Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Agregación y actualización de paquetes de software de Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Introducción al Image Packaging System
2. Interfaces gráficas de usuario de IPS
3. Obtención de información sobre paquetes de software
4. Instalación y actualización de paquetes de software
5. Configuración de imágenes instaladas
Visualización de información de editores
Agregación, modificación o eliminación de editores de paquetes
Control de la instalación de componentes opcionales
Visualización y cambio de valores de variantes
Visualización y cambio de valores de faceta
Bloqueo de paquetes a una versión especificada
Flexibilización de restricciones de versiones especificadas por incorporaciones
Especificación de una implementación de aplicación predeterminada
Cómo evitar instalar algunos paquetes en un paquete de grupo
Mejores prácticas de actualización de imagen
Especificación de la versión que se instalará
Especificación de una restricción de versión antes de realizar una actualización
Restricción de los paquetes disponibles
Cambio a una versión anterior de una imagen
Más opciones del comando de actualización
Configuración de propiedades de imágenes y editores
Propiedades de imágenes de política de entorno de inicio
Propiedades para firmar paquetes
Propiedades de imágenes para paquetes firmados
Propiedades de editores para paquetes firmados
Configuración de propiedades de firmas de paquetes
Propiedades adicionales de imágenes
Configuración de propiedades de imágenes
Visualización de valores de propiedades de imágenes
Para implementar políticas de imagen, establezca propiedades de imágenes. En esta sección, se describen las propiedades de imágenes y editores, y cómo definir dichas propiedades. Consulte también “Propiedades de imágenes” en la página del comando man pkg(1) para obtener descripciones de las propiedades de las imágenes.
Una imagen es una ubicación en donde se pueden instalar paquetes de IPS y en donde se pueden realizar otras operaciones de IPS.
Un entorno de inicio es una instancia de inicio de una imagen. Puede tener varios entornos de inicio en el sistema, y cada uno puede tener diferentes versiones de software instaladas. Cuando inicia el sistema, tiene la opción de iniciar en cualquier entorno de inicio del sistema. Un nuevo entorno de inicio se puede crear automáticamente como resultado de las operaciones de paquetes. También puede crear de forma explícita un nuevo entorno de inicio. La creación de un nuevo entorno de inicio depende de la política de imagen, como se trata en esta sección.
De manera predeterminada, un nuevo entorno de inicio se crea automáticamente al realizar una de las siguientes operaciones:
Actualice paquetes del sistema clave concretos, como algunos controladores y otros componentes del núcleo. Esto puede ocurrir al instalar, desinstalar, actualizar, cambiar variantes o cambiar facetas.
Por lo general, un nuevo entorno de inicio se crea al ejecutar el comando pkg update para actualizar todos los paquetes que tienen actualizaciones disponibles.
Especifique cualquiera de las siguientes opciones: --be-name, --require-new-be, --backup-be-name, --require-backup-be.
Establezca la política de imagen be-policy en always-new. Con esta política, todas las operaciones de los paquetes se realizan en un nuevo entorno de inicio establecido como activo en el siguiente inicio.
Cuando se crea un nuevo entorno de inicio, el sistema realiza los siguientes pasos:
Crea un clon del entorno de inicio actual.
El clon del entorno de inicio incluye todo de manera jerárquica bajo el conjunto de datos root principal del entorno de inicio original. Los sistemas de archivos compartidos no se ubican debajo del conjunto de datos root y no se clonan. En lugar de ello, el entorno de inicio nuevo accede a los sistemas de archivos compartidos originales.
Actualiza los paquetes del clon del entorno de inicio, pero no los del entorno de inicio actual.
Si se configuran zonas no globales en el entorno de inicio actual, estas zonas que ya existen se configuran en el nuevo entorno de inicio.
Establece el nuevo entorno de inicio como la opción de inicio predeterminada para la próxima vez que se inicie el sistema, salvo que la opción --no-be-activate esté especificada. El entorno de inicio actual se conserva como opción de inicio alternativa.
Si se requiere un nuevo entorno de inicio, pero no hay suficiente espacio disponible para crearlo, es posible que pueda suprimir entornos de inicio innecesarios existentes. Para obtener más información sobre entornos de inicio, consulte Creación y administración de entornos de inicio Oracle Solaris 11.1.
Consulte Configuración de propiedades de imágenes para obtener instrucciones para establecer las propiedades de imágenes que se describen a continuación.
Especifica cuándo se crea un entorno de inicio durante las operaciones de empaquetado. Se admiten los siguientes valores:
Aplica la política predeterminada de creación de entornos de inicio: create-backup.
Requiere un reinicio para todas las operaciones de paquetes realizándolas en un nuevo entorno de inicio establecido como activo en el próximo inicio. La copia de seguridad del entorno de inicio no se crea a menos que se solicite de manera explícita.
Esta política es la más segura, pero es más estricta de lo que necesitan la mayoría de sitios, ya que no se pueden agregar paquetes sin reiniciar.
Para operaciones de paquetes que necesitan un reinicio, esta política crea un nuevo entorno de inicio establecido como activo en el siguiente inicio. Si se modifican los paquetes o se instala contenido que puede afectar el núcleo y la operación afecta el entorno de inicio activo, se crea una copia de seguridad del entorno de inicio pero no se establece como activa. La copia de seguridad de un entorno de inicio también se puede solicitar de manera explícita.
Esta política es potencialmente riesgosa únicamente si el software recientemente instalado provoca la inestabilidad del sistema, lo cual es posible, pero relativamente raro.
Para operaciones de paquetes que necesitan un reinicio, esta política crea un nuevo entorno de inicio establecido como activo en el siguiente inicio. La copia de seguridad del entorno de inicio no se crea a menos que se solicite de manera explícita.
Esta política lleva el mayor riesgo, ya que si un cambio de empaquetado en el entorno de inicio activo no permite realizar más cambios, es posible que no exista un entorno de inicio de reserva reciente.
Si va a instalar paquetes firmados, establezca las propiedades de imágenes y editores que se describen en esta sección para verificar firmas de paquetes.
Configure las siguientes propiedades de imágenes para utilizar paquetes firmados.
El valor de esta propiedad determina las comprobaciones que se realizarán en los manifiestos al instalar, actualizar, modificar o verificar paquetes en la imagen. La política final que se aplica a un paquete depende de la combinación de política de imagen y política de editor. La combinación será, como mínimo, tan estricta como la más estricta de las dos políticas tomadas individualmente. De manera predeterminada, el cliente de paquete no comprueba si los certificados han sido revocados. Para activar dichos controles, que pueden requerir que el cliente contacte sitios web externos, establezca la propiedad de imagen check-certificate-revocation en true. Se admiten los siguientes valores:
Omite firmas para todos los manifiestos.
Verifica que todos los manifiestos con firmas estén firmados de manera válida, pero no requiere que todos los paquetes instalados estén firmados.
Éste es el valor predeterminado.
Requiere que todos los paquetes recién instalados tengan al menos una firma válida. Los comandos pkg fix y pkg verify también advierten si un paquete instalado no tiene una firma válida.
Sigue los mismos requisitos que require-signatures, pero también requiere que las cadenas que aparecen en la propiedad de imagen signature-required-names aparezcan como un nombre común de los certificados utilizados para verificar las cadenas de confianza de las firmas.
El valor de esta propiedad es una lista de nombres que deben verse como nombres comunes de certificados al validar las firmas de un paquete.
Configure las siguientes propiedades de editores para utilizar paquetes firmados de un editor particular.
La función de esta propiedad es idéntica a la función de la propiedad de imagen signature-policy, excepto que esta propiedad sólo se aplica a los paquetes del editor especificado.
La función de esta propiedad es idéntica a la función de la propiedad de imagen signature-required-names, excepto que esta propiedad sólo se aplica a los paquetes del editor especificado.
Use los subcomandos set-property, add-property-value, remove-property-value y unset-property para configurar propiedades de firmas de paquetes para esta imagen.
Use las opciones --set-property, --add-property-value, --remove-property-value y --unset-property del subcomando set-publisher para especificar la política de firmas y los nombres requeridos de un editor particular.
En el siguiente ejemplo, se configura esta imagen para requerir que todos los paquetes estén firmados. Este ejemplo también requiere que la cadena “oracle.com” se vea como un nombre común para uno de los certificados en la cadena de confianza.
$ pfexec pkg set-property signature-policy require-names oracle.com
En el siguiente ejemplo, se configura esta imagen para requerir que todos los paquetes firmados se verifiquen.
$ pfexec pkg set-property signature-policy verify
En el siguiente ejemplo, se configura esta imagen para requerir que todos los paquetes instalados del publicador example.com estén firmados.
$ pfexec pkg set-publisher --set-property signature-policy=require-signatures example.com
En el siguiente ejemplo, se agrega un nombre de firma requerido. En este ejemplo, se agrega la cadena trustedname a la lista de nombres comunes de la imagen que se debe ver en la cadena de confianza de una firma para que se considere válida.
$ pfexec pkg add-property-value signature-require-names trustedname
En el siguiente ejemplo, se elimina un nombre de firma requerido. En este ejemplo, se elimina la cadena trustedname de la lista de nombres comunes de la imagen que se debe ver en la cadena de confianza de una firma para que se considere válida.
$ pfexec pkg remove-property-value signature-require-names trustedname
En el siguiente ejemplo, se agrega un nombre de firma requerido para un editor especificado. En este ejemplo, se agrega la cadena trustedname a la lista de nombres comunes del editor example.com que se debe ver en la cadena de confianza de una firma para que se considere válida.
$ pfexec pkg set-publisher --add-property-value \ signature-require-names=trustedname example.com
Especifica un nombre de ruta que apunta a un directorio donde los certificados de AC se mantienen para operaciones SSL. El formato de este directorio es específico de la implementación SSL subyacente. Para utilizar una ubicación alternativa para los certificados de CA de confianza, cambie este valor para apuntar a un directorio diferente. Consulte las partes CApath de SSL_CTX_load_verify_locations (3openssl) para ver los requisitos del directorio CA.
El valor predeterminado es /etc/openssl/certs.
Si se define en True, el cliente del paquete intenta contactar a alguno de los puntos de distribución de CRL en los certificados utilizados para la verificación de firmas con el fin de determinar si el certificado se ha revocado desde que se emitió.
El valor predeterminado es False.
Si se define en True, el cliente del paquete elimina los archivos de la caché de contenido cuando las operaciones de instalación o actualización se completan. En las operaciones de actualización, el contenido se elimina sólo del entorno de inicio de origen. Cuando se produce la siguiente operación de empaquetado en el entorno de inicio de destino, el cliente de paquete vacía su caché de contenido si esta opción no se ha cambiado.
Esta propiedad se puede utilizar para mantener una caché de contenido pequeña en los sistemas con espacio limitado en disco. Esta propiedad puede provocar que se demore la finalización de las operaciones.
El valor predeterminado es True.
Esta propiedad indica al cliente que detecte reflejos de contenido local de enlace mediante mDNS y DNS-SD. Si esta propiedad se define en True, el cliente intenta descargar contenido de paquetes de reflejos que detecta de forma dinámica. Para ejecutar un reflejo que anuncia su contenido mediante mDNS, consulte pkg.depotd(1M).
El valor predeterminado es False.
Envíe el identificador único universal (UUID) de la imagen al realizar operaciones de red. Si bien los usuarios pueden desactivar esta opción, es posible que algunos repositorios de red rechacen la comunicación con los clientes que no proporcionan un UUID.
El valor predeterminado es True.
El valor de esta propiedad es el nombre de la ruta del directorio que contiene los anclajes de confianza para la imagen. Esta ruta es relativa a la imagen.
El valor predeterminado es ignore.
Esta propiedad indica si la imagen debe utilizar el repositorio del sistema como origen para la configuración de imágenes y editores, y como proxy para comunicarse con los editores proporcionados. Consulte pkg.sysrepo(1M) para obtener información sobre los repositorios del sistema.
El valor predeterminado es ignore.
Use los subcomandos set-property, add-property-value, remove-property-value y unset-property para configurar propiedades de esta imagen.
/usr/bin/pkg property [-H] [nombre_propiedad ...] /usr/bin/pkg set-property nombre_propiedad valor_propiedad /usr/bin/pkg add-property-value nombre_propiedad valor_propiedad /usr/bin/pkg remove-property-value nombre_propiedad valor_propiedad /usr/bin/pkg unset-property nombre_propiedad ...
Utilice el comando pkg property para ver las propiedades de una imagen.
$ pkg property PROPERTY VALUE be-policy default ca-path /etc/openssl/certs check-certificate-revocation False flush-content-cache-on-success False mirror-discovery False preferred-authority solaris publisher-search-order ['solaris', 'isvpub'] send-uuid True signature-policy verify signature-required-names [] trust-anchor-directory etc/certs/CA use-system-repo False
Las propiedades preferred-authority y publisher-search-order se pueden establecer usando opciones del comando pkg set-publisher. Consulte Agregación, modificación o eliminación de editores de paquetes.
Utilice el comando pkg set-property para definir el valor de una propiedad de imagen o agregar y definir una propiedad.
En el siguiente ejemplo, se establece el valor de la propiedad mirror-discovery.
$ pfexec pkg set-property mirror-discovery True $ pkg property -H mirror-discovery mirror-discovery True
Utilice el comando pkg unset-property para restablecer los valores de las propiedades especificadas a sus valores predeterminados.
$ pfexec pkg unset-property mirror-discovery $ pkg property -H mirror-discovery mirror-discovery False