ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: Oracle Solaris ゾーン、Oracle Solaris 10 ゾーン、およびリソース管理 Oracle Solaris 11.1 Information Library (日本語) |
10. リソース上限デーモンによる物理メモリーの制御 (概要)
18. 非大域ゾーンのインストール、停止処理、停止、アンインストール、クローニングについて (概要)
19. 非大域ゾーンのインストール、ブート、停止処理、停止、アンインストール、およびクローニング (タスク)
22. ゾーンの移行と zonep2vchk ツールについて
23. Oracle Solaris システムの移行と非大域ゾーンの移行 (タスク)
24. ゾーンがインストールされている Oracle Solaris 11.1 システムでの自動インストールおよびパッケージ
25. Oracle Solaris ゾーンの管理 (概要)
zonestat ユーティリティーを使用したアクティブなゾーンの統計情報の報告
排他的 IP ゾーンにおける Oracle Solaris IP フィルタ
SPARC: 非大域ゾーンでの使用に合わせて変更されたユーティリティー
セキュリティーを考慮することにより許可されるユーティリティー
ゾーンがインストールされている システムでの公平配分スケジューラ
ゾーンがインストールされているシステムでの拡張アカウンティング
共有 IP ゾーン内の IP セキュリティーアーキテクチャー
排他的 IP ゾーン内の IP セキュリティーアーキテクチャー
ゾーンがインストールされている Oracle Solaris システムのバックアップについて
26. Oracle Solaris ゾーンの管理 (タスク)
28. Oracle Solaris ゾーンで発生するさまざまな問題のトラブルシューティング
30. Oracle Solaris 10 システムの評価とアーカイブの作成
31. (オプション) Oracle Solaris 10 ゾーンへの Oracle Solaris 10 native 非大域ゾーンの移行
ゾーンがインストールされている Oracle Solaris システムでは、ゾーンはネットワーク経由で互いに通信できます。ゾーンはすべて別個の結合または接続を保持します。また、すべてのゾーンは独自のサーバーデーモンを実行できます。これらのデーモンは、同一のポート番号で競合することなく待機できます。IP スタックは、着信接続の IP アドレスを考慮に入れることで競合を解決します。IP アドレスにより、ゾーンが識別されます。
共有 IP タイプを使用するには、大域ゾーンのネットワーク構成は、自動ネットワーク構成ではなく ipadm を使用して行う必要があります。ipadm が使用されている場合、次のコマンドは DefaultFixed を返すはずです。
# svcprop -p netcfg/active_ncp svc:/network/physical:default DefaultFixed
共有 IP はデフォルトではありませんが、このタイプはサポートされます。
ゾーンをサポートするシステム内の IP スタックは、ゾーン間のネットワークトラフィックの分離を実装します。IP トラフィックを受け取るアプリケーションは、同じゾーンに送信されたトラフィックの受信だけを実行できます。
システム上の各論理インタフェースは、特定のゾーンに所属します。デフォルトは、大域ゾーンです。zonecfg ユーティリティー経由でゾーンに割り当てられた論理ネットワークインタフェースは、ネットワーク経由での通信に使用されます。各ストリームおよび接続は、それを開いたプロセスのゾーンに所属します。
上位層ストリームと論理インタフェース間の結合は、制限されます。ストリームが確立できるのは、同一ゾーン内の論理インタフェースへの結合だけです。同様に、論理インタフェースからのパケットを渡すことができるのは、論理インタフェースと同じゾーン内の上位層ストリームに対してだけです。
各ゾーンは、独自のバインドセットを保持します。アドレスが使用中であるため、各ゾーンは、同一のポート番号で待機する同じアプリケーションを、バインドが失敗することなく稼働可能です。各ゾーンは、次のような各種のネットワークサービスの固有のバージョンを実行できます。
完全な構成ファイルを保持するインターネットサービスデーモン (inetd(1M) のマニュアルページを参照)
sendmail (sendmail(1M) のマニュアルページを参照)
apache
大域ゾーン以外のゾーンは、ネットワークへのアクセスが制限されています。標準の TCP および UDP ソケットインタフェースが利用可能ですが、SOCK_RAW ソケットインタフェースは ICMP (Internet Control Message Protocol) に制限されています。ICMP は、ネットワークのエラー状況を検出および報告したり、ping コマンドを使用するのに必要です。
ネットワーク接続を必要とする非大域ゾーンには、それぞれ 1 つ以上の専用 IP アドレスがあります。これらのアドレスは、ゾーン内に配置可能な論理ネットワークインタフェースに関連付けられています。zonecfg により構成されるゾーンネットワークインタフェースは、ブート時に自動的に設定されてゾーン内に配置されます。ipadm コマンドを使用すると、ゾーンの稼働中に論理インタフェースを追加または削除できます。インタフェース構成およびネットワーク経路を変更できるのは、大域管理者または適切な承認を付与されたユーザーのみです。
非大域ゾーン内では、そのゾーンのインタフェースのみが ipadm コマンドで表示されます。
詳細については、ipadm(1M) および if_tcp(7P) のマニュアルページを参照してください。
転送テーブルに宛先への使用可能な経路がある場合、共有 IP ゾーンは指定された IP 宛先に到達できます。転送テーブルを表示するには、ゾーン内から netstat コマンドに -r オプションを付けて実行します。IP 転送ルールは、別のゾーンまたは別のシステムの IP 宛先でも同じです。
Oracle Solaris IP フィルタは、ステートフルパケットフィルタリングとネットワークアドレス変換 (NAT) を行います。ステートフルパケットフィルタは、アクティブな接続の状態を監視し、取得した情報を使用して、ファイアウォールの通過を許可するネットワークパケットを決定することができます。Oracle Solaris IP フィルタには、ステートレスパケットフィルタリングと、アドレスプールの作成および管理を行う機能もあります。詳細は、『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の第 4 章「Oracle Solaris の IP フィルタ (概要)」を参照してください。
『Oracle Solaris 11.1 でのネットワークのセキュリティー保護』の第 5 章「IP フィルタ (タスク)」に記載されているとおり、ループバックフィルタリングをオンに設定することで、非大域ゾーンで Oracle Solaris IP フィルタを有効にすることができます。
Oracle Solaris IP フィルタは、オープンソースの IP Filter ソフトウェアを基にしています。
IP ネットワークマルチパス (IPMP) は、同一の IP リンク上に複数のインタフェースを保持するシステムで、物理インタフェースの障害検出および透過的なネットワークアクセスフェイルオーバーを提供します。IPMP も、複数のインタフェースを保持するシステムについて、パケットの負荷分散を提供します。
すべてのネットワーク構成は、大域ゾーン内で行われます。大域ゾーン内で IPMP を構成した後で、この機能を非大域ゾーンに拡張できます。ゾーンの構成時に、ゾーンのアドレスを IPMP グループ内に配置することでこの機能は拡張されます。その後、大域ゾーン内のいずれかのインタフェースで障害が発生すると、非大域ゾーンアドレスが別のインタフェースカードに移されます。
指定された非大域ゾーンで ipadm コマンドを使用すると、ゾーンに関連するインタフェースだけが表示されます。
「IP ネットワークマルチパス機能を共有 IP 非大域ゾーンに拡張する方法」を参照してください。ゾーンの構成手順については、「ゾーンの構成方法」を参照してください。IPMP の機能、コンポーネント、および使用法については、『Oracle Solaris 11.1 ネットワークパフォーマンスの管理』の第 5 章「IPMP の概要」を参照してください。