非大域ゾーンによって提供される機能

非大域ゾーンは、次のような機能を提供します。

セキュリティー

大域ゾーン以外のゾーンにプロセスを配置したあとは、そのプロセス自体やそのプロセスの子がゾーンを変更することはできません。

ネットワークサービスをゾーンで実行できます。ネットワークサービスをゾーンで実行すると、セキュリティー違反が発生した場合の損害を抑えることができます。ゾーン内で実行されているソフトウェアのセキュリティー欠陥を侵入者が悪用できた場合でも、そのゾーン内で可能な一連の操作しか実行できません。ゾーン内で使用できる特権は、システム全体で使用できる特権の一部のみです。

隔離

複数のアプリケーションが異なる信頼ドメインで動作する場合や、大域リソースへの排他的アクセスを必要とする場合、または、大域の構成を使用すると問題を示すような場合でも、ゾーンを使用することでこれらのアプリケーションを同じマシン上に配備できます。たとえば、各ゾーンにそれぞれ異なる IP アドレスを割り当てるか、ワイルドカードアドレスを使用することで、同じシステム上の異なる共有 IP ゾーンで実行される複数のアプリケーションを同じネットワークポートにバインドできます。アプリケーションが互いのネットワークトラフィック、ファイルシステムデータ、プロセスの活動などを監視したり妨害したりすることもできなくなります。

ネットワーク隔離

デフォルトでは、ゾーンは排他的 IP タイプとして構成されます。ゾーンは IP 層で大域ゾーンから分離され、かつ相互に分離されます。この分離は、運用上とセキュリティー上の両方の理由で有用です。ゾーンは、専用の LAN または VLAN を使用して異なるサブネット上で通信する必要があるアプリケーションを統合するために使用できます。ゾーンごとに独自の IP 層のセキュリティー規則を定義することもできます。

仮想化

ゾーンによって提供される仮想環境では、物理デバイスやシステムのプライマリ IP アドレスとホスト名などの詳細をアプリケーションから隠すことができます。同じアプリケーション環境を、物理的に異なるマシンで維持管理することもできます。仮想化された環境では、各ゾーンを個別に管理できます。非大域ゾーンでゾーン管理者によって行われる操作は、システムのほかの部分に影響を与えません。

隔離単位

ゾーンを使用すると、ほぼどのような単位にも細かく隔離できます。詳細は、「非大域ゾーンの特性」を参照してください。

環境

セキュリティーや隔離の目標を達成するために必要な場合を除き、アプリケーションの実行される環境がゾーンによって変更されることはありません。ゾーンを使用するために、新しい API や ABI にアプリケーションを移植する必要はありません。代わりに、ゾーンでは Oracle Solaris の標準インタフェースとアプリケーション環境が提供されます。ただし、いくつかの制限があります。これらの制限は主に、特権付き操作を実行しようとするアプリケーションに影響を与えます。

大域ゾーンで実行されるアプリケーションは、追加のゾーンが構成されたかどうかにかかわらず、変更なしで実行できます。