Funcionamiento de las zonas

Una zona no global sería similar a una caja. Una o varias aplicaciones pueden ejecutarse en esa caja sin interactuar con el resto del sistema. Las zonas aíslan los servicios y las aplicaciones de software utilizando límites flexibles y definidos por el software. Las aplicaciones que se ejecutan en la misma instancia que el sistema operativo Oracle Solaris se pueden gestionar de forma independiente. De este modo, pueden ejecutarse diferentes versiones de la misma aplicación en zonas distintas, para cumplir los objetivos de la configuración.

Un proceso asignado a una zona puede manipular, supervisar y comunicarse directamente con otros procesos asignados a la misma zona. El proceso no puede llevar a cabo estas funciones con procesos que están asignados a otras zonas del sistema o con procesos que no están asignados a ninguna zona. Los procesos asignados a diferentes zonas sólo pueden comunicarse a través de las API de red.

Las redes IP pueden configurarse de dos modos distintos, en función de si la zona tiene su instancia IP exclusiva o comparte la configuración y el estado de la capa de IP con la zona global. El tipo predeterminado es el de IP exclusiva. Para obtener más información sobre los tipos de IP en las zonas, consulte Interfaces de red de zona. Para obtener información relativa a la configuración, consulte Cómo configurar la zona.

Todos los sistemas Oracle Solaris contienen una zona global. La zona global tiene una doble función. La zona global es tanto la zona predeterminada para el sistema, como la zona que se usa para el control administrativo de todo el sistema. Todos los procesos se ejecutan en la zona global si no hay zonas no globales (denominadas, simplemente, "zonas") creadas por el administrador global o un usuario con el perfil de seguridad de zona.

La zona global es la única zona desde la que se puede configurar, instalar, gestionar o desinstalar una zona no global. Sólo es posible iniciar la zona global desde el hardware del sistema. La administración de la infraestructura del sistema, como dispositivos físicos, enrutamiento en una zona IP compartida o reconfiguración dinámica (DR), sólo es posible en la zona global. Algunos procesos con privilegios adecuados que se ejecuten en la zona global pueden acceder a objetos asociados con otras zonas.

Los procesos sin privilegios en la zona global podrían llevar a cabo operaciones no permitidas para los procesos con privilegios en una zona no global. Por ejemplo, los usuarios de la zona global pueden ver información sobre cada uno de los procesos del sistema. Si esta función presenta un problema para su sitio, puede restringir el acceso a la zona global.

Se asigna un nombre a cada zona, incluida la zona global. La zona global siempre tiene el nombre global. Cuando se inicia la zona, el sistema también asigna a cada zona un identificador numérico exclusivo. La zona global siempre se asigna al ID 0. Los nombres de zona e ID numéricos se describen en Uso del comando zonecfg.

Cada zona también tiene un nombre de nodo completamente independiente del nombre de la zona. El nombre de nodo lo asigna el administrador de la zona. Para obtener información adicional, consulte Nombre de nodo de zona no global.

Cada zona tiene una ruta a su directorio raíz relativa al directorio raíz de la zona global. Para más información, consulte Uso del comando zonecfg.

La clase de planificación para una zona no global se configura como la clase de planificación para el sistema de forma predeterminada. Consulte Clase de programación para conocer los métodos que se utilizan para configurar la clase de programación de una zona.

Resumen de zonas por función

La tabla siguiente resume las características de las zonas globales y no globales.

Tipo de zona

Característica

Global

El sistema le asigna el ID 0
Proporciona la única instancia del núcleo de Oracle Solaris que se puede iniciar y ejecutar en el sistema
Contiene una instalación completa de los paquetes de software del sistema Oracle Solaris
Puede contener paquetes de software adicionales, así como archivos, directorios, software y otros datos adicionales que no se instalan mediante paquetes
Proporciona una base de datos de productos completa y coherente que contiene información acerca de todos los componentes de software instalados en la zona global
Almacena solamente la información de configuración específica para la zona global como, por ejemplo, la tabla del sistema de archivos y el nombre de host de la zona global
Se trata de la única zona que tiene información de todos los dispositivos y todos los sistemas de archivos
Es la única zona que tiene constancia de la existencia y la configuración de la zona no global
Es la única zona desde la que se puede configurar, instalar, gestionar o desinstalar una zona no global

No global

El sistema le asigna un ID de zona cuando se inicia la zona
Comparte el funcionamiento en el núcleo de Oracle Solaris iniciado desde la zona global
Tiene instalado un subconjunto de los paquetes de software del sistema operativo Oracle Solaris completo
Puede contener paquetes de software instalados adicionales
Puede contener archivos, directorios, software y otros datos adicionales creados en la zona no global que no se instalan mediante paquetes
Tiene una base de datos de productos completa y coherente que contiene información acerca de todos los componentes de software instalados en la zona
No tiene información sobre la existencia de ninguna otra zona
No se pueden instalar, gestionar ni desinstalar otras zonas, incluida ella misma
Dispone solamente de información de configuración específica para dicha zona no global como, por ejemplo, la tabla del sistema de archivos y el nombre de host de la zona no global
Puede tener su propia configuración de zona horaria

Administración de las zonas no globales

Un administrador global tiene privilegios de superusuario o derechos administrativos equivalentes. Cuando el administrador global inicia sesión en la zona global, puede supervisar y controlar el sistema de forma global.

Un administrador de zona puede administrar una zona no global. El administrador global asigna las autorizaciones necesarias al administrador de zona, como se describe en Recurso admin. Los privilegios de un administrador de zona se limitan a una zona no global específica.

Creación de zonas no globales

Puede especificar la configuración e instalación de zonas no globales como parte de una instalación automatizada (AI) del cliente. Consulte Instalación de sistemas Oracle Solaris 11.1 para obtener más información.

Para crear una zona en un sistema Oracle Solaris, el administrador global utiliza el comando zonecfg a fin de configurar una zona especificando diversos parámetros para la plataforma virtual y el entorno de aplicación de la zona. A continuación, el administrador global instala la zona, y utiliza el comando de administración de zonas zoneadm para instalar software en el paquete de la jerarquía del sistema de archivos que se ha establecido para la zona. El comando zoneadm se utiliza para iniciar la zona. El administrador global o un usuario autorizado puede iniciar sesión en la zona instalada utilizando el comando zlogin. Si el control de acceso basado en roles (RBAC) está en uso, el administrador de zona debe tener la autorización solaris.zone.manage/ zonename.

Para obtener información sobre la configuración de zonas, consulte el Capítulo 16, Configuración de zonas no globales (descripción general). Para obtener información sobre la instalación de zonas, consulte el Capítulo 18, Acerca de la instalación, el cierre, la detención, la desinstalación y la clonación de zonas no globales (descripción general). Para obtener información sobre el inicio de sesión en las zonas, consulte el Capítulo 20, Inicio de sesión en zonas no globales (descripción general).

Modelo de estado de zona no global

Una zona no global puede tener uno de los siguientes siete estados:

Configurada

La configuración de la zona está completa y se envía a una ubicación de almacenamiento estable. Sin embargo, todavía no están presentes los elementos del entorno de aplicación de la zona que deben especificarse tras el inicio inicial.

Incompleta

Durante una operación de instalación o desinstalación, zoneadm define el estado de la zona de destino como incompleto. Cuando la operación se completa correctamente, el estado se configura con el estado correcto.

Una zona instalada dañada puede estar marcada como incompleta por el subcomando mark de zoneadm. Las zonas con el estado incompleto se muestran en la salida de zoneadm list - iv.

No disponible

Indica que se ha instalado la zona, pero no se puede verificar, poner a disposición, iniciar, conectar o mover. Una zona pasa al estado no disponible en los siguientes casos:

Cuando el almacenamiento de la zona no está disponible y se inicia svc:/system/zones:default , por ejemplo, durante el inicio del sistema
Cuando el almacenamiento de la zona no está disponible
Cuando las instalaciones basadas en archivos fallan después de la extracción correcta de los archivos
Cuando el software de la zona no es compatible con el software de la zona global, por ejemplo, después de una conexión -F (forzar) inadecuada.

Instalada

La configuración de la zona se instancia en el sistema. El comando zoneadm permite verificar que la configuración se pueda utilizar correctamente en el sistema Oracle Solaris designado. Los paquetes se instalan bajo la ruta raíz de la zona. En este estado, la zona no tiene ninguna plataforma virtual asociada.

Lista

Se establece la plataforma virtual para la zona. El núcleo crea el proceso zsched, las interfaces de red se configuran y ponen a disposición de la zona, los sistemas de archivos se montan y los dispositivos se configuran. El sistema asigna un ID de zona único. En esta fase, no se ha iniciado ningún proceso asociado con la zona.

Ejecutándose

Los procesos del usuario asociados con el entorno de aplicación de la zona están en ejecución. La zona pasa al estado de ejecución en cuanto se crea el primer proceso de usuario asociado con el entorno de aplicación (init).

Cerrándose y cerrada

Se trata de estados de transición visibles cuando se está deteniendo la zona. Sin embargo, si una zona no puede cerrarse por cualquier motivo, se detendrá en uno de estos estados.

El Capítulo 19, Cómo instalar, iniciar, cerrar, detener, desinstalar y clonar zonas no globales (tareas) y la página del comando man zoneadm(1M) describen cómo utilizar el comando zoneadm para iniciar las transiciones entre estos estados.

Tabla 15-1 Comandos que afectan al estado de la zona

Estado de zona actual	Comandos aplicables
Configurada	`zonecfg` `-z` `nombre_zona` `verify` `zonecfg` `-z` `nombre_zona` `commit` `zonecfg` `-z` `nombre_zona` `delete` `zoneadm` `-z` `nombre_zona` `attach` `zoneadm` `-z` `nombre_zona` `verify` `zoneadm` `-z` `nombre_zona` `install` `zoneadm` `-z` `nombre_zona` `clone` `zoneadm` `-z` `zonename` `mark` `incomplete` `zoneadm` `-z` `zonename` `mark` `unavailable` También puede utilizar `zonecfg` para cambiar el nombre de una zona que tenga el estado de configurada o instalada.
Incompleta	`zoneadm` `-z` `nombre_zona` `uninstall`
No disponible	`zoneadm` `-z` `zonename` `uninstall` desinstala la zona del sistema especificado. `zoneadm` `-z` `nombre_zona` `attach` `zonecfg` `-z` `zonename` se puede utilizar para cambiar `zonepath` y cualquier otra propiedad o recurso que se puede cambiar en el estado instalada.
Instalada	`zoneadm` `-z` `nombre_zona` `ready` (opcional) `zoneadm` `-z` `nombre_zona` `boot` `zoneadm` `-z` `nombre_zona` `uninstall` desinstala la configuración de la zona especificada del sistema. `zoneadm` `-z` `nombre_zona` `move` `ruta` `zoneadm` `-z` `nombre_zona` `detach` `zonecfg` `-z` `nombre_zona` se puede utilizar para agregar o eliminar una propiedad `attr`, `bootargs`, `capped-memory`, `dataset`, `capped-cpu`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv`, `net`, `rctl` o `scheduling-class`. También puede cambiar el nombre de una zona que tenga el estado de instalada. `zoneadm` `-z` `zonename` `mark` `incomplete` `zoneadm` `-z` `zonename` `mark` `unavailable`
Lista	`zoneadm` `-z` `nombre_zona` `boot` `zoneadm` `halt` y el reinicio del sistema devuelven una zona con el estado de lista al estado de instalada. `zonecfg` `-z` `nombre_zona` se puede utilizar para agregar o eliminar una propiedad `attr`, `bootargs`, `capped-memory`, `dataset`, `capped-cpu`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv`, `net`, `rctl` o `scheduling-class`.
Ejecutándose	`zlogin` `opciones` `zonename` `zoneadm` `-z` `nombre_zona` `reboot` `zoneadm` `-z` `nombre_zona` `halt` devuelve a una zona lista el estado de instalada. `zoneadm` `halt` y el reinicio del sistema devuelven una zona en ejecución al estado de instalada. `zoneadm` `- z` `shutdown` cierra la zona sin que se produzcan errores. `zonecfg` `-z` `nombre_zona` se puede utilizar para agregar o eliminar una propiedad `attr`, `bootargs`, `capped-memory`, `dataset`, `capped-cpu`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv`, `anet`, `net`, `rctl` o `scheduling-class`. El recurso `zonepath` no se puede cambiar.

Nota - Los parámetros que se modifican con zonecfg no afectan a una zona en ejecución. La zona debe reiniciarse para que los cambios surtan efecto.

Características de las zonas no globales

Una zona proporciona aislamiento a prácticamente cualquier nivel de granularidad que se desee. Una zona no necesita una CPU dedicada, ni un dispositivo físico ni una porción de memoria física. Estos recursos pueden estar multiplexados a lo largo de varias zonas que se ejecuten en un único sistema o dominio. También pueden estar asignados en función de las zonas usando las funciones de gestión de recursos que estén disponibles en el sistema operativo.

Cada zona puede proporcionar un conjunto se servicios personalizados. Para aplicar el aislamiento básico de los procesos, cada uno de ellos puede ver o señalar únicamente aquellos procesos que se encuentren en la misma zona. La comunicación básica entre las zonas se lleva a cabo asignando conectividad de red a cada IP de zona. Una aplicación que se ejecute en una zona no puede observar el tráfico de red de otra zona. Este aislamiento se mantiene aunque los respectivos flujos de paquetes viajen a través de la misma interfaz física.

Cada zona cuenta con una porción de la jerarquía del sistema de archivos. Como cada zona está limitada a su árbol de la jerarquía del sistema de archivos, una carga de trabajo que se esté ejecutando en una zona concreta no puede acceder a los datos que estén en un disco de otra carga de trabajo que se ejecute en una zona diferente.

Los archivos utilizados por los servicios de nombres residen en la vista de un sistema de archivos raíz propia de una zona. De esta forma, los servicios de nombre que estén en distintas zonas estarán aislados unos de otros y podrán configurarse de forma diferente.

Uso de las funciones de administración de recursos con las zonas no globales

Si utiliza funciones de administración de recursos, debe alinear los límites de los controles de administración de recursos con los de las zonas. Esta alineación crea un modelo más completo de un equipo virtual, en el que es posible controlar el acceso al espacio de nombres, el aislamiento de seguridad y el uso de los recursos.

Cualquier requisito especial para utilizar las distintas funciones de administración de recursos con las zonas se describe en los capítulos de este manual relativos a dichas funciones.

Servicios SMF relacionados con las zonas

Los servicios SMF relacionados con las zonas en la zona global incluyen los siguientes:

svc:/system/zones:default: Inicia cada zona que tenga autoboot=true.
svc:/system/zones-install:default: Realiza la instalación de zona durante el primer inicio, si es necesario.
svc:/application/pkg/zones-proxyd:default: Utilizada por el sistema de empaquetado para proporcionar acceso al repositorio del sistema.
svc:/application/pkg/system-repository:default: Servidor proxy que almacena en caché datos y metadatos pkg utilizados durante la instalación de zona y otras operaciones pkg. Consulte las páginas del comando man pkg(1) y pkg(5).
svc:/system/zones-monitoring:default: Controla zonestatd.

El servicio SMF del cliente proxy de zonas svc:/application/pkg/zones-proxy-client:default se ejecuta solamente en la zona no global. El sistema de empaquetado utiliza el servicio para proporcionar a las zonas acceso al repositorio del sistema.

Supervisión de zonas no globales

Para generar informes sobre la utilización de CPU, la memoria y el control de recursos de las zonas actualmente en ejecución, consulte Uso de la utilidad zonestat en una zona no global. La utilidad zonestat también informa sobre el uso del ancho de banda de la red en zonas de IP exclusiva. Una zona de IP exclusiva tiene su propio estado relacionado con la IP y uno o más enlaces de datos dedicados.

La utilidad fsstat se puede utilizar para informar sobre estadísticas de operaciones de archivos para las zonas no globales. Consulte la página del comando man fsstat(1M) y Supervisión de zonas no globales con la utilidad fsstat.

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris 11.1: zonas de Oracle Solaris, zonas de Oracle Solaris 10 y gestión de recursos Oracle Solaris 11.1 Information Library (Español)