Technologie de partitionnement logiciel Solaris Zones

Cette fonction a été introduite dans la version 2/04 de Solaris Express. Dans Solaris Express 7/04, une nouvelle fonctionnalité Zones a été ajoutée.

La technologie de partitionnement logiciel Solaris Zones, qui constitue une composante de l'environnement Solaris Containers, est une technologie de partitionnement logiciel utilisée pour virtualiser les services du système d'exploitation et fournir un environnement isolé et sécurisé pour l'exploitation des applications. Une zone est un environnement de système d'exploitation virtualisé créé dans une instance unique du système d'exploitation Solaris. Les zones fournissent essentiellement les interfaces et l'environnement d'application Solaris standard, et n'incluent pas une nouvelle ABI ou API qui nécessiterait le portage des applications.

Chaque zone fournit un ensemble personnalisé de services. Les zones sont idéales pour les environnements qui regroupent plusieurs applications sur un serveur unique. Il est possible de faire appel aux fonctions de gestion des ressources dans les zones pour contrôler davantage l'utilisation des ressources système disponibles par les applications.

Une zone peut être interprétée comme une boîte. Plusieurs applications peuvent être exécutées dans cette boîte sans incidence sur le reste du système. Cet isolement permet d'éviter que les processus s'exécutant dans une zone surveillent ou interfèrent avec les processus s'exécutant dans d'autres zones. Même un processus effectué sous une identité de superutilisateur s'exécutant dans une zone ne peut visualiser ni affecter l'activité dans d'autres zones.

L'instance unique du système d'exploitation Solaris est la zone globale. La zone globale est à la fois la zone par défaut pour le système et la zone utilisée pour le contrôle administratif au niveau du système. Un administrateur travaillant dans la zone globale peut créer une ou plusieurs zones non globales. Une fois créées, ces zones peuvent être administrées par des administrateurs de zones particulières. Les privilèges d'un administrateur de zone sont limités à une zone non globale.

Les zones non globales assurent l'isolement des processus à quasiment tout niveau de granularité requis. Une zone peut fonctionner sans CPU dédiée, périphérique physique ou toute autre partie de la mémoire physique. Les ressources peuvent être soit multiplexées entre plusieurs zones s'exécutant dans un domaine ou un système unique, soit allouées par zone par le biais des fonctions de gestion des ressources disponibles avec le système d'exploitation. Même un petit système monoprocesseur peut prendre en charge l'exécution simultanée de plusieurs zones.

L'isolement d'un processus se caractérise par le fait que ce dernier peut voir et signaler uniquement les processus existant dans la même zone.

Pour permettre une communication de base entre les zones, chaque zone doit être dotée d'au moins une interface réseau logique. Les applications s'exécutant dans différentes zones du même système peuvent être liées au même port réseau par l'intermédiaire d'adresses IP distinctes associées à chaque zone ou par le biais de l'adresse générique. Une application s'exécutant dans une zone ne peut observer le trafic réseau d'une autre zone. L'isolement est garanti même si les flux de paquets respectifs transitent par la même interface physique.

Une partie de l'arborescence du système de fichiers est attribuée à chacune des zones. Chaque zone étant confinée à sa subdivision de l'arborescence du système de fichiers, la charge s'exécutant dans une zone particulière ne peut accéder aux données sur disque d'une charge s'exécutant dans une autre zone.

Les fichiers utilisés par des services d'attribution de noms résident dans la vue du système de fichiers racine d'une zone. Par conséquent, les services d'attribution de noms des différentes zones sont isolés les uns des autres et peuvent être configurés différemment.

Pour obtenir des informations sur la configuration et l'utilisation des zones sur votre système, reportez-vous au Guide d’administration système : Gestion des ressources conteneurs Solaris et des zones Solaris.