Systemverwaltungshandbuch: Oracle Solaris Container - Ressourcenverwaltung und Solaris Zones

Sicherheitseinschränkungen und Dateisystemverhalten

Für das Einhängen bestimmter Dateisysteme innerhalb einer Zone gelten Sicherheitseinschränkungen. Einige Dateisysteme zeigen ein besonderes Verhalten, wenn sie in einer Zone eingehängt werden. Die Liste der modifizierten Dateisysteme folgt.

AutoFS

Autofs ist ein clientseitiger Service, der das entsprechende Dateisystem automatisch einhängt. Wenn ein Client versucht, auf ein aktuell nicht eingehängtes Dateisystem zuzugreifen, fängt das AutoFS-Dateisystem die Anforderung ab und ruft automountd auf, um das angeforderte Verzeichnis einzuhängen. AutoFS-Mounts, die innerhalb einer Zone hergestellt wurden, gelten nur lokal für diese Zone. Auf diese Mounts kann nicht von anderen Zonen zugegriffen werden; dies gilt auch für die globalen Zone. Die Mounts werden entfernt, wenn die Zone angehalten oder neu gestartet wird. Weitere Informationen zu AutoFS finden Sie unter How Autofs Works in System Administration Guide: Network Services.

Jede Zone führt ihre eigene Kopie von automountd aus. Die automatischen Zuordnungen und Zeitüberschreitungen werden vom Zonenadministrator gesteuert. Sie können das Einhängen in einer anderen Zone nicht auslösen, indem Sie einen AutoFS-Einhängepunkt für eine nicht-globale Zone von der globalen Zone kreuzen.

Bestimmte AutoFS-Mounts werden im Kernel erstellt, wenn ein anderer Mount ausgelöst wird. Solche Mounts können nicht mit der normalen umount-Schnittstelle entfernt werden, da sie als Gruppe eingehängt oder ausgehängt werden müssen. Dieses Leistungsmerkmal dient zum Herunterfahren einer Zone.

MNTFS

MNTFS ist ein virtuelles Dateisystem, das dem lokalen System schreibgeschützten Zugriff auf die Tabelle der eingehängten Dateisysteme bereitstellt. Mithilfe von mnttab umfassen die in einer nicht-globalen Zone angezeigten Dateisysteme die in dieser Zone eingehängten Dateisysteme plus eines Eintrags für den Root (/). Bei Einhängepunkten mit einem speziellen Gerät, auf das innerhalb der Zone nicht zugegriffen werden kann (wie /dev/rdsk/c0t0d0s0), ist das spezielle Gerät entsprechend dem Einhängepunkt eingestellt. Alle Mounts im System sind in der Tabelle /etc/mnttab der globalen Zone ersichtlich. Weitere Informationen zu MNTFS finden Sie in Kapitel 18, Mounting and Unmounting File Systems (Tasks) in System Administration Guide: Devices and File Systems.

NFS

Innerhalb einer Zone eingerichtete NFS-Mounts gelten nur lokal für diese Zone. Auf diese Mounts kann nicht von anderen Zonen zugegriffen werden; dies gilt auch für die globalen Zone. Die Mounts werden entfernt, wenn die Zone angehalten oder neu gestartet wird.

Wie in der Manpage mount_nfs(1M) dokumentiert, darf ein NFS-Server nicht versuchen, seine eigenen Dateisysteme einzuhängen. Daher darf eine Zone ein von der globalen Zone exportiertes Dateisystem nicht in einem NFS einhängen. Zonen können keine NFS-Server sein. Innerhalb einer Zone verhalten sich NFS-Mounts so, als ob sie mit der Option nodevices eingehängt wurden.

Die Ausgabe des Befehls nfsstat bezieht sich nur auf die Zone, in der der Befehl ausgeführt wird. Wird der Befehl z. B. in der globalen Zone ausgeführt, so werden nur Informationen zur globalen Zone ausgegeben. Weitere Informationen zum Befehl nfsstat finden Sie in der Manpage nfsstat(1M).

Der Befehl zlogin schlägt fehl, wenn sich eine der offenen Dateien oder ein Teil des Adressraums auf einem NFS befinden. Weitere Informationen finden Sie unter zlogin-Befehl.

PROCFS

Das Dateisystem /proc (oder PROCFS) bietet Prozess-Sichtbarkeit sowie Zugriffseinschränkungen und Informationen über die Zonenzuordnung von Prozessen. Über /proc sind nur Prozesse in der gleichen Zone sichtbar.

Prozesse in der globalen Zone können Prozesse und andere Objekte in nicht-globalen Zonen überwachen. Dies gestattet diesen Prozessen, systemweit zu überwachen.

Innerhalb einer Zone verhalten sich procfs-Mounts so, als ob sie mit der Option nodevices eingehängt wurden. Weitere Informationen zu procfs finden Sie in der Manpage proc(4).

LOFS

Der Bereich dessen, was über LOFS eingehängt werden kann, ist auf den Teil des Dateisystems beschränkt, der für die Zone sichtbar ist. Aus diesem Grund gibt es keine Einschränkungen für LOFS-Mounts in einer Zone.

UFS, UDFS, PCFS und andere speicherbasierte Dateisysteme

Wenn Sie den Befehl zonecfg zum Konfigurieren von speicherbasierten Dateisystemen verwenden, die über eine fsck-Binärdatei verfügen (z. B. UFS) muss der Zonenadministrator einen raw-Parameter angeben. Dieser Parameter kennzeichnet ein Raw-Gerät (zeichenorientiert), z. B. /dev/rdsk/c0t0d0s7. zoneadmd führt automatisch den Befehl fsck im nicht-interaktiven Prüfmodus an diesem Gerät aus (fsck -m), bevor es das Dateisystem einhängt. Wenn der Befehl fsck fehlschlägt, kann zoneadmd die Zone nicht in den Status „ready“ versetzen. Der von raw angegebene Pfad darf kein relativer Pfad sein.

Die Angabe eines Geräts für fsck für ein Dateisystem, das keine Binärdatei fsck unter /usr/lib/fstype/fsck enthält, führt zu einem Fehler. Auch wenn Sie kein Gerät für fsck angeben, wenn eine Binärdatei fsck für das Dateisystem vorhanden ist, tritt ein Fehler auf.

Weitere Informationen finden Sie unter Der Daemon zoneadmd und in der Manpage fsck(1M)

ZFS

Sie können ein ZFS-Dataset mit dem Befehl zonecfg und der Ressource add dataset zu einer nicht-globalen Zone hinzufügen. Das Dataset ist in der nicht-globalen Zone sichtbar und eingehängt, und in der globalen Zone nicht mehr sichtbar. Der Zonenadministrator kann Dateisysteme innerhalb dieses Datasets erstellen und löschen, Klone erstellen und löschen und die Eigenschaften des Datasets bearbeiten.

Das Attribut zoned von zfs kennzeichnet, ob ein Dataset zu einer nicht-globalen Zone hinzugefügt wurde.


# zfs get zoned tank/sales
NAME          PROPERTY    VALUE      SOURCE
tank/sales    zoned       on         local

Wenn Sie ein Dataset von der globalen Zone aus gemeinsam nutzen möchten, können Sie mit dem Befehl zonecfg und den Optionen add fs ein LOFS-mounted ZFS-Dateisystem hinzufügen. Der globale Administrator ist für das Einstellen und Steuern der Dataset-Eigenschaften verantwortlich.

Weitere Informationen zum ZFS finden Sie in Kapitel 10, Fortgeschrittene Oracle Solaris ZFS-Themen in Oracle Solaris ZFS-Administrationshandbuch.