Oracle Solaris のシステム管理 (Oracle Solaris コンテナ : 資源管理と Oracle Solaris ゾーン)

ゾーンのしくみ

非大域ゾーンは、1 つの箱と考えることができます。この箱の中では、システムのほかの部分と相互に作用することなく、1 つ以上のアプリケーションを実行できます。Solaris ゾーンは、ソフトウェアで定義される柔軟な境界を使用して、ソフトウェアアプリケーションやサービスを隔離します。これにより Solaris オペレーティングシステムの 1 つのインスタンス内で実行されるアプリケーションを互いに独立して管理することができます。したがって、同じアプリケーションのさまざまなバージョンをそれぞれ異なるゾーンで実行でき、構成の要件を満たすことができます。

ゾーンに割り当てられたプロセスは、同じゾーンに割り当てられたほかのプロセスを操作、監視したり、これらのプロセスと直接通信したりできます。システムのほかのゾーンに割り当てられたプロセスや、ゾーンに割り当てられていないプロセスに対しては、このような機能は実行できません。異なるゾーンに割り当てられたプロセスどうしでは、ネットワーク API を介した通信のみ可能です。

Solaris 10 8/07 以降では、ゾーンが独自の排他的 IP インスタンスを持っているか、または IP 層の構成と状態を大域ゾーンと共有しているかに応じて、IP ネットワーク接続を 2 通りの方法で設定できます。ゾーンの IP タイプの詳細については、「ゾーンネットワークインタフェース」を参照してください。構成については、「ゾーンの構成方法」を参照してください。

Solaris システムごとに 1 つの「大域ゾーン」があります。大域ゾーンは 2 つの機能を持っています。大域ゾーンは、システムのデフォルトのゾーンであり、システム全体の管理に使用されるゾーンでもあります。「大域管理者」が「非大域ゾーン」(単にゾーンとも呼ばれる) を作成した場合を除き、すべてのプロセスが大域ゾーンで実行されます。

非大域ゾーンの構成、インストール、管理、およびアンインストールは、大域ゾーンからのみ行うことができます。システムハードウェアから起動できるのは、大域ゾーンだけです。物理デバイス、共有 IP ゾーンでのルーティング、動的再構成 (DR) といったシステム基盤の管理は、大域ゾーンでのみ行うことができます。大域ゾーンで実行されるプロセスは、適切な権限が付与されていれば、ほかのゾーンに関連付けられているオブジェクトにもアクセスできます。

非大域ゾーンの特権付きプロセスには許可されていない操作を、大域ゾーンの特権のないプロセスが実行できることもあります。たとえば、大域ゾーンのユーザーは、システムのすべてのプロセスに関する情報を表示できます。この機能がサイトで問題になる場合は、大域ゾーンへのアクセスを制限します。

大域ゾーンも含め、各ゾーンにはゾーン名が割り当てられます。大域ゾーンの名前は常に global となります。各ゾーンには、一意の数値 ID も与えられます。これは、ゾーンの起動時にシステムによって割り当てられます。大域ゾーンには、常に ID 0 が割り当てられます。ゾーンの名前と数値 ID については、「zonecfg コマンドの使用」を参照してください。

各ゾーンには、ノード名も割り当てられます。これは、ゾーン名とは完全に独立した名前です。ノード名は、ゾーンの管理者によって割り当てられます。詳細は、「非大域ゾーンのノード名」を参照してください。

各ゾーンには、ルートディレクトリのパスが設定されます。これは、大域ゾーンのルートディレクトリに対する相対パスです。詳細は、「zonecfg コマンドの使用」を参照してください。

デフォルトでは、非大域ゾーンのスケジューリングクラスは、システムのスケジューリングクラスと同じに設定されます。ゾーンのスケジューリングクラスを設定する方法については、「ゾーンのスケジューリングクラス」を参照してください。

priocntl (priocntl(1) のマニュアルページを参照) を使用すると、デフォルトのスケジューリングクラスの変更や再起動を行うことなく、実行中のプロセスを別のスケジューリングクラスに移動できます。

ゾーン機能の概要

次の表に、大域ゾーンと非大域ゾーンの特性をまとめます。

ゾーンの種類	特性
広域	システムによって ID `0` が割り当てられますシステムで起動され実行される Solaris カーネルの単一のインスタンスを提供します Solaris システムソフトウェアパッケージの完全なインストールが含まれています追加のソフトウェアパッケージや、パッケージを通してインストールされない追加のソフトウェア、ディレクトリ、ファイル、その他のデータが含まれている場合もあります大域ゾーンにインストールされているすべてのソフトウェア構成要素に関する情報を格納した、一貫性のある完全な製品データベースを提供します大域ゾーンのホスト名やファイルシステムテーブルなど、大域ゾーンのみに固有の構成情報を保持しますすべてのデバイスとすべてのファイルシステムが認識される、唯一のゾーンです非大域ゾーンの存在と構成が認識される、唯一のゾーンです非大域ゾーンの構成、インストール、管理、またはアンインストールを行うことができる、唯一のゾーンです
非大域	ゾーンの起動時にシステムによってゾーン ID が割り当てられます大域ゾーンから起動される Solaris カーネルの下で処理を共有します Solaris オペレーティングシステムソフトウェアパッケージの完全なインストールの一部が含まれています大域ゾーンから共有された Solaris ソフトウェアパッケージが含まれています大域ゾーンから共有されたものではない、インストールされた追加のソフトウェアパッケージが含まれていることもあります追加のソフトウェア、ディレクトリ、ファイル、非大域ゾーンで作成されたその他のデータなど、パッケージを通してインストールされないもの、あるいは、大域ゾーンからの共有でないものが含まれていることもありますゾーンにインストールされているすべてのソフトウェア構成要素に関する情報を格納した、一貫性のある完全な製品データベースを持ちます。非大域ゾーンに置かれている構成要素と、読み取り専用モードで大域ゾーンから共有される構成要素がありますほかのゾーンの存在を認識できません自身を含め、ゾーンのインストール、管理、アンインストールを行うことはできません非大域ゾーンのホスト名やファイルシステムテーブルなど、その非大域ゾーンのみに固有の構成情報を保持します独自のタイムゾーン設定を持つことができます

ゾーンの種類

特性

広域

システムによって ID 0 が割り当てられます
システムで起動され実行される Solaris カーネルの単一のインスタンスを提供します
Solaris システムソフトウェアパッケージの完全なインストールが含まれています
追加のソフトウェアパッケージや、パッケージを通してインストールされない追加のソフトウェア、ディレクトリ、ファイル、その他のデータが含まれている場合もあります
大域ゾーンにインストールされているすべてのソフトウェア構成要素に関する情報を格納した、一貫性のある完全な製品データベースを提供します
大域ゾーンのホスト名やファイルシステムテーブルなど、大域ゾーンのみに固有の構成情報を保持します
すべてのデバイスとすべてのファイルシステムが認識される、唯一のゾーンです
非大域ゾーンの存在と構成が認識される、唯一のゾーンです
非大域ゾーンの構成、インストール、管理、またはアンインストールを行うことができる、唯一のゾーンです

非大域

ゾーンの起動時にシステムによってゾーン ID が割り当てられます
大域ゾーンから起動される Solaris カーネルの下で処理を共有します
Solaris オペレーティングシステムソフトウェアパッケージの完全なインストールの一部が含まれています
大域ゾーンから共有された Solaris ソフトウェアパッケージが含まれています
大域ゾーンから共有されたものではない、インストールされた追加のソフトウェアパッケージが含まれていることもあります
追加のソフトウェア、ディレクトリ、ファイル、非大域ゾーンで作成されたその他のデータなど、パッケージを通してインストールされないもの、あるいは、大域ゾーンからの共有でないものが含まれていることもあります
ゾーンにインストールされているすべてのソフトウェア構成要素に関する情報を格納した、一貫性のある完全な製品データベースを持ちます。非大域ゾーンに置かれている構成要素と、読み取り専用モードで大域ゾーンから共有される構成要素があります
ほかのゾーンの存在を認識できません
自身を含め、ゾーンのインストール、管理、アンインストールを行うことはできません
非大域ゾーンのホスト名やファイルシステムテーブルなど、その非大域ゾーンのみに固有の構成情報を保持します
独自のタイムゾーン設定を持つことができます

非大域ゾーンの管理のしくみ

大域管理者は、スーパーユーザー特権または Primary Administrator の役割を持ちます。大域ゾーンにログインすると、大域管理者はシステム全体を監視したり制御したりできます。

非大域ゾーンは「ゾーン管理者」が管理できます。大域管理者が Zone Management プロファイルをゾーン管理者に割り当てます。ゾーン管理者の特権は、非大域ゾーンに対してのみ有効です。

非大域ゾーンの作成のしくみ

大域管理者が zonecfg コマンドを使ってゾーンを構成します。このとき、ゾーンの仮想プラットフォームやアプリケーション環境に応じて、各種のパラメータを指定します。次に、大域管理者がゾーンをインストールします。大域管理者は、ゾーン管理コマンド zoneadm を使用して、ゾーンに対応するファイルシステム階層にソフトウェアをパッケージレベルでインストールします。大域管理者は、zlogin コマンドを使用して、インストールされたゾーンにログインできます。初回ログイン時にゾーンの内部構成が完了します。次に、zoneadm コマンドを使ってゾーンを起動します。

ゾーンの構成については、第 17 章非大域ゾーンの構成 (概要)を参照してください。ゾーンのインストールについては、第 19 章非大域ゾーンのインストール、停止、複製、およびアンインストールについて (概要)を参照してください。ゾーンへのログインについては、第 21 章非大域ゾーンへのログイン (概要)を参照してください。

非大域ゾーンの状態モデル

非大域ゾーンの状態は、次の 6 つのいずれかになります。

構成済み: ゾーンの構成は完了し、安定した記憶領域に確定されています。ただし、ゾーンのアプリケーション環境の要素のうち、最初の起動後に指定する必要のあるものは、まだ含まれていません。
不完全: インストール処理やアンインストール処理の途中は、zoneadm によってターゲットゾーンの状態が「不完全」に設定されます。処理が正常に完了すると、適切な状態に設定されます。
インストール済み: ゾーンの構成はシステム上でインスタンス化されています。zoneadm コマンドにより、指定された Solaris システムでその構成を正常に使用できるかどうかが確認されます。パッケージはゾーンのルートパスにインストールされます。この状態では、ゾーンに関連付けられた仮想プラットフォームはありません。
準備完了: ゾーンの仮想プラットフォームが確立されています。カーネルにより zsched プロセスが作成され、ネットワークインタフェースが設定されてゾーンで使用可能になり、ファイルシステムがマウントされ、デバイスの構成が完了しています。システムにより、一意のゾーン ID が割り当てられます。この状態では、ゾーンに関連付けられたプロセスは起動されていません。
稼働: ゾーンのアプリケーション環境に関連付けられたユーザープロセスが稼働状態です。アプリケーション環境に関連付けられた最初のユーザープロセス (init) が作成されるとすぐに、ゾーンの状態は「稼働」になります。
停止処理中および停止: これらは、ゾーンの停止処理の間に見られる遷移状態です。ただし、なんらかの理由でゾーンを停止処理できない場合は、ゾーンがどちらかの状態で停止します。

zoneadm コマンドを使用してこれらの状態間の遷移を開始する方法については、第 20 章非大域ゾーンのインストール、起動、停止、アンインストール、および複製 (手順)および zoneadm(1M) のマニュアルページを参照してください。

表 16–1 ゾーンの状態に影響を与えるコマンド


ゾーンの現在の状態	適用できるコマンド
構成済み	`zonecfg` `-z` `zonename` `verify` `zonecfg` `-z` `zonename` `commit` `zonecfg` `-z` `zonename` `delete` `zoneadm` `-z` `zonename` `attach` `zoneadm` `-z` `zonename` `verify` `zoneadm` `-z` `zonename` `install` `zoneadm` `-z` `zonename` `clone` `zonecfg` を使用して、構成済みまたはインストール済みの状態にあるゾーンの名前を変更することもできます。
不完全	`zoneadm` `-z` `zonename` `uninstall`
インストール済み	`zoneadm` `-z` `zonename` `ready` (省略可能) `zoneadm` `-z` `zonename` `boot` `zoneadm` `-z` `zonename` `uninstall` は、指定されたゾーンの構成をシステムからアンインストールします。 `zoneadm` `-z` `zonename` `move` `path` `zoneadm` `-z` `zonename` `detach` `zonecfg` `-z` `zonename` を使用すると、`attr`、`bootargs`、`capped-memory`、`dataset`、`dedicated-cpu`、`device`、`fs`、`ip-type`、`limitpriv`、`net`、`rctl`、または `scheduling-class` プロパティーを追加または削除することができます。インストール済み状態のゾーンの名前を変更することもできます。`inherit-pkg-dir` 資源は変更できません。
準備完了	`zoneadm` `-z` `zonename` `boot` `zoneadm` `halt` とシステム再起動を実行すると、準備完了状態のゾーンがインストール済み状態に戻ります。 `zonecfg` `-z` `zonename` を使用すると、`attr`、`bootargs`、`capped-memory`、`dataset`、`dedicated-cpu`、`device`、`fs`、`ip-type`、`limitpriv`、`net`、`rctl`、または `scheduling-class` プロパティーを追加または削除することができます。`inherit-pkg-dir` 資源は変更できません。
稼働	`zlogin` `options` `zonename` `zoneadm` `-z` `zonename` `reboot` `zoneadm` `-zzonename` `halt` を実行すると、準備完了状態のゾーンがインストール済み状態に戻ります。 `zoneadm` `halt` とシステムの再起動を実行すると、稼働状態のゾーンがインストール済み状態に戻ります。 `zonecfg` `-z` `zonename` を使用すると、`attr`、`bootargs`、`capped-memory`、`dataset`、`dedicated-cpu`、`device`、`fs`、`ip-type`、`limitpriv`、`net`、`rctl`、または `scheduling-class` プロパティーを追加または削除することができます。`zonepath` 資源と `inherit-pkg-dir` 資源は変更できません。

注 –

zonecfg 経由で変更されたパラメータは、稼働中のゾーンには影響しません。変更を適用するには、ゾーンを再起動する必要があります。

非大域ゾーンの特性

ゾーンを使用すると、必要に応じてほぼどのような単位にも細かく隔離できます。専用の CPU、物理デバイス、物理メモリーの一部分などをゾーンに割り当てる必要はありません。このような資源は、1 つのドメインまたはシステムで実行される複数のゾーンに渡って多重化するか、オペレーティングシステムに用意されている資源管理機能を使ってゾーンごとに割り当てることができます。

ゾーンごとにカスタマイズされたサービスを提供できます。基本的なプロセス隔離を強化するために、同じゾーン内のプロセスのみ互いに認識したりシグナルを送信したりできます。ゾーン間で基本的な通信を行うには、各ゾーンに IP 接続機能を持たせます。あるゾーンで実行中のアプリケーションが、別のゾーンのネットワークトラフィックを監視することはできません。それぞれのパケットストリームが同じ物理インタフェースを通過する場合でも、この隔離は維持されます。

各ゾーンには、ファイルシステム階層の一部分が割り当てられます。各ゾーンは、ファイルシステム階層で割り当てられた部分ツリーに限定されます。したがって、特定のゾーンで実行されている作業負荷は、別のゾーンで実行されているほかの作業負荷のディスク上のデータにアクセスすることはできません。

ネームサービスで使用されるファイルは、ゾーン独自のルートファイルシステムのビュー内に置かれます。したがって、異なるゾーンのネームサービスは互いに隔離され、サービスごとに異なる設定を使用できます。

非大域ゾーンでの資源管理機能の使用

資源管理機能を使用する場合は、資源管理制御の境界とゾーンの境界をそろえる必要があります。このように境界をそろえることで、名前空間のアクセス、セキュリティー隔離、および資源の使用状況をすべて制御できる、より完成された仮想マシンのモデルを作成できます。

ゾーンで各種の資源管理機能を使用するための特殊要件については、このマニュアルでこれらの機能に関連する各章を参照してください。