Kapitel 28 Verwaltung von Solaris Zones (Vorgehen)

In diesem Kapitel werden allgemeine Verwaltungsaufgaben beschrieben und Nutzungsbeispiele vorgestellt.

• Neuerungen in diesem Kapitel

• Verwenden des Dienstprogramms ppriv

• Einsatz von DTrace in nicht-globalen Zonen

• Einhängen von Dateisystemen in laufenden nicht-globalen Zonen

• Hinzufügen des Zugriffs für eine nicht-globale Zone auf bestimmte Dateisysteme in der globalen Zone

• Verwenden von IP Network Multipathing auf einem Solaris-System mit installierten Zonen

• Solaris 10 8/07: Verwalten von Data-Links in nicht-globalen Exclusive IP-Zonen

• Verwenden des Fair Share Scheduler auf einem Solaris-System mit installierten Zonen

• Verwenden von Rechteprofilen bei der Zonenverwaltung

• Sicherung eines Solaris-Systems mit installierten Zonen

• Wiederherstellen einer nicht-globalen Zone

Neuerungen in diesem Kapitel

In diesem Abschnitt werden neue Produktfunktionen vorgestellt und Verbesserungen der Beschreibungen in diesem Handbuch vorgenommen.

Eine vollständige Liste der neuen Funktionen in Solaris 10 sowie eine Beschreibung der Solaris-Releases finden Sie in Neuerungen in Oracle Solaris 9 10/10.

Neuerungen in diesem Kapitel für Solaris 10 1/06

Ein neues Verfahren für den Zugriff auf Medien wurde hinzugefügt. Lesen Sie dazu So fügen Sie den Zugriff auf CD- oder DVD-Medien in einer nicht-globalen Zone hinzu.

Neue Verfahren zum Sichern und Wiederherstellen von Dateien in Zonen wurden hinzugefügt. Lesen Sie dazu Sicherung eines Solaris-Systems mit installierten Zonen und Wiederherstellen einer nicht-globalen Zone.

Neuerungen in diesem Kapitel für Solaris 10 6/06

Neue Verfahren wurden hinzugefügt. Lesen Sie dazu So hängen Sie ein Dateisystem von der globalen Zone aus in einer nicht-globalen Zone ein und So fügen Sie ein beschreibbares Verzeichnis unter /usr in einer nicht-globalen Zone ein.

Neuerungen in diesem Kapitel für Solaris 10 8/07

Neue Verfahren wurden hinzugefügt. Lesen Sie dazu So verwenden Sie DTrace, Solaris 10 8/07: Verwalten von Data-Links in nicht-globalen Exclusive IP-Zonen und Prüfen des Status der SMF-Services in einer nicht-globalen Zone.

Verwenden des Dienstprogramms ppriv

Mit dem Dienstprogramm ppriv zeigen Sie die Berechtigungen einer Zone an.

So listen Sie die Solaris-Berechtigungen in der globalen Zone auf

Rufen Sie das Dienstprogramm ppriv mit der Option -l auf, um die auf dem System verfügbaren Berechtigungen aufzulisten.

1. Geben Sie an der Eingabeaufforderung ppriv -l zone ein, um die in der Zone verfügbaren Berechtigungen anzuzeigen.

   global# ppriv -l zone

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   contract_event contract_observer cpc_cpu . . .

So listen Sie das Berechtigungsset der nicht-globalen Zone auf

Rufen Sie das Dienstprogramm ppriv mit der Option -l und dem Ausdruck zone auf, um die Berechtigungen der Zone anzuzeigen.

1. Melden Sie sich bei der nicht-globalen Zone an. In diesem Beispiel wird die Zone my_zone verwendet.

2. Geben Sie an der Eingabeaufforderung ppriv -l zone ein, um die in der Zone verfügbaren Berechtigungen anzuzeigen.

   my-zone# ppriv -l zone

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   contract_event contract_observer file_chown . . .

So listen Sie das Berechtigungsset einer nicht-globalen Zone ausführlich auf

Rufen Sie das Dienstprogramm ppriv mit der Option -l, dem Ausdruck zone und der Option -v auf, um die Berechtigungen der Zone aufzulisten.

1. Melden Sie sich bei der nicht-globalen Zone an. In diesem Beispiel wird die Zone my_zone verwendet.

2. Geben Sie an der Eingabeaufforderung ppriv -l -v zone ein, um die in der Zone verfügbaren Berechtigungen mit einer Beschreibung für jede Berechtigung anzuzeigen.

   my-zone# ppriv -l -v zone

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   contract_event Allows a process to request critical events without limitation. Allows a process to request reliable delivery of all events on any event queue. contract_observer Allows a process to observe contract events generated by contracts created and owned by users other than the process's effective user ID. Allows a process to open contract event endpoints belonging to contracts created and owned by users other than the process's effective user ID. file_chown Allows a process to change a file's owner user ID. Allows a process to change a file's group ID to one other than the process' effective group ID or one of the process' supplemental group IDs. . . .

Einsatz von DTrace in nicht-globalen Zonen

Führen Sie die folgenden Schritte aus, um die DTrace gemäß der Beschreibung unter Ausführen von DTrace in einer nicht-globalen Zone zu verwenden.

So verwenden Sie DTrace

1. Verwenden Sie die Eigenschaft zonecfg limitpriv, um die Berechtigungen dtrace_proc und dtrace_user hinzuzufügen.

   global# zonecfg -z my-zone zonecfg:my-zone> set limitpriv="default,dtrace_proc,dtrace_user" zonecfg:my-zone> exit

   ---

   Hinweis –

   Abhängig von Ihren Anforderungen können Sie entweder eine oder beide Berechtigungen hinzufügen.

   ---

2. Booten Sie die Zone.

   global# zoneadm -z my-zone boot

3. Anmeldung bei der Zone.

   global# zlogin my-zone

4. Führen Sie das Programm DTrace aus.

   my-zone# dtrace -l

Prüfen des Status der SMF-Services in einer nicht-globalen Zone

Zum Prüfen des Status der SMF-Services in einer nativen nicht-globalen Zone verwenden Sie den Befehl „zlogin“.

So prüfen Sie den Status der SMF-Services von der Befehlszeile

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Geben Sie an der Befehlszeile das Folgende ein, um alle Services (einschließlich der deaktivierten) anzuzeigen.

   global# zlogin my-zone svcs -a

Siehe auch

Weitere Informationen finden Sie in Kapitel 22Anmelden bei nicht-globalen Zonen (Vorgehen) und in svcs(1).

So prüfen Sie den Status der SMF-Services innerhalb einer Zone

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Anmeldung bei der Zone.

   global# zlogin my-zone

3. Geben Sie den Befehl svcs mit der Option -a ein, um alle Services (einschließlich der deaktivierten) anzuzeigen.

   my-zone# svcs -a

Siehe auch

Weitere Informationen finden Sie in Kapitel 22Anmelden bei nicht-globalen Zonen (Vorgehen) und in svcs(1).

Einhängen von Dateisystemen in laufenden nicht-globalen Zonen

Sie können Dateisysteme in einer laufenden nicht-globalen Zone einhängen. Die folgenden Verfahren werden beschrieben.

• Als globaler Administrator in der globalen Zone können Sie Raw- und Block-Geräte in eine nicht-globale Zone importieren. Nachdem die Geräte importiert wurden, hat der Zonenadministrator Zugriff auf die Festplatte. Der Zonenadministrator kann dann ein neues Dateisystem auf der Festplatte erstellen und eine der folgenden Aktionen ausführen:

  • Das Dateisystem manuell einhängen

  • Das Dateisystem unter /etc/vfstab platzieren, sodass es beim Booten der Zone eingehängt wird

• Als globaler Administrator können Sie ein Dateisystem von der globalen Zone aus in der nicht-globalen Zone einhängen.

So importieren Sie Raw- und Block-Geräte mit dem Befehl zonecfg

In diesem Verfahren wird der Dateitreiber lofi verwendet, der eine Datei als ein Block-Gerät exportiert.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Wechseln Sie das Verzeichnis zu /usr/tmp.

   global# cd /usr/tmp

3. Erstellen Sie ein neues UFS-Dateisystem.

   global# mkfile 10m fsfile

4. Hängen Sie die Datei als ein Block-Gerät an.

   Dabei wird der erste verfügbare Slot, /dev/lofi/1, verwendet, falls keine anderen lofi-Geräte erstellt wurden.

   global# lofiadm -a `pwd`/fsfile

   Sie erhalten das erforderliche Zeichengerät.

5. Importieren Sie die Geräte in die Zone my-zone.

   global# zonecfg -z my-zone zonecfg:my-zone> add device zonecfg:my-zone:device> set match=/dev/rlofi/1 zonecfg:my-zone:device> end zonecfg:my-zone> add device zonecfg:my-zone:device> set match=/dev/lofi/1 zonecfg:my-zone:device> end

6. Starten Sie die Zone neu.

   global# zoneadm -z my-zone boot

7. Melden Sie sich bei der Zone an und prüfen Sie, ob die Geräte erfolgreich importiert wurden.

   my-zone# ls -l /dev/*lofi/*

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   brw------- 1 root sys 147, 1 Jan 7 11:26 /dev/lofi/1 crw------- 1 root sys 147, 1 Jan 7 11:26 /dev/rlofi/1

Siehe auch

Weitere Informationen finden Sie in den Manpages lofiadm(1M) und lofi(7D).

So hängen Sie ein Dateisystem manuell ein

Für dieses Verfahren müssen Sie Zonenadministrator sein und das „Zone Management“-Profil besitzen. Dieses Verfahren nutzt den in der Manpage newfs(1M) beschriebenen Befehl newfs.

1. Melden Sie sich als Superuser an, oder achten Sie darauf, dass die Profilliste das „Zone Management“-Profil umfasst.

2. Erstellen Sie in der Zone my-zone ein neues Dateisystem auf der Festplatte.

   my-zone# newfs /dev/lofi/1

3. Beantworten Sie die Eingabeaufforderung mit „Ja“ (y).

   newfs: construct a new file system /dev/rlofi/1: (y/n)? y

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   /dev/rlofi/1: 20468 sectors in 34 cylinders of 1 tracks, 602 sectors 10.0MB in 3 cyl groups (16 c/g, 4.70MB/g, 2240 i/g) super-block backups (for fsck -F ufs -o b=#) at: 32, 9664, 19296,

4. Prüfen Sie das Dateisystem auf Fehler.

   my-zone# fsck -F ufs /dev/rlofi/1

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   ** /dev/rlofi/1 ** Last Mounted on ** Phase 1 - Check Blocks and Sizes ** Phase 2 - Check Pathnames ** Phase 3 - Check Connectivity ** Phase 4 - Check Reference Counts ** Phase 5 - Check Cyl groups 2 files, 9 used, 9320 free (16 frags, 1163 blocks, 0.2% fragmentation)

5. Hängen Sie das Dateisystem ein.

   my-zone# mount -F ufs /dev/lofi/1 /mnt

6. Prüfen Sie das eingehängte Dateisystem.

   my-zone# grep /mnt /etc/mnttab

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   /dev/lofi/1 /mnt ufs rw,suid,intr,largefiles,xattr,onerror=panic,zone=foo,dev=24c0001 1073503869

So platzieren Sie ein Dateisystem unter /etc/vfstab, so dass es beim Booten der Zone eingehängt wird

Dieses Verfahren dient zum Einhängen des Block-Geräts /dev/lofi/1 in den Dateisystempfad /mnt. Das Block-Gerät enthält ein UFS-Dateisystem. Die folgenden Optionen werden verwendet:

• logging wird als Option zum Einhängen verwendet.

• yes weist das System an, das Dateisystem beim Booten der Zone automatisch einzuhängen.

• /dev/rlofi/1 ist das Zeichen- oder Raw-Gerät. Falls erforderlich, wird der Befehl fsck für das Raw-Gerät ausgeführt.

1. Melden Sie sich als Superuser an, oder achten Sie darauf, dass die Profilliste das „Zone Management“-Profil umfasst.

2. Geben Sie in der Zone my-zone die folgende Zeile in /etc/vfstab ein:

   /dev/lofi/1 /dev/rlofi/1 /mnt ufs 2 yes logging

So hängen Sie ein Dateisystem von der globalen Zone aus in einer nicht-globalen Zone ein

Angenommen, die Zone hat den zonepath /export/home/my-zone. Sie möchten die Festplatte /dev/lofi/1 von der globalen Zone unter /mnt in der nicht-globalen Zone einhängen.

Für dieses Verfahren müssen Sie als globaler Administrator bei der globalen Zone angemeldet sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Zum Einhängen der Festplatte unter /mnt in der nicht-globalen Zone geben Sie Folgendes von der globalen Zone aus ein:

   global# mount -F ufs /dev/lofi/1 /export/home/my-zone/root/mnt

Siehe auch

Weitere Informationen zu lofi finden Sie in den Manpages lofiadm(1M) und lofi(7D).

Hinzufügen des Zugriffs für eine nicht-globale Zone auf bestimmte Dateisysteme in der globalen Zone

So fügen Sie den Zugriff auf CD- oder DVD-Medien in einer nicht-globalen Zone hinzu

Mit diesem Verfahren können Sie schreibgeschützten Zugriff auf CD- oder DVD-Medien in einer nicht-globalen Zone aktivieren. Das Volume Management-Dateisystem wird in der globalen Zone zum Einhängen der Medien verwendet. Eine CD oder DVD kann zum Installieren eines Produkts in der nicht-globalen Zone verwendet werden. In diesem Verfahren wird eine DVD namens jes_05q4_dvd verwendet.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Stellen Sie fest, ob das Volume Management-Dateisystem in der globalen Zone ausgeführt wird.

   global# svcs volfs STATE STIME FMRI online Sep_29 svc:/system/filesystem/volfs:default

3. (Optional) Wenn das Volume Management-Dateisystem nicht in der globalen Zone ausgeführt wird, starten Sie es.

   global# svcadm volfs enable

4. Legen Sie das Installationsmedium ein.

5. Prüfen Sie auf Medien im Laufwerk.

   global# volcheck

6. Prüfen Sie, ob der Datenträger automatisch eingehängt wird.

   global# ls /cdrom

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   cdrom cdrom1 jes_05q4_dvd

7. Hängen Sie das Dateisystem als Loopback-Mount mit den Optionen ro,nodevices (schreibgeschützt und ohne Geräte) in der nicht-globalen Zone ein.

   global# zonecfg -z my-zone zonecfg:my-zone> add fs zonecfg:my-zone:fs> set dir=/cdrom zonecfg:my-zone:fs> set special=/cdrom zonecfg:my-zone:fs> set type=lofs zonecfg:my-zone:fs> add options [ro,nodevices] zonecfg:my-zone:fs> end zonecfg:my-zone> commit zonecfg:my-zone> exit

8. Booten Sie die nicht-globale Zone neu.

   global# zoneadm -z my-zone reboot

9. Überprüfen Sie den Status mit dem Befehl zoneadm list und der Option -v.

   global# zoneadm list -v

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   ID NAME STATUS PATH BRAND IP 0 global running / native shared 1 my-zone running /export/home/my-zone native shared

10. Melden Sie sich bei der nicht-globalen Zone an.

    global# zlogin my-zone

11. Überprüfen Sie den DVD-ROM-Mount.

    my-zone# ls /cdrom

    Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

    cdrom cdrom1 jes_05q4_dvd

12. Installieren Sie das Produkt gemäß der Beschreibung im Produkt-Installationshandbuch.

13. Beenden Sie die nicht-globale Zone.

    my-zone# exit

    ---

    Tipp –

    Eventuell möchten Sie das Dateisystem /cdrom in der nicht-globalen Zone behalten. Der Mount spiegelt stets den aktuellen Inhalt des CD-ROM-Laufwerks wider, oder ein leeres Verzeichnis, wenn das Laufwerk leer ist.

    ---

14. (Optional) Wenn Sie das Dateisystem /cdrom aus der nicht-globalen Zone entfernen möchten, gehen Sie wie folgt vor:

    global# zonecfg -z my-zone zonecfg:my-zone> remove fs dir=/cdrom zonecfg:my-zone> commit zonecfg:my-zone> exit

So fügen Sie ein beschreibbares Verzeichnis unter /usr in einer nicht-globalen Zone ein

In einer Sparse Root Zone wird /usr schreibgeschützt von der globalen Zone aus eingehängt. Mit diesem Verfahren können Sie ein beschreibbares Verzeichnis, z. B. /usr/local, unter /usr in der Zone hinzufügen.

Für dieses Verfahren müssen Sie als globaler Administrator bei der globalen Zone angemeldet sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Erstellen Sie das Verzeichnis /usr/local in der globalen Zone.

   global# mkdir -p /usr/local

3. Geben Sie ein Verzeichnis in der globalen Zone an, das als Sicherungsspeicher für das Verzeichnis /usr/local der Zone verwendet werden soll.

   global# mkdir -p /storage/local/my-zone

4. Bearbeiten Sie die Konfiguration der Zone my-zone.

   global# zonecfg -z my-zone

5. Fügen Sie das als Loopback-Mount eingehängte Dateisystem hinzu.

   zonecfg:my-zone> add fs zonecfg:my-zone:fs> set dir=/usr/local zonecfg:my-zone:fs> set special=/storage/local/my-zone zonecfg:my-zone:fs> set type=lofs zonecfg:my-zone:fs> end zonecfg:my-zone> commit zonecfg:my-zone> exit

6. Booten Sie die Zone.

So exportieren Sie Startverzeichnisse in der globalen Zone in eine nicht-globale Zone

Mit diesem Verfahren werden Startverzeichnisse oder andere Dateisysteme von der globalen Zone in nicht-globale Zonen auf dem gleichen System exportiert.

Für dieses Verfahren müssen Sie als globaler Administrator bei der globalen Zone angemeldet sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Fügen Sie das als Loopback-Mount eingehängte Dateisystem hinzu.

   global# zonecfg -z my-zone zonecfg:my-zone> add fs zonecfg:my-zone:fs> set dir=/export/home zonecfg:my-zone:fs> set special=/export/home zonecfg:my-zone:fs> set type=lofs zonecfg:my-zone:fs> set options=nodevices zonecfg:my-zone:fs> end zonecfg:my-zone> commit zonecfg:my-zone> exit

3. Fügen Sie die folgende Zeile zur Datei /etc/auto_home der Zone hinzu:

   $HOST:/export/home/&

Verwenden von IP Network Multipathing auf einem Solaris-System mit installierten Zonen

Solaris 10 8/07: So verwenden Sie IP Network Multipathing in nicht-globalen Exclusive IP-Zonen

IP Network Multipathing (IPMP) wird in einer Exclusive IP-Zone wie in der globalen Zone konfiguriert.

Sie können eine oder mehrere physikalische Schnittstellen in einer IP Multipathing-Gruppe (oder IPMP-Gruppe) konfigurieren. Nach der Konfiguration von IPMP überwacht das System die Schnittstellen in der IPMP-Gruppe automatisch auf Ausfälle. Sollte eine Schnittstelle in der Gruppe ausfallen oder zu Wartungszwecken deaktiviert werden, migriert IPMP automatisch die IP-Adressen der ausgefallenen Schnittstelle oder es findet ein <emphasis>Failover</emphasis> statt. Der Empfänger dieser Adressen wird eine ordnungsgemäß arbeitende Schnittstelle in der IPMP-Gruppe der ausgefallenen Schnittstelle. Die Failover-Funktion von IPMP erhält die Netzfähigkeit und verhindert eine Unterbrechung existierender Verbindungen. Darüber hinaus verbessert IPMP die allgemeine Leistung von Netzverbindungen, in dem Netzverkehr automatisch über das Schnittstellenset in der IPMP-Gruppe verteilt wird. Dieser Prozess wird als Lastverteilung (<emphasis>Load Spreading</emphasis>) bezeichnet.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Konfigurieren Sie die IPMP-Gruppen gemäß der Beschreibung im Konfiguration von IPMP-Gruppen in Systemverwaltungshandbuch: IP Services.

So erweitern Sie die Funktionen des IP Network Multipathing auf nicht-globale Shared IP-Zonen

Mit dem folgenden Verfahren konfigurieren Sie IPMP in der globalen Zone und weiten die Funktionen des IPMP auf nicht-globale Zonen aus.

Jede Adresse (oder logische Schnittstelle) sollte beim Konfigurieren der Zone einer nicht-globalen Zone zugeordnet sein. Anweisungen hierzu finden Sie unter Verwenden des Befehls zonecfg und So konfigurieren Sie die Zone.

Mit diesem Verfahren wird Folgendes erreicht:

• Die Karten bge0 und hme0 werden zusammen in einer Gruppe konfiguriert.

• Die Adresse 192.168.0.1 wird der nicht-globalen Zone my-zone zugeordnet.

• Die Karte bge0 wird als reelle Schnittstelle gesetzt. Somit wird die IP-Adresse in der Gruppe gehostet, die die Karten bge0 und hme0 enthält.

In einer laufenden Zone können Sie diese Zuordnung mit dem Befehl ifconfigherstellen. Weitere Informationen finden Sie unter Shared IP-Netzwerkschnittstellen und in der Manpage ifconfig(1M).

Für dieses Verfahren müssen Sie als globaler Administrator bei der globalen Zone angemeldet sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Konfigurieren Sie die IPMP-Gruppen in der globalen Zone gemäß der Beschreibung unter Konfiguration von IPMP-Gruppen in Systemverwaltungshandbuch: IP Services.

3. Geben Sie den Befehl zonecfg ein, um die Zone zu konfigurieren. Wenn Sie die Ressource net konfigurieren, fügen Sie der Zone my-zone die Adresse 192.168.0.1 und die reelle Schnittstelle bge0 hinzu:

   zonecfg:my-zone> add net zonecfg:my-zone:net> set address=192.168.0.1 zonecfg:my-zone:net> set physical=bge0 zonecfg:my-zone:net> set defrouter=10.0.0.1 zonecfg:my-zone:net> end

   In der nicht-globalen Zone my-zone ist nur bge0 sichtbar.

Wenn bge0 anschließend fehlschlägt

Wenn bge0 anschließend fehlschlägt und die bge0-Datenadressen auf hme0 in der globalen Zone übergehen, migrieren auch die Adressen von my-zone.

Wenn die Adresse 192.168.0.1 nach hme0 übergeht, ist nur hme0 in der nicht-globalen Zone my-zone sichtbar. Dieser Karte würde die Adresse 192.168.0.1 zugeordnet werden, und bge0 ist nicht mehr sichtbar.

Solaris 10 8/07: Verwalten von Data-Links in nicht-globalen Exclusive IP-Zonen

Mit dem Befehl dladm verwalten Sie Data-Links von der globalen Zone aus.

So verwenden Sie dladm show-linkprop

Der Befehl dladm kann zusammen mit dem Unterbefehl show-linkprop verwendet werden, um die Zuweisung von Data-Links zu laufenden Exclusive IP-Zonen anzuzeigen.

Zum Verwalten von Data-Links müssen Sie der globale Administrator in der globalen Zone sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Zeigen Sie die Zuweisung von Data-Links auf dem System an.

   global# dladm show-linkprop

Beispiel 28–1 Verwenden des Befehls dladm mit dem Unterbefehl show-linkprop

1. In der ersten Anzeige wurde die Zone 49bge, die bge0 zugewiesen ist, nicht gebootet

   global# dladm show-linkprop LINK PROPERTY VALUE DEFAULT POSSIBLE bge0 zone -- -- -- ath0 channel 6 -- -- ath0 powermode ? off off,fast,max ath0 radio ? on on,off ath0 speed 11 -- 1,2,5.5,6,9,11,12,18,24,36,48,54 ath0 zone -- -- --

2. Zone 49bge ist gebootet.

   global# zoneadm -z 49bge boot

3. Der Befehl dladm show-linkprop wird erneut ausgeführt. Beachten Sie, dass der Link bge0 jetzt 49bge zugeordnet ist.

   global# dladm show-linkprop LINK PROPERTY VALUE DEFAULT POSSIBLE bge0 zone 49bge -- -- ath0 channel 6 -- -- ath0 powermode ? off off,fast,max ath0 radio ? on on,off ath0 speed 11 -- 1,2,5.5,6,9,11,12,18,24,36,48,54 ath0 zone -- -- --

So verwenden Sie dladm set-linkprop

Der Befehl dladm kann zusammen mit dem Unterbefehl set-linkprop verwendet werden, um Data-Links laufenden Exclusive IP-Zonen vorübergehend zuzuordnen. Eine ständige Zuordnung muss über den Befehl zonecfg erfolgen.

Zum Verwalten von Data-Links müssen Sie der globale Administrator in der globalen Zone sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Geben Sie dladm set-linkprop mit der Option -t ein, um bge0 einer laufenden Zone namens excl hinzuzufügen.

   global# dladm set-linkprop -t -p zone=excl bge0 LINK PROPERTY VALUE DEFAULT POSSIBLE bge0 zone excl -- --

   ---

   Tipp –

   Die Option -p erzeugt eine Anzeige in einem stabilen maschinenlesbaren Format.

   ---

So verwenden Sie dladm reset-linkprop

Der Befehl dladm kann zusammen mit dem Unterbefehl reset-linkprop verwendet werden, um den Wert des Links bge0 auf „nicht zugewiesen“ zurückzusetzen.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Geben Sie dladm reset-linkprop mit der Option -t ein, um die Zonenzuweisung des Gerätes bge0 rückgängig zu machen.

   global# dladm reset-linkprop -t -p zone=excl bge0 LINK PROPERTY VALUE DEFAULT POSSIBLE bge0 zone excl -- --

   ---

   Tipp –

   Die Option -p erzeugt eine Anzeige in einem stabilen maschinenlesbaren Format.

   ---

Allgemeine Fehler

Wenn die laufende Zone dieses Gerät verwendet, schlägt die neue Zuordnung fehl und es wird eine Fehlermeldung angezeigt. Lesen Sie dazu Exclusive IP-Zone verwendet Gerät, somit schlägt dladm reset-linkprop fehl.

Verwenden des Fair Share Scheduler auf einem Solaris-System mit installierten Zonen

Die mit dem Befehl prctl festgelegten Grenzen sind nicht persistent. Sie sind nur solange wirksam, bis das System neu gebootet wird. Wie Sie Shares in einer Zone permanent setzen, können Sie unter So konfigurieren Sie die Zone und unter So stellen Sie zone.cpu-shares in der globalen Zone ein nachlesen.

So richten Sie FSS-Shares mit dem Befehl prctl in der globalen Zone ein

Die globale Zone erhält standardmäßig ein Share. Mit diesem Verfahren können Sie diese Standardzuordnung ändern. Beachten Sie, dass Sie die mit dem Befehl prctl zugeordneten Shares zurücksetzen müssen, wenn Sie das System neu booten.

Für dieses Verfahren müssen Sie als globaler Administrator bei der globalen Zone angemeldet sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Rufen Sie das Dienstprogramm prctl auf, um der globalen Zone zwei Shares zuzuweisen:

   # prctl -n zone.cpu-shares -v 2 -r -i zone global

3. (Optional) Um zu überprüfen, wie viele Shares der globalen Zone zugewiesen wurden, geben Sie Folgendes ein:

   # prctl -n zone.cpu-shares -i zone global

Siehe auch

Weitere Informationen zum Dienstprogramm prctl finden Sie in der Manpage prctl(1).

So ändern Sie den Wert für zone.cpu-shares in einer Zone dynamisch

Diese Vorgehensweise kann in jeder Zone (nicht nur in der globalen Zone) verwendet werden.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration

2. Rufen Sie das Dienstprogramm prctl auf, um einen neuen Wert für cpu-shares anzugeben.

   # prctl -n zone.cpu-shares -r -v value -i zone zonename

   ID-Typ ist entweder der Zonenname oder die Zonen-ID. Wert ist der neue Wert.

Verwenden von Rechteprofilen bei der Zonenverwaltung

In diesem Abschnitt werden die Aufgaben bei der Verwendung von Rechteprofilen in nicht-globalen Zonen beschrieben.

So weisen Sie das „Zone Management“-Profil zu

Das „Zone Management“-Profil ermöglicht einem Benutzer das Verwalten alle nicht-globaler Zonen auf einem System.

Für dieses Verfahren müssen Sie als globaler Administrator bei der globalen Zone angemeldet sein.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Erstellen Sie eine Rolle, die das „Zone Management“-Rechteprofil enthält, und weisen Sie diese Rolle einem Benutzer zu.

   • Informationen zum Erstellen und Zuweisen der Rolle mit der Solaris Management Console finden Sie unter Configuring RBAC (Task Map) in System Administration Guide: Security Services. Lesen Sie auch die Aufgabe „How to Create and Assign a Role By Using the GUI.”

   • Informationen zum Erstellen und Zuweisen der Rolle an einer Befehlszeile finden Sie unter Managing RBAC in System Administration Guide: Security Services. Lesen Sie auch die Aufgabe „How to Create a Role From the Command Line.”

Beispiel – Verwenden von Profil-Shells mit Zonenbefehlen

Mit dem Programm pfexec können Sie Zonenbefehle in einem Profil ausführen. Das Programm führt Befehle mit den Attributen aus, die durch die Benutzerprofile in der exec_attr-Datenbank angegeben sind. Das Programm wird durch die Profil-Shells pfksh, pfcsh und pfsh aufgerufen.

Melden Sie sich mit dem Programm pfexec bei einer Zone an, z. B. my-zone.

machine$ pfexec zlogin my-zone

Sicherung eines Solaris-Systems mit installierten Zonen

Mit dem folgenden Verfahren können Sie Dateien in Zonen sichern. Denken Sie daran, auch die Konfigurationsdateien der Zonen zu sichern.

So verwenden Sie ufsdump zum Erstellen von Sicherungen

Mit dem Befehl ufsdump können Sie vollständige oder inkrementale Sicherungen erstellen. Dieses Verfahren sichert die Zone /export/my-zone unter /backup/my-zone.ufsdump; my-zone wird dabei durch den Namen der Zone auf dem System ersetzt. Eventuell verfügen Sie über ein separates Dateisystem, z. B. ein unter /backup eingehängtes Dateisystem, in dem die Sicherungen gespeichert werden.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. (Optional) Fahren Sie die Zone herunter, um sie in den Ruhezustand zu versetzen. Vermeiden Sie es Sicherungen von gemeinsam genutzten Dateisystemen anzulegen.

   global# zlogin -S my-zone init 0

3. Prüfen Sie den Status der Zone.

   global# zoneadm list -cv

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /export/home/my-zone native shared

4. Führen Sie die Sicherung durch.

   global# ufsdump 0f /backup/my-zone.ufsdump /export/my-zone

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   DUMP: Date of this level 0 dump: Wed Aug 10 16:13:52 2005 DUMP: Date of last level 0 dump: the epoch DUMP: Dumping /dev/rdsk/c0t0d0s0 (bird:/) to /backup/my-zone.ufsdump. DUMP: Mapping (Pass I) [regular files] DUMP: Mapping (Pass II) [directories] DUMP: Writing 63 Kilobyte records DUMP: Estimated 363468 blocks (174.47MB). DUMP: Dumping (Pass III) [directories] DUMP: Dumping (Pass IV) [regular files] DUMP: 369934 blocks (180.63MB) on 1 volume at 432 KB/sec DUMP: DUMP IS DONE

5. Booten Sie die Zone.

   global# zoneadm -z my-zone boot

So erstellen Sie eine UFS-Momentaufnahme mit fssnap

Bei diesem Ansatz wird der Befehl fssnap verwendet, der einen temporäres Abbild eines Dateisystems für Sicherungen erstellt.

Mit dieser Methode können ausschließlich die Zonendateien eindeutig und konsistent gesichert werden. Diese Methode kann sogar bei laufenden Zonen ausgeführt werden. Dennoch sollten während des Erstellen einer Momentaufnahme aktive Anwendungen, die Dateien aktualisieren, in den Standby-Modus versetzt werden. Wenn eine Anwendung beim Erstellen einer Momentaufnahme gerade Dateien aktualisiert, sind diese eventuell inkonsistent, abgeschnitten oder können aus anderen Gründen nicht mehr benutzt werden.

Beachten Sie für das im Folgenden aufgeführte Beispielverfahren:

• Unter /export/home befindet sich eine Zone my-zone.

• /export/home ist ein separates Dateisystem.

Bevor Sie beginnen

Das Sicherungsziel lautet /backup/my-zone.ufsdump. Sie müssen das Verzeichnis backup unter / erstellen.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Erstellen Sie die Momentaufnahme.

   global# fssnap -o bs=/export /export/home

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   dev/fssnap/0

3. Hängen Sie die Momentaufnahme ein.

   global# mount -o ro /dev/fssnap/0 /mnt

4. Sichern Sie my-zone aus der Momentaufnahme.

   global# ufsdump 0f /backup/my-zone.ufsdump /mnt/my-zone

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   DUMP: Date of this level 0 dump: Thu Oct 06 15:13:07 2005 DUMP: Date of last level 0 dump: the epoch DUMP: Dumping /dev/rfssnap/0 (pc2:/mnt) to /backup/my-zone.ufsdump. DUMP: Mapping (Pass I) [regular files] DUMP: Mapping (Pass II) [directories] DUMP: Writing 32 Kilobyte records DUMP: Estimated 176028 blocks (85.95MB). DUMP: Dumping (Pass III) [directories] DUMP: Dumping (Pass IV) [regular files] DUMP: 175614 blocks (85.75MB) on 1 volume at 2731 KB/sec DUMP: DUMP IS DONE

5. Hängen Sie die Momentaufnahme aus.

   global# umount /mnt

6. Löschen Sie die Momentaufnahme.

   global# fssnap -d /dev/fssnap/0

   Beachten Sie, dass die Momentaufnahme bei einem Neustart des Systems ebenfalls vom System gelöscht wird.

So verwenden Sie find und cpio zum Erstellen von Sicherungen

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Wechseln Sie das Verzeichnis zum Root-Verzeichnis.

   global# cd /

3. Sichern Sie die Dateien unter my-zone, die nicht als Loopback-Mount unter /backup/my-zone.cpio eingehängt sind.

   global# find export/my-zone -fstype lofs -prune -o -local | cpio -oc -O /backup/my-zone.cpio type as one line

4. Prüfen Sie die Ergebnisse.

   global# ls -l backup/my-zone.cpio

   Auf dem Bildschirm sollte in etwa Folgendes angezeigt werden:

   -rwxr-xr-x 1 root root 99680256 Aug 10 16:13 backup/my-zone.cpio

So drucken Sie eine Kopie der Zonenkonfiguration

Sie sollten Sicherungsdateien der Konfigurationen der nicht-globalen Zonen erstellen. So können Sie gegebenenfalls die Sicherungen verwenden, um die Zonen zu einem späteren Zeitpunkt wiederherzustellen. Erstellen Sie die Kopie einer Zonenkonfiguration, nachdem Sie sich das erste Mal bei der Zone angemeldet und die Fragen von sysidtool beantwortet haben. Im folgenden Beispielverfahren wird eine Zone namens my-zone und eine Sicherungsdatei namens my-zone.config verwendet.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Drucken Sie die Konfiguration der Zone my-zone in eine Datei namens my-zone.config.

   global# zonecfg -z my-zone export > my-zone.config

Wiederherstellen einer nicht-globalen Zone

So stellen Sie eine einzelne nicht-globale Zone wieder her

Falls erforderlich, können Sie die Sicherungsdateien der Konfigurationen Ihrer nicht-globalen Zonen zum Wiederherstellen der nicht-globalen Zonen verwenden. Im folgenden Beispielverfahren wird eine Zone namens my-zone und eine Sicherungsdatei namens my-zone.config verwendet, um eine Zone wiederherzustellen.

1. Melden Sie sich als Superuser an oder nehmen Sie die Rolle des Primäradministrators an.

   Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie unter Using the Solaris Management Tools With RBAC (Task Map) in System Administration Guide: Basic Administration.

2. Geben Sie an, dass my-zone.config als zonecfg-Befehlsdatei zum Wiederherstellen der Zone my-zone verwendet werden soll.

   global# zonecfg -z my-zone -f my-zone.config

3. Installieren Sie die Zone.

   global# zoneadm -z my-zone install

4. Um zu verhindern, dass das System die Fragen von sysidtool während der Anmeldung beim System anzeigt, löschen Sie die Datei zonepath/root/etc/.UNCONFIGURED, z. B.:

   global# rm /export/home/my-zone/root/etc/.UNCONFIGURED

5. Wenn Sie zonenspezifische Dateien wie z. B. Anwendungsdaten wiederherstellen möchten, stellen Sie die Dateien manuell aus den Sicherungen im neu erstellten Root-Dateisystem der Zone wieder her (ggf. manuell zusammengeführt).