非大域ゾーンによって提供される機能

非大域ゾーンは、次のような機能を提供します。

セキュリティー

大域ゾーン以外のゾーンにプロセスを配置したあとは、そのプロセス自体やそのプロセスの子がゾーンを変更することはできません。

ネットワークサービスをゾーンで実行できます。ネットワークサービスをゾーンで実行すると、セキュリティー違反が発生した場合の損害を抑えることができます。ゾーン内で実行されているソフトウェアのセキュリティー欠陥を侵入者が悪用できた場合でも、そのゾーン内で可能な一連の操作しか実行できません。ゾーン内で使用できる特権は、システム全体で使用できる特権の一部のみです。

隔離

複数のアプリケーションが異なる信頼ドメインで動作する場合や、大域資源への排他的アクセスを必要とする場合、または、大域の構成を使用すると問題を示すような場合でも、ゾーンを使用することでこれらのアプリケーションを同じマシン上に配備できます。たとえば、各ゾーンにそれぞれ異なる IP アドレスを割り当てるか、ワイルドカードアドレスを使用することで、同じシステム上の異なる共有 IP ゾーンで実行される複数のアプリケーションを同じネットワークポートにバインドできます。アプリケーションが互いのネットワークトラフィック、ファイルシステムデータ、プロセスの活動などを監視したり妨害したりすることもできなくなります。

ネットワーク隔離

ゾーンが大域ゾーンやほかの非大域ゾーンとは異なる VLAN や LAN に接続される場合など、ネットワークの IP 層で隔離されている必要がある場合は、セキュリティーの理由から、ゾーンは排他的 IP を持つことができます。排他的 IP ゾーンを使用すると、異なる VLAN や LAN の異なるサブネット上で通信しなければならないアプリケーションを統合することができます。

ゾーンは、共有 IP ゾーンとして構成することもできます。このようなゾーンは、大域ゾーンと同じ VLAN または LAN に接続し、IP ルーティングの構成を大域ゾーンと共有します。共有 IP ゾーンは、個別の IP アドレスを持ちますが、IP のほかの部分は共有します。

仮想化

ゾーンによって提供される仮想環境では、物理デバイスやシステムのプライマリ IP アドレスとホスト名などの詳細をアプリケーションから隠すことができます。同じアプリケーション環境を、物理的に異なるマシンで維持管理することもできます。仮想化された環境では、各ゾーンを個別に管理できます。非大域ゾーンでゾーン管理者によって行われる操作は、システムのほかの部分に影響を与えません。

隔離単位

ゾーンを使用すると、ほぼどのような単位にも細かく隔離できます。詳細は、「非大域ゾーンの特性」を参照してください。

環境

セキュリティーや隔離の目標を達成するために必要な場合を除き、アプリケーションの実行される環境がゾーンによって変更されることはありません。ゾーンを使用するために、新しい API や ABI にアプリケーションを移植する必要はありません。代わりに、ゾーンでは Solaris の標準インタフェースとアプリケーション環境が提供されます。ただし、いくらかの制限があります。これらの制限は主に、特権付き操作を実行しようとするアプリケーションに影響を与えます。

大域ゾーンで実行されるアプリケーションは、追加のゾーンが構成されたかどうかにかかわらず、変更なしで実行できます。