Tecnologia di partizionamento software Solaris Zones

Questa funzione è stata introdotta in Solaris Express 2/04. In Solaris 10 Express 7/04 sono state aggiunte nuove funzioni relative alle zone.

La tecnologia di partizionamento software Solaris Zones, un componente dell'ambiente Solaris Containers, è utilizzata per virtualizzare i servizi del sistema operativo e realizzare un ambiente isolato e sicuro per l'esecuzione delle applicazioni. Una zona è un ambiente di sistema operativo virtualizzato creato all'interno di una singola istanza del sistema operativo Solaris. Le zone utilizzano l'ambiente Solaris standard a livello di interfacce e di applicazioni e non includono nuove ABI o API che richiederebbero il porting delle applicazioni.

Ogni zona può fornire un insieme personalizzato di servizi. Le zone sono ideali per gli ambienti in cui più applicazioni vengono consolidate su un singolo server. Le funzioni di gestione delle risorse possono essere utilizzate all'interno delle zone per controllare ulteriormente il modo in cui le applicazioni utilizzano le risorse disponibili del sistema.

Una zona può essere immaginata come una scatola. Una o più applicazioni possono essere eseguite all'interno della “scatola” senza avere effetto sul resto del sistema. Questo tipo di isolamento impedisce ai processi eseguiti all'interno di una zona di controllare o interferire con i processi che vengono eseguiti in altre zone. Anche i processi dotati di credenziali di superutente eseguiti all'interno di una zona non possono visualizzare o in alcun modo modificare l'attività delle altre zone.

La singola istanza che viene eseguita del sistema operativo Solaris viene denominata zona globale. La zona globale è la zona predefinita del sistema e viene utilizzata per i controlli di amministrazione che coinvolgono l'intero sistema. Gli amministratori che operano nella zona globale possono creare una o più zone non globali. Una volta create, queste zone non globali possono essere amministrate dagli amministratori delle singole zone. I privilegi di un amministratore di zona non globale sono limitati ai confini di quella zona.

Le zone non globali offrono un grado di isolamento variabile in base alle esigenze. Una zona non richiede una CPU, un dispositivo fisico o una porzione di memoria fisica dedicati. Queste risorse possono essere eseguite in multiplexing in una serie di zone eseguite in un singolo dominio o sistema, oppure essere allocate per zona sfruttando le funzioni di gestione delle risorse disponibili nel sistema operativo. Anche un piccolo sistema monoprocessore può supportare più zone che vengono eseguite contemporaneamente.

Per ottenere l'isolamento dei processi, ogni processo è in grado di vedere o inviare segnali solo ai processi che fanno parte della stessa zona.

La comunicazione di base tra le zone viene fornita assegnando ad ogni zona almeno un'interfaccia di rete logica. Le applicazioni che vengono eseguite in zone diverse dello stesso sistema possono associarsi alla stessa porta di rete utilizzando gli indirizzi IP associati a ciascuna zona o usando gli indirizzi con caratteri speciali. Un'applicazione eseguita in una zona non è in grado di visualizzare il traffico di rete di un'altra zona. Questo isolamento viene mantenuto anche se i distinti flussi di pacchetti attraversano la stessa interfaccia fisica.

Ad ogni zona viene assegnata una porzione della struttura del file system. Poiché ciascuna zona è confinata al proprio sottoalbero nella struttura del file system, un carico di lavoro eseguito in una determinata zona non può accedere ai dati su disco di un altro eseguito in una zona differente.

I file usati dai servizi di denominazione risiedono nel file system radice di ciascuna zona. In questo modo, i servizi di denominazione delle diverse zone sono isolati l'uno dall'altro e possono essere configurati in modo differente.

Per informazioni sulla configurazione e sull'utilizzo delle zone sul sistema, vedere System Administration Guide: Solaris Containers-Resource Management and Solaris Zones.