. Dicha importancia se expresa con el número de recursos compartidos de los recursos de la CPU que asigna a cada zona. Aunque no utilice FSS para administrar la asignación de recursos de la CPU entre las zonas, puede configurar la clase de planificación de la zona para que utilice FSS y pueda definir los recursos compartidos de los proyectos en la zona.
Cuando define la propiedad cpu-shares de forma explícita, el programador de reparto justo (FSS) se utilizará como clase de planificación para dicha zona. Sin embargo, se recomienda utilizar FSS como la clase de planificación predeterminada con el comando dispadmin. De este modo, todas las zonas se beneficiarán de un reparto justo de los recursos de la CPU del sistema. Si no se configura cpu-shares para una zona, la zona utilizará la clase de planificación predeterminada del sistema. Las acciones siguientes definen la clase de planificación para una zona:
Puede utilizar la propiedad scheduling-class de zonecfg para definir la clase de planificación para la zona.
Es posible configurar la clase de planificación para una zona mediante la utilidad de agrupaciones de recursos. Si la zona se asocia con una agrupación que tiene la propiedad pool.scheduler configurada como una clase de planificación válida, de modo predeterminado los procesos que se ejecutan en la zona se ejecutan en dicha clase. Consulte Introducción a las agrupaciones de recursos y Cómo asociar una agrupación con una clase de planificación.
Si el rctl cpu-shares está configurado y FSS no se ha configurado como clase de planificación para la zona mediante otra acción, zoneadmddefine la clase de planificación como FSS cuando se inicia la zona.
Si no se configura la clase de planificación mediante otra acción, la zona hereda la clase de planificación predeterminada del sistema.
Puede utilizar el comando priocntl descrito en la página del comando man priocntl(1) para mover los procesos en ejecución a una clase de programación diferente sin cambiar la clase de programación predeterminada ni reiniciar.
El recurso capped-memory establece los límites para la memoria physical, swap, y locked. Cada límite es opcional, pero debe configurarse como mínimo uno. Para utilizar el recurso capped-memory, el paquete resource-cap debe estar instalado en la zona global.
Determine los valores para este recurso si tiene previsto limitar la memoria para la zona utilizando rcapd de la zona global. La propiedad physical del recurso capped-memory la utiliza rcapd como valor max-rss para la zona.
La propiedad swap del recurso capped-memory es el modo preferido de configurar el control de recurso zone.max-swap.
La propiedad locked del recurso capped-memory es el modo recomendado para configurar el control de recurso zone.max-locked-memory.
Nota - Normalmente, las aplicaciones no bloquean cantidades importantes de memoria, pero, si lo desea, puede establecer memoria bloqueada si se sabe que las aplicaciones de la zona bloquean la memoria. Si le preocupa la confianza en una zona, también puede establecer un límite de memoria bloqueada de hasta un 10% de la memoria física del sistema o un 10% del límite de la memoria física de la zona.
Para más información, consulte el Capítulo 10, Control de memoria física utilizando el daemon de límite de recursos (descripción general), Capítulo 11, Administración del daemon de límite de recursos (tareas) y Cómo configurar la zona. Para definir temporalmente un límite de recursos para una zona, consulte Cómo especificar un límite de recursos temporal para una zona .
Las interfaces de red de zona configuradas por la utilidad zonecfg para proporcionar conectividad de red se configurarán automáticamente y se colocarán en la zona cuando se inicie.
La capa de protocolo de Internet (IP) acepta y entrega paquetes para la red. Esta capa incluye rutas IP, el protocolo de resolución de dirección (ARP), la arquitectura de seguridad IP (IPsec) y el filtro IP.
Hay dos tipos de IP disponibles para las zonas no globales: direcciones IP compartidas y direcciones IP exclusivas. IP exclusiva es el tipo predeterminado de IP. Una zona de IP compartida comparte una interfaz de red con la zona global. La utilidad ipadm debe realizar la configuración en la zona global para utilizar zonas de IP compartida. Una zona de IP exclusiva debe tener una interfaz de red dedicada. Si la zona de IP exclusiva se configura mediante el recurso anet, se crea una VNIC dedicada de forma automática y se asigna a esa zona. Mediante el recurso anet automatizado, se elimina el requisito para crear y configurar enlaces de datos en la zona global, y para asignar dichos enlaces a zonas no globales. Utilice el recurso anet para llevar a cabo lo siguiente:
Permitir que el administrador de la zona global seleccione nombres específicos para los enlaces de datos asignados a zonas no globales.
Permitir que varias zonas utilicen enlaces de datos con el mismo nombre.
Para la compatibilidad con versiones anteriores, los enlaces de datos preconfigurados se pueden asignar a zonas no globales.
Para obtener información sobre las funciones IP de cada tipo, consulte Redes en zonas no globales de IP compartida y Redes en zonas no globales de IP exclusiva.
Nota - La protección de enlace descrita en el Capítulo 20, Uso de la protección de enlaces en entornos virtualizados de Administración de Oracle Solaris: interfaces y virtualización de redes se puede utilizar en un sistema que ejecuta zonas. Esta funcionalidad está configurada en la zona global.
Un enlace de datos es una interfaz en la capa 2 de la pila de protocolos OSI, que está representada en un sistema como una interfaz STREAMS DLPI (v2). Esta interfaz se podrá sondear en virtud de una pila de protocolos, como TCP/IP. Un enlace de datos también se denomina interfaz física, por ejemplo, una tarjeta de interfaz de red (NIC). El enlace de datos es la propiedad physical configurada mediante zonecfg (1M). La propiedad physical puede ser una VNIC, como se describe en la Parte III, Virtualización de la red y gestión de los recursos de Administración de Oracle Solaris: interfaces y virtualización de redes.
Un ejemplo de enlaces de datos son las interfaces físicas, como e1000g0 y bge1; NIC, como bge3; adiciones, como aggr1, aggr2; o interfaces etiquetadas con VLAN, como e1000g123000 y bge234003 (como VLAN 123 en e1000g0 y VLAN 234 en bge3, respectivamente).
Una zona de IP compartida utiliza una interfaz de IP existente desde la zona global. La zona debe tener una o varias direcciones IP dedicadas. Una zona de IP compartida comparte la configuración y el estado de la capa de IP con la zona global. La zona debe utilizar la instancia de IP compartida si se cumplen las dos condiciones siguientes:
La zona no global utilizará el mismo enlace de datos utilizado por la zona global, independientemente de si las zonas globales y no globales se encuentran en la misma subred.
No desea utilizar las otras funciones que proporciona la zona de IP exclusiva.
A las zonas de IP compartida se asignan una o más direcciones IP utilizando el recurso net del comando zonecfg. Los nombres del vínculo de datos también deben configurarse en la zona global.
En el recurso zonecfg net, se deben configurar las propiedades address y physical. La propiedad defrouter es opcional.
Para utilizar la configuración de red de tipo de IP compartida en la zona global, debe utilizar la configuración de red no automática ipadm. Para determinar si la configuración de red está siendo realizada por ipadm, ejecute el siguiente comando. La respuesta indicada debe ser DefaultFixed.
# svcprop -p netcfg/active_ncp svc:/network/physical:default DefaultFixed
Las direcciones IP asignadas a zonas de IP compartida se asocian con las interfaces de red lógicas.
El comando ipadm puede utilizarse desde la zona global para asignar o eliminar interfaces lógicas en una zona en ejecución.
Para agregar interfaces, utilice el siguiente comando:
global# ipadm set-addrprop -p zone=my-zone net0/addr1
Para eliminar interfaces, utilice uno de los siguientes comandos:
global# ipadm set-addrprop -p zone=global net0/addr
o:
global# ipadm reset-addrprop -p zone net0/addr1
Para más información, consulte Interfaces de red de IP compartida.
IP exclusiva es la configuración de red predeterminada para zonas no globales.
Una zona de IP exclusiva tiene su propio estado relacionado con la IP y uno o más enlaces de datos dedicados.
Las siguientes funciones se pueden utilizar en una zona de IP exclusiva:
Configuración automática de direcciones sin estado DHCPv4 y IPv6
Filtro IP, incluida la función de traducción de direcciones de red (NAT)
Comando ipadm para configurar TCP/UDP/SCTP y controles de nivel de IP/ARP
Seguridad IP (IPsec) e intercambio de claves de Internet (IKE), que automatiza la provisión de materiales de claves autenticado para la asociación de seguridad de IPsec
Existen dos maneras de configurar zonas de IP exclusiva:
Utilice el recurso anet de la utilidad zonecfg para crear automáticamente una VNIC temporal para la zona cuando la zona se inicia y para eliminarla cuando la zona se detiene.
Preconfigure el enlace de datos en la zona global y asígnelo a la zona de IP exclusiva mediante el recurso net de la utilidad zonecfg. El enlace de datos se especifica mediante la propiedad physical del recurso net. La propiedad physical puede ser una VNIC, como se describe en la Parte III, Virtualización de la red y gestión de los recursos de Administración de Oracle Solaris: interfaces y virtualización de redes. La propiedad address del recurso net no está configurada.
De manera predeterminada, una zona de IP exclusiva puede configurar y utilizar cualquier dirección IP en la interfaz asociada. Si lo desea, puede especificar una lista de direcciones IP separadas por comas usando la propiedad allowed-address. La zona de IP exclusiva no puede utilizar direcciones IP que no están en la lista de allowed-address. Además, todas las direcciones de la lista de allowed-address se configurarán persistentemente de forma automática para la zona de IP exclusiva cuando se inicie la zona. Si no desea esta configuración de interfaz, debe configurar la propiedad configure-allowed-address en false. El valor predeterminado es true.
Tenga en cuenta que el vínculo de datos asignado permite utilizar el comando snoop.
El comando dladm puede utilizarse con el subcomando show-linkprop para mostrar la asignación de vínculos de datos a las zonas de IP exclusiva en ejecución. El comando dladm puede utilizarse con el subcomando set-linkproppara asignar vínculos de datos adicionales a las zonas en ejecución. Consulte Administración de enlaces de datos en zonas no globales de IP exclusiva para ver ejemplos de uso.
En una zona de IP exclusiva en ejecución a la que se le asigna su propio conjunto de enlaces de datos, el comando ipadm se puede utilizar para configurar la dirección IP, que incluye la posibilidad de agregar o eliminar interfaces lógicas. La configuración de la dirección IP de una zona puede establecerse del mismo modo que en la zona global, utilizando la interfaz sysconfig descrita en la página del comando man sysconfig(1M).
La configuración IP de una zona de IP exclusiva sólo puede verse desde la zona global utilizando el comando zlogin.
global# zlogin zone1 ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 nge0/_b dhcp ok 10.134.62.47/24 lo0/v6 static ok ::1/128 nge0/_a addrconf ok fe80::2e0:81ff:fe5d:c630/10
En una zona de IP compartida, las aplicaciones de la zona, incluido el superusuario, no pueden enviar paquetes con direcciones IP de origen que no sean las asignadas a la zona con la utilidad zonecfg. Este tipo de zona no tiene acceso para enviar y recibir paquetes de vínculos de datos arbitrarios (capa 2).
En una zona de IP exclusiva, zonecfg concede el vínculo de datos completo especificado a la zona. Como resultado, en una zona de IP exclusiva, el superusuario o un usuario con el perfil de derechos necesario puede enviar paquetes falsificados en esos enlaces de datos, como se puede hacer en la zona global. La falsificación de direcciones IP se puede deshabilitar estableciendo la propiedad allowed-address. Para el recurso anet, se pueden habilitar protecciones adicionales, como mac-nospoof y dhcp-nospoof, mediante la definición de la propiedad link-protection.
Las zonas de IP compartida siempre comparten la capa IP con la zona global, y las zonas de IP exclusiva siempre tienen su propia instancia de la capa IP. Pueden utilizarse tanto zonas de IP compartida como zonas de IP exclusiva en el mismo equipo.
Cada zona tiene un conjunto de datos ZFS delegado de manera predeterminada. Este conjunto de datos delegado de manera predeterminada imita el diseño del conjunto de datos de la zona global predeterminado. Un conjunto de datos denominado .../rpool/ROOT contiene entornos de inicio. Este conjunto de datos no se debe manipular directamente. El conjunto de datos rpool, que debe existir, está montado de manera predeterminada en ... /rpool. Los conjuntos de datos .../rpool/export y .../rpool/export/home están montados en /export y /export/home. Estas zonas no globales tienen los mismos usos que los conjuntos de datos de las zonas globales correspondientes, y se pueden gestionar de la misma forma. El administrador de la zona puede crear conjuntos de datos adicionales dentro de los conjuntos de datos .../rpool, .../rpool/export y ... /rpool/export/home.
Generalmente, los sistemas de archivos montados en una zona incluyen:
El conjunto de sistemas de archivos montados cuando se inicia la plataforma virtual
El conjunto de sistemas de archivos montados desde el entorno de aplicación
Estos conjuntos pueden incluir, por ejemplo, los siguientes sistemas de archivos:
Los sistemas de archivos ZFS con un mountpoint distinto de none o legacy, que también tienen un valor de yes para la propiedad canmount.
Sistemas de archivos especificados en el archivo /etc/vfstab de una zona.
Montajes activados por AutoFS y AutoFS. Las propiedades autofs se establecen mediante el uso de sharectl descrito en sharectl(1M).
Montajes llevados a cabo por un administrador de zona de forma explícita
Los permisos de montaje del sistema de archivos dentro de una zona en ejecución también son definidos por la propiedad zonecfg fs-allowed. Esta propiedad no se aplica a los sistemas de archivos montados en la zona utilizando los recursos zonecfg add fs o add dataset. De manera predeterminada, sólo se permiten dentro de una zona los montajes de sistemas de archivos dentro del conjunto de datos delegado predeterminado de una zona, sistemas de archivos hsfs y sistemas de archivos de red, como NFS.
Precaución - Además de los montajes predeterminados, los montajes llevados a cabo desde el entorno de aplicación tienen determinadas limitaciones. Estas limitaciones evitan que el administrador de zona deniegue el servicio al resto del sistema, o que tenga repercusiones negativas en otras zonas. |
Existen limitaciones de seguridad asociadas con el montaje de determinados sistemas de archivos dentro de una zona. Otros sistemas de archivos muestran un comportamiento especial cuando se montan en una zona. Consulte Sistemas de archivos y zonas no globales para obtener más información.
Puede establecer una propiedad hostid para la zona no global que sea diferente del hostid de la zona global. Esto se realizaría, por ejemplo, en el caso de una máquina migrada a una zona en otro sistema. Las aplicaciones que se encuentran dentro de la zona pueden depender del hostid original. Consulte Tipos de recursos y propiedades para obtener más información.
El comando zonecfg utiliza un sistema de concordancia de reglas para especificar los dispositivos que deben aparecer en una zona específica. Los dispositivos que concuerdan con una de las reglas se incluyen en el sistema de archivos /dev de la zona. Para obtener más información, consulte Cómo configurar la zona.
La partición de disco y el uso del comando uscsi se habilitan a través de la herramienta zonecfg. Consulte el device en Propiedades del tipo de recurso para ver un ejemplo. Para obtener más información sobre el comando uscsi, consulte uscsi(7I).
La delegación sólo es compatible con las zonas de solaris.
Los discos deben utilizar el destino sd como se muestra mediante el uso del comando prtconf con la opción -D. Consulte prtconf(1M).
El administrador global o un usuario con las autorizaciones adecuadas pueden establecer controles de recursos de zonas con privilegios para una zona. Los controles de recursos de la zona limitan el uso total de los recursos de todas las entidades de procesos de una zona.
Estos límites se especifican tanto para las zonas globales como para las no globales utilizando el comando zonecfg. Consulte Cómo configurar la zona.
El método recomendado más sencillo de configurar un control de recursos de zona es utilizar el nombre de la propiedad o el recurso, como capped-cpu, en lugar del recurso rctl, como cpu-cap.
El control de recursos zone.cpu-cap establece un límite absoluto en la cantidad de recursos de CPU que una zona puede consumir. Un valor de 100 representa el 100 por ciento de una CPU como valor de configuración. Un valor de 125 representa el 125 por ciento, ya que el 100 por ciento corresponde a una CPU completa del sistema al utilizar el recurso cpu-cap.
Nota - Al establecer el recurso capped-cpu, se puede establecer un número decimal para la unidad. El valor está correlacionado con el control de recurso zone.cpu-cap, pero la configuración se reduce a 100. Una configuración de 1 es equivalente a una configuración de 100 para el control de recursos.
El control de recurso zone.cpu-shares establece un límite para el número de recursos compartidos de la CPU del programador de reparto justo (FSS) para una zona. Los recursos compartidos de la CPU se asignan en primer lugar a la zona, y luego se subdividen entre los proyectos de la zona tal como se especifica en las entradas project.cpu-shares. Para obtener más información, consulte Uso del programador de reparto justo en un sistema Oracle Solaris con zonas instaladas. El nombre de propiedad global para este control es cpu-shares.
El control de recursos zone.max-locked-memory limita la cantidad de memoria física bloqueada disponible para una zona. La asignación del recurso de memoria bloqueada en proyectos de la zona se puede realizar mediante el control de recursos project.max-locked-memory. Consulte la Tabla 6-1 para obtener más información.
El control de recursos zone.max-lofi limita la cantidad de posibles dispositivos lofi que una zona puede crear.
El control de recurso zone.max-lwps mejora el aislamiento del recurso al evitar que demasiados procesos ligeros (LWP) de la zona afecten a otras zonas. La asignación del recurso LWP para los proyectos de la zona se puede realizar con el control de recurso project.max-lwps. Consulte la Tabla 6-1 para obtener más información. El nombre de propiedad global de este control es max-lwps.
El control de recursos zone.max-processes mejora el aislamiento de los recursos evitando que una zona utilice demasiadas ranuras de tabla de procesos y, por lo tanto, afecte a otras zonas. La asignación del recurso de ranuras de tabla de procesos para los proyectos de la zona se puede configurar utilizando el control de recursos project.max-processes descrito en Controles de recursos disponibles. El nombre de propiedad global para este control es max-processes. El control de recursos zone.max-processes también puede abarcar el control de recursos zone.max-lwps. Si se establece zone.max-processes y zone.max-lwps no está definido, zone.max-lwps se establece de forma implícita a 10 veces el valor de zone.max-processes cuando se inicia la zona. Tenga en cuenta que, debido a que los procesos normales y los procesos zombie ocupan ranuras de tabla de procesos, el control max-processes protege contra los zombies que agotan la tabla de procesos. Debido a que los procesos zombie no tienen procesos ligeros por definición, max-lwps no puede proteger contra esta posibilidad.
Los controles de recurso zone.max-msg-ids, zone.max-sem-ids, zone.max-shm-ids y zone.max-shm-memory se utilizan para limitar los recursos de System V que utilizan todos los procesos de una zona. La asignación de los recursos de System V para los proyectos de la zona puede realizarse con las versiones de proyecto de estos controles de recurso. Los nombres de propiedad global de estos controles son max-msg-ids, max-sem-ids, max-shm-ids y max-shm-memory.
El control de recurso zone.max-swap limita el intercambio que consumen las asignaciones de espacio de dirección del proceso de usuario y los montajes tmpfs de una zona. La salida de prstat -Z muestra una columna de intercambio. El intercambio que se registra es el intercambio total que consumen los montajes tmpfs y los procesos de la zona. Este valor ayuda a supervisar el intercambio reservado por cada zona, que se puede utilizar para elegir la configuración adecuada de zone.max-swap.
Tabla 16-1 Controles de recursos de la zona
|
Estos límites pueden especificarse para ejecutar procesos utilizando el comando prctl. Se incluye un ejemplo en Cómo definir recursos compartidos de FSS en la zona global mediante el comando prctl. Los límites especificados a través del comando prctl no son persistentes. Los límites sólo surten efecto cuando se reinicia el sistema.
Cuando se inicia una zona, se incluye en la configuración un conjunto predeterminado de privilegios safe. Estos privilegios se consideran seguros porque evitan que un proceso con privilegios de la zona afecte a los procesos de otras zonas no globales en el sistema o en la zona global. Puede utilizar el comando zonecfg para:
Añadir al conjunto predeterminado de privilegios, teniendo en cuenta que esta clase de cambios puede permitir que los procesos de una zona afecten a los procesos de otras zonas al ser capaces de controlar un recurso global.
Eliminar del conjunto predeterminado de privilegios, teniendo en cuenta que esta clase de cambios puede impedir que algunos procesos funcionen correctamente si requieren la ejecución de dichos privilegios.
Nota - Existen unos cuantos privilegios que no se pueden eliminar del conjunto de privilegios predeterminado de la zona, y hay otros tantos que no se pueden añadir al conjunto en este momento.
Para más información, consulte Privilegios en una zona no global, Cómo configurar la zona y privileges(5).
Puede añadir un comentario para una zona utilizando el tipo de recurso attr. Para obtener más información, consulte Cómo configurar la zona.