Zones

Les zones offrent un environnement isolé et sécurisé pour l'exécution d'applications. Elles permettent de créer des environnements de système d'exploitation virtuels au sein d'une instance Solaris. Dans ces zones, il est possible d'exécuter un ou plusieurs processus indépendamment des autres processus du système. Par exemple, un processus exécuté dans une zone ne peut transmettre des signaux qu'à d'autres processus de la même zone, quel que soit l'ID de l'utilisateur ou tout autre information d'identification. Si une erreur survient, elle n'affecte que les processus exécutés dans la zone concernée.

Zones globales

Chaque système Solaris 10 comprend un environnement global général, tel que les versions antérieures du SE, appelé "zone globale". La zone globale a deux principales fonctions : il s'agit de la zone par défaut du système et de la zone utilisée pour le contrôle administratif du système. Tous les processus sont exécutés dans la zone globale, dans la mesure où l'administrateur global ne crée pas de zones non globales, appelées plus simplement zones.

C'est la seule zone à partir de laquelle il est possible de configurer, d'installer, de gérer ou de désinstaller une zone non globale. Seule la zone globale peut être initialisée à partir du matériel système. Les fonctions administratives, telles le routage des périphériques physiques ou la reconfiguration dynamique (DR) s'exécutent exclusivement dans la zone globale. Les processus ou utilisateurs dotés des privilèges requis qui utilisent la zone globale peuvent accéder aux objets associés aux autres zones.

Ceux dépourvus de ces privilèges peuvent être autorisés à exécuter des opérations interdites aux processus et utilisateurs dotés des privilèges appropriés dans une zone non globale. Par exemple, les utilisateurs travaillant dans la zone globale peuvent consulter les informations relatives à tous les processus existant sur le système. Les zones permettent à l'administrateur de déléguer certaines fonctions administratives sans nuire à la sécurité globale du système.

Zones non globales

Une zone non globale ne doit pas nécessairement être dédiée à une CPU, un périphérique physique ou une partie de la mémoire physique. Ces ressources peuvent être partagées entre plusieurs zones exécutées au sein d'un même domaine ou système. Les zones peuvent être initialisées et réinitialisées sans affecter les autres zones du système. Chaque zone fournit un ensemble personnalisé de services. Pour renforcer l'isolation de base des processus, un processus ne peut “voir” ou signaler la présence que des autres processus existant dans la même zone. Une possibilité de communication de base entre les zones est rendue possible via l'attribution à chaque zone d'au moins une interface réseau logique. Une application exécutée dans une zone ne peut pas voir le trafic réseau associé à une autre zone, bien que les flux de paquets sont acheminés via la même interface physique.

Chaque zone nécessitant une connexion au réseau est configurée de façon à avoir une ou plusieurs adresses IP dédiées.

Pour plus d'informations sur les zones, reportez-vous au System Administration Guide: Solaris Containers-Resource Management and Solaris Zones.