Kapitel 17 Einführung in die Konfiguration einer nicht-globalen Zone

In diesem Kapitel wird die Konfiguration einer nicht-globalen Zone beschrieben.

In diesem Kapitel werden folgende Themen behandelt:

• Neuerungen in diesem Kapitel

• Allgemeine Informationen zu Ressourcen in Zonen

• Konfiguration vor der Installation

• Komponenten einer Zone

• Verwenden des Befehls zonecfg

• zonecfg-Modi

• Konfigurationsdaten in einer Zone

• Befehlszeilen-Bearbeitungsbibliothek Tecla

Nach einer Einführung in die allgemeine Zonenkonfiguration können Sie zu Kapitel 18Planen und Konfigurieren von nicht-globalen Zonen (Vorgehen) übergehen, um die auf dem System zur installierenden nicht-globalen Zonen zu konfigurieren.

Informationen zur Konfiguration einer lx Branded Zone finden Sie in Kapitel 32Einführung in die Planung der Konfiguration einer lx Branded Zone und Kapitel 33Konfigurieren einer lx Branded Zone (Vorgehen).

Neuerungen in diesem Kapitel

Solaris 10 6/06: Unterstützung für das ZFS-Dateisystem, einschließlich der Möglichkeit zum Hinzufügen einer Dataset-Ressource zu einer nativen nicht-globalen Zone, wurde hinzugefügt. Weitere Informationen finden Sie unter Ressourcentypeigenschaften.

Solaris 10 11/06: Unterstützung für konfigurierbare Berechtigungen wurde hinzugefügt. Lesen Sie dazu Solaris 10 11/06 und höher: Konfigurierbare Berechtigungen.

Solaris 10 8/07: Unterstützung für die folgenden Funktionen wurden dem Befehl zonecfg hinzugefügt:

• Bessere Integration von Funktionen zur Ressourcenverwaltung und Zonen. Der Befehl zonecfg kann jetzt zum Konfigurieren von temporären Pools, Speicherbeschränkungen, der Scheduling-Klasse der Zone und für Resource Control-Aliases verwendet werden. Es ist nicht mehr erforderlich, alle manuellen Schritte zum Einrichten der Ressourcenverwaltung auszuführen. Neue Resource Controls wurden hinzugefügt:

  • zone.max-locked-memory

  • zone.max-msg-ids

  • zone.max-sem-ids

  • zone.max-shm-ids

  • zone.max-shm-memory

  • zone.max-swap

• Möglichkeit, den Befehl zonecfg in der globalen Zone zu verwenden.

• Möglichkeit, einen IP-Typ für eine Zone anzugeben. Für nicht-globale Zonen stehen die IP-Typen Shared IP und Exclusive IP zur Verfügung.

• Möglichkeit, DTrace in einer Zone zu verwenden. Dazu werden die erforderlichen Berechtigungen über die Eigenschaft limitpriv hinzugefügt.

• Möglichkeit, Boot-Argumente über die Eigenschaft bootargs in einer Zone zu verwenden.

Solaris 10 10/08: Die Eigenschaft defrouter wurde zur Ressource net im Dienstprogramm zonecfg für nicht-globale Shared-IP-Zonen hinzugefügt. Mithilfe dieser Eigenschaft können Sie den Standard-Router für eine Netzwerkschnittstelle festlegen.

Eine vollständige Liste der neuen Funktionen in Solaris 10 sowie eine Beschreibung der Solaris-Releases finden Sie in Neuerungen in Oracle Solaris 9 10/10.

Allgemeine Informationen zu Ressourcen in Zonen

Eine Zone, die Funktionen zur Ressourcenverwaltung umfasst, wird als ein Container bezeichnet. In einem Container können u. a. folgende Ressourcen gesteuert werden:

• Resource Pools oder zugewiesene CPUs, die zum Partitionieren von Computerressourcen verwendet werden.

• Resource Controls, die einen Mechanismus zur Einschränkung der Systemressourcen bieten.

• Scheduling-Klassen, mit denen Sie die Zuordnung von verfügbaren CPU-Ressourcen zu den Zonen über relative Shares steuern können. Sie können die Wichtigkeit von Arbeitslasten in einer bestimmten Zone über die Anzahl der Shares an CPU-Ressourcen angeben, die Sie dieser Zone zuweisen.

Konfiguration vor der Installation

Bevor eine nicht-globale Zone installiert und auf einem System verwendet werden kann, muss sie konfiguriert werden.

Mit dem Befehl zonecfg erstellen Sie die Konfiguration und überprüfen, ob die angegebenen Ressourcen und Eigenschaften auf einem hypothetischen System gültig sind. Die von zonecfg an einer bestimmten Konfiguration durchgeführte Prüfung stellt Folgendes sicher:

• Es wurde ein Zonenpfad angegeben

• Für jede Ressource wurden alle erforderlichen Eigenschaften angegeben

Weitere Informationen zum Befehl zonecfg finden Sie in der Manpage zonecfg(1M).

Komponenten einer Zone

In diesem Abschnitt werden die erforderlichen und optionalen Zonenkomponenten beschrieben, die in eine Konfiguration einbezogen werden können. Weitere Informationen finden Sie unter Konfigurationsdaten in einer Zone.

Zonenname und -pfad

Sie müssen einen Namen und einen Pfad für die Zone angeben.

Zone autoboot

Mit einer Einstellung für die Eigenschaft autoboot können Sie festlegen, ob eine Zone bei einem Neustart der globalen Zone automatisch gebootet wird. Der Zones-Service svc:/system/zones:default muss ebenfalls aktiviert werden.

Resource Pool-Zuordnung

Wenn, wie in Kapitel 13Erstellen und Verwalten von Resource Pools (Vorgehen) beschrieben, Resource Pools auf dem System konfiguriert sind, können Sie die Eigenschaft pool beim Konfigurieren der Zone verwenden, um die Zone zu einem der Resource Pools zuzuordnen.

Ab dem Solaris-Release 10 8/07 können Sie mit der Ressource dedicated-cpu angeben, dass ein Teil der Systemprozessoren für eine nicht-globale Zone zugewiesen wird. Dies gilt auch dann, wenn keine Ressourcen-Pools konfiguriert wurden. Während der Ausführung der Zone erstellt das System dynamisch einen temporären Pool. Durch die Angaben mithilfe von zonecfg werden die Pool-Einstellungen bei Migrationen übernommen.

Eine Zonenkonfiguration, die ein persistentes, mit der Eigenschaft pool eingerichtetes Pool-Set verwendet, ist nicht mit einem temporären Pool kompatibel, der mit der Ressource dedicated-cpu eingerichtet wurde. Sie können nur eine dieser beiden Eigenschaften einrichten.

Solaris 10 8/07: dedicated-cpu-Ressource

Mit der Ressource dedicated-cpu legen Sie fest, dass ein Teil der Systemprozessoren ausschließlich einer nicht-globale Zone zugewiesen wird, solange diese ausgeführt wird. Beim Booten der Zone erstellt das System dynamisch einen temporären Pool, der solange verwendet wird, wie die Zone ausgeführt wird.

Durch die Angaben in zonecfg werden die Pool-Einstellungen bei Migrationen übernommen.

Die Ressource dedicated-cpu legt Grenzwerte für ncpus und optional für importance fest.

ncpus

Geben Sie die Anzahl der CPUs oder einen Bereich an, z. B. 2–4 CPUs. Wenn Sie einen Bereich angeben, um das Verhalten eines Dynamic Resource Pool umzusetzen, müssen Sie auch Folgendes ausführen:

• Richten Sie die Eigenschaft importance ein.

• Aktivieren Sie den Service poold. Anweisungen hierzu finden Sie unter Solaris 10 11/06 und höher: So aktivieren Sie die Dynamic Resource Pools mit dem Befehl svcadm.

importance

Wenn Sie einen CPU-Bereich verwenden, um ein dynamisches Verhalten zu implementieren, müssen Sie die Eigenschaft importance einrichten. Die Eigenschaft importance ist optional und definiert die relative Wichtigkeit des Pools. Diese Eigenschaft ist nur dann erforderlich, wenn Sie einen Bereich für ncpus angeben und Dynamic Resource Pools verwenden, die mit poold verwaltet werden. Wenn poold nicht ausgeführt wird, wird importance ignoriert. Wenn poold ausgeführt wird und importance nicht eingestellt ist, nimmt importance automatisch den Standardwert 1 an. Weitere Informationen finden Sie unter pool.importance-Eigenschafteneinschränkung.

Die Ressourcen capped-cpu und dedicated-cpu sind nicht miteinander kompatibel. Die Resource Control cpu-shares und die Ressource dedicated-cpu sind nicht miteinander kompatibel.

Solaris 10 5/08: Ressource capped-cpu

Die Ressource capped-cpu gibt einen absoluten, fein abgestimmten Grenzwert für die CPU-Ressourcen an, die von einem Projekt bzw. einer Zone beansprucht werden können. In Verbindung mit Prozessor-Sets beschränken CPU-Ressourcengrenzwerte (CPU-Caps) die CPU-Beanspruchung innerhalb eines Sets. Die Ressource capped-cpu besitzt eine Eigenschaft (ncpus). Diese ist eine positive Dezimalzahl mit Stellen rechts vom Dezimalpunkt. Diese Eigenschaft entspricht CPU-Einheiten. Sie können für diese Eigenschaft keinen Bereich und keine Dezimalzahl größer als 1 angeben. Wenn Sie für ncpus den Wert 1 eingeben, bedeutet dies die Beanspruchung von 100 Prozent der CPU-Ressourcen. Der Wert 1.25 bedeutet 125 Prozent, da 100 Prozent der kompletten Auslastung einer CPU auf dem System entspricht.

Die Ressourcen capped-cpu und dedicated-cpu sind nicht miteinander kompatibel.

Scheduling-Klasse in einer Zone

Mit dem Fair Share Scheduler (FSS) steuern Sie die Zuordnung von verfügbaren CPU-Ressourcen zwischen den Zonen. Die Zuordnung erfolgt dabei nach der Wichtigkeit der Zonen. Diese Wichtigkeit einer Arbeitslast wird durch die Anzahl der Shares (Anteile) an CPU-Ressourcen ausgedrückt, die Sie jeder Zone zuweisen. Auch wenn Sie FSS nicht zur Verwaltung der CPU-Ressourcenzuordnung zwischen den Zonen einsetzen, können Sie die Scheduling-Klasse der Zone zum Verwenden von FSS einrichten, so dass Sie Shares für die Projekte innerhalb der Zone zuordnen können.

Wenn Sie die Eigenschaft cpu-shares explizit setzen, wird der Fair Share Scheduler (FSS) als Scheduling-Klasse für diese Zone verwendet. Normalerweise wird der FSS mit dem Befehl dispadmin als standardmäßige Scheduling-Klasse eingerichtet. Auf diese Weise erhalten alle Zonen einen gleich großen Anteil der CPU-Ressourcen des Systems. Wenn cpu-shares für eine Zone nicht gesetzt wurde, verwendet die Zone standardmäßig die Scheduling-Klasse des Systems. Die Scheduling-Klasse einer Zone wird mit den folgenden Methoden eingerichtet:

• Im Solaris-Release 10 8/07 können die Eigenschaft scheduling-class in zonecfg verwenden, um die Scheduling-Klasse der Zone einzustellen.

• Sie können die Scheduling-Klasse für eine Zone mithilfe der Resource-Pools-Funktion einrichten. Wenn die Zone einem Pool zugeordnet ist, deren Eigenschaft pool.scheduler auf eine gültige Scheduling-Klasse gesetzt ist, werden in der Zone laufende Prozesse standardmäßig in dieser Scheduling-Klasse ausgeführt. Lesen Sie dazu Einführung in Resource Pools und So ordnen Sie einen Pool einer Scheduling-Klasse zu.

• Wenn die Resource Control cpu-shares gesetzt ist und der FSS nicht über eine andere Aktion als Scheduling-Klasse für die Zone eingerichtet wurde, stellt zoneadmd den FSS beim Booten der Zone als Scheduling-Klasse ein.

• Die Zone erbt die standardmäßige Scheduling-Klasse des Systems, sofern sie nicht über eine andere Aktion eingestellt wurde.

Mit dem in der Manpage priocntl(1) beschriebenen Befehl priocntl können Sie laufende Prozesse in eine andere Scheduling-Klasse verschieben, ohne dass die standardmäßige Scheduling-Klasse geändert oder das System neu gebootet werden muss.

Solaris 10 8/07: Steuerung des reellen Speichers und der capped-memory-Ressource

Die Ressource capped-memory legt Grenzwerte für den reellen (physical), ausgelagerten (swap) und gesperrten (locked) Speicher fest. Jeder Grenzwert ist optional, es muss aber mindestens ein Grenzwert eingerichtet sein.

• Legen Sie Werte für diese Ressource fest, wenn Sie den Speicher für die Zone von der globalen Zone aus mit dem Befehl rcapd begrenzen möchten. Die Eigenschaft physical der Ressource capped-memory wird von rcapd als max-rss-Wert für die Zone verwendet.

• Die Resource Control zone.max-swap wird primär über die Eigenschaft swap der Ressource capped-memory eingerichtet.

• Die Resource Control zone.max-locked-memory wird primär über die Eigenschaft locked der Ressource capped-memory eingerichtet.

Anwendungen sperren im Allgemeinen keine bedeutenden Speichermengen. Sie können jedoch das Sperren von Speicher einrichten, wenn bekannt ist, dass die Anwendungen der Zone normalerweise Speicher sperren. Wenn die Vertrauenswürdigkeit einer Zone von Bedeutung ist, können Sie die Memory Cap für gesperrten Speicher auch auf 10 Prozent des reellen Speichers des Systems oder auf 10 Prozent der Memory Cap für den reellen Speicher der Zone einschränken.

Weitere Informationen finden Sie in Kapitel 10Einführung in die Steuerung des reellen Arbeitsspeichers mithilfe des Resource Capping Daemons, Kapitel 11Verwalten des Resource Capping Daemons (Vorgehen) und in der Manpage So konfigurieren Sie die Zone. Weitere Informationen zum Festlegen einer temporären Resource Cap für eine Zone finden Sie unter So legen Sie eine temporäre Resource Cap für eine Zone fest.

Netzwerkschnittstellen der Zone

Mit dem Befehl zonecfg konfigurierte Netzwerkschnittstellen für Zonen sorgen für die Netzwerkverbindungen und werden beim Booten automatisch in einer Zone eingerichtet.

Die Internet Protocol (IP)-Schicht akzeptiert Pakete und liefert sie im Netzwerk aus. Diese Schicht umfasst IP-Routing, das Address Resolution Protocol (ARP), die IP-Sicherheitsarchitektur (IPsec) und IP-Filter.

Für nicht-globale Zonen stehen die IP-Typen Shared IP und Exclusive IP zur Verfügung. In der Shared IP-Zone wird eine Netzwerkschnittstelle gemeinsam genutzt, während die Exclusive IP-Zone muss über eine dedizierte Netzwerkschnittstelle verfügen muss.

Informationen zu den IP-Funktionen jedes Typs finden Sie unter Netzwerkverbindungen in nicht-globalen Shared IP-Zonen und Solaris 10 8/07: Netzwerkverbindungen in nicht-globalen Exclusive IP-Zonen.

Nicht-globale Shared IP-Zonen

Die Shared IP-Zone ist der Standardtyp. Die Zone muss über mindestens eine dedizierte IP-Adresse verfügen. Eine Shared IP-Zone nutzt die Konfiguration und den Status der IP-Schicht gemeinsam mit der globalen Zone. Die Zone muss die Shared IP-Instanz verwenden, wenn die beiden folgenden Bedingungen zutreffen:

• Die Zone ist mit dem gleichen Data-Link verbunden, d. h., sie befindet sich im gleichen IP-Teilnetz bzw. in den gleichen Teilnetzen wie die globale Zone.

• Sie benötigen keine der Merkmale, die eine Exclusive IP-Zone bietet.

Shared IP-Zonen werden mit dem Befehl zonecfg eine oder mehrere IP-Adressen zugewiesen. Die Data-Link-Namen müssen ebenfalls in der globalen Zone konfiguriert werden.

Diese Adressen werden mithilfe von logischen Netzwerkschnittstellen zugeordnet. Mit dem Befehl ifconfig können die logischen Schnittstellen in einer laufenden Zone von der globalen Zone aus hinzugefügt oder entfernt werden. Weitere Informationen finden Sie unter Shared IP-Netzwerkschnittstellen.

Solaris 10 8/07: Nicht-globale Exclusive IP-Zonen

In einer Exclusive IP-Zone stehen alle Funktionen der IP-Schicht zur Verfügung.

Eine Exclusive IP-Zone verfügt über einen eigenen IP-orientierten Status.

Hierzu gehört die Fähigkeit, die folgenden Funktionen einer Exclusive IP-Zone zu nutzen:

• Statusfreie automatische Konfiguration von Adressen unter DHCPv4 und IPv6

• IP-Filter, einschließlich Funktionen zur Network Address Translation (NAT)

• IP Network Multipathing (IPMP)

• IP-Routing

• ndd zum Einstellen der TCP/UDP/SCTP- und IP/ARP-Level knobs

• IP Security (IPsec) und Internet Key Exchange (IKE), das die Bereitstellung von authentifizierten Schlüsseln für die IPsec-Sicherheitszuweisung automatisiert

Eine Exclusive IP-Zone erhält mit dem Befehl zonecfg ein eigenes Data-Link-Set. Die Zone erhält einen Data-Link-Name wie z. B. xge0, e1000g1 oder bge32001. Dazu wird die Eigenschaft physical der net-Ressourcen verwendet. Die Eigenschaft address der net-Ressource ist nicht gesetzt.

Beachten Sie, dass die zugewiesene Data-Link das Verwenden des Befehls snoop möglich macht.

Der Befehl dladm kann zusammen mit dem Unterbefehl show-linkprop verwendet werden, um die Zuweisung von Data-Links zu laufenden Exclusive IP-Zonen anzuzeigen. Der Befehl dladm kann zusammen mit dem Unterbefehl set-linkprop verwendet werden, um laufenden Zonen zusätzliche Data-Links zuzuweisen. Anwendungsbeispiele finden Sie unter Solaris 10 8/07: Verwalten von Data-Links in nicht-globalen Exclusive IP-Zonen.

Innerhalb einer laufenden Exclusive IP-Zone kann der Befehl ifconfig zum Konfigurieren der IP-Funktionen verwendet werden. Hierzu gehört die Möglichkeit, logische Schnittstellen hinzuzufügen oder zu entfernen. Die IP-Konfiguration in einer Zone kann mithilfe von sysidtools, das unter sysidcfg(4) beschrieben wird, auf die gleiche Weise wie für die globale Zone eingerichtet werden.

Die IP-Konfiguration einer Exclusive IP-Zone kann nur von der globalen Zone aus mit dem Befehl zlogin angezeigt werden. Ein Beispiel:

global# zlogin zone1 ifconfig -a

Sicherheitsunterschiede zwischen nicht-globalen Shared IP- und Exclusive IP-Zonen

In einer Shared IP-Zone können weder die Anwendungen in einer Zone noch der Superuser Pakete mit anderen Quell-IP-Adressen als denen senden, die der Zone mit dem Dienstprogramm zonecfg zugewiesen wurden. Dieser Zonentyp hat keinen Zugriff zum Senden und Empfangen von zufälligen Data-Link-Paketen (Schicht 2).

Bei einer Exclusive IP-Zone gewährt zonecfg stattdessen die gesamten angegebene Data-Link für die Zone. Somit kann der Superuser in einer Exclusive IP-Zone genauso wie in der globalen Zone Spoofing-Pakete über diese Data-Links versenden.

Gleichzeitiges Verwenden von nicht-globalen Shared IP- und Exclusive IP-Zonen

Die Shared IP-Zonen nutzen die IP-Schicht immer gemeinsam mit der globalen Zone, die Exclusive IP-Zonen hingegen verfügen immer über ihre eigene Instanz der IP-Schicht. Shared IP-Zonen und Exclusive IP-Zonen können gemeinsam auf dem gleichen Computer eingesetzt werden.

In Zonen eingehängte Dateisysteme

Im Allgemeinen umfassen die in einer Zone eingehängten Dateisysteme Folgendes:

• Die beim Initialisieren der virtuellen Plattform eingehängten Dateisystemsets

• Die innerhalb der Anwendungsumgebung eingehängten Dateisystemsets

Dies kann z. B. die folgenden Dateisysteme umfassen:

• Dateisysteme, die in der Datei /etc/vfstab einer Zone angegeben sind

• AutoFS- und AutoFS-ausgelöste Mounts

• Mounts, die explizit von einem Zonenadministrator durchgeführt werden

Für Mounts, die innerhalb einer Anwendungsumgebung eingehängt werden, gelten bestimmte Einschränkungen. Diese Einschränkungen verhindern, dass der Zonenadministrator Services für das restliche System verweigert oder Einstellungen trifft, die sich negativ auf andere Zonen auswirken.

Für das Einhängen bestimmter Dateisysteme innerhalb einer Zone gelten Sicherheitseinschränkungen. Einige Dateisysteme zeigen ein besonderes Verhalten, wenn sie in einer Zone eingehängt werden. Weitere Informationen finden Sie unter Dateisysteme und nicht-globale Zonen.

Konfigurierte Geräte in Zonen

Der Befehl zonecfg verwendet ein Rule Matching-System, um festzulegen, welche Geräte in einer bestimmten Zone erscheinen müssen. Geräte, die einer der Regeln entsprechen, werden in das Dateisystem /dev der Zone aufgenommen. Weitere Informationen finden Sie unter So konfigurieren Sie die Zone.

Host-ID in Zonen

Sie können eine hostid-Eigenschaft für die nicht-globale Zone einstellen, die sich von der hostid der globalen Zone unterscheidet. Dies ist sinnvoll, wenn ein physischer Rechner mit der P2V-Funktion in einer Zone konsolidiert wird. Anwendungen, die sich jetzt innerhalb der Zone befinden, können von der ursprünglichen hostid abhängen und die Anwendungskonfiguration kann möglicherweise nicht aktualisiert werden. Weitere Informationen finden Sie unter Ressourcen- und Eigenschaftentypen.

Einrichten von zonenweiten Resource Controls

Der globale Administrator kann privilegierte zonenweite Resource Controls für eine Zone einrichten. Zonenweite Resource Controls schränken die gesamte Ressourcennutzung aller Prozesseinheiten innerhalb einer Zone ein.

Diese Grenzwerte werden mit dem Befehl zonecfg sowohl für die globale Zone als auch für nicht-globale Zonen eingerichtet. Lesen Sie dazu So konfigurieren Sie die Zone.

Ab dem Solaris-Release 10 8/07 lassen sich zonenweite Resource Controls einfacher einrichten, indem Sie den Eigenschaftennamen anstelle der Ressource rctl verwenden.

Solaris 10 5/08: Die Resource Control zone.cpu-cap gibt einen absoluten Grenzwert an CPU-Ressourcen an, die von einer Zone beansprucht werden können. Der Wert 100 gibt als Einstellung von project.cpu-cap die 100-prozentige Beanspruchung der Ressourcen einer CPU an. Der Wert 1.25 bedeutet 125 Prozent, da 100 Prozent der kompletten Auslastung einer CPU auf einem System mit CPU-Ressourcengrenzwerten (CPU-Caps) entspricht.

Die Ressource capped-cpu muss eine Dezimalzahl sein. Der Wert entspricht der Resource Control zone.capped-cpu , wird jedoch um den Faktor 100 heruntergesetzt. Der Wert 1 entspricht dem Wert 100 der Resource Control.

Die Resource Control zone.cpu-shares legt einen Grenzwert für die Anzahl der Fair Share Scheduler (FSS) CPU-Shares für eine Zone fest. CPU-Shares werden zunächst der Zone zugeordnet und dann gemäß den Einträgen in project.cpu-shares weiter zwischen den Projekten in einer Zone aufgeteilt. Weitere Informationen finden Sie unter Verwenden des Fair Share Scheduler auf einem Solaris-System mit installierten Zonen. Der globale Eigenschaftenname für diese Resource Control lautet cpu-shares.

Die Resource Control zone.max-locked-memory begrenzt den gesperrten reellen Speicher, der eine Zone zur Verfügung steht. Die Zuordnung der gesperrten Speicherressourcen zu Projekten innerhalb einer Zone wird über die Resource Control project.max-locked-memory gesteuert. Weitere Informationen finden Sie in Tabelle 6–1.

Die Resource Control zone.max-lwps verbessert die Ressourcenisolierung, indem Sie verhindert, dass sich zu viele LWPs in einer Zone negativ auf andere Zonen auswirken. Die Zuordnung der LWP-Ressourcen zu den Projekten in einer Zone wird über die Resource Control project.max-lwps gesteuert. Weitere Informationen finden Sie in Tabelle 6–1. Der globale Eigenschaftenname für diese Resource Control lautet max-lwps.

Die Resource Controls zone.max-msg-ids, zone.max-sem-ids, zone.max-shm-ids und zone.max-shm-memory dienen zum Begrenzen der System V-Ressourcen, die von allen Prozessen in einer Zone genutzt werden. Die Zuordnung von System V-Ressourcen zu Projekten in einer Zone kann mithilfe der Projektversionen dieser Resource Controls gesteuert werden. Die globalen Eigenschaftennamen dieser Resource Controls lauten max-msg-ids, max-sem-ids, max-shm-ids und max-shm-memory .

Die Resource Control zone.max-swap begrenzt den Swap-Bereich, der von Benutzerprozess-Adressraumzuordnungen und tmpfs-Mounts innerhalb einer Zone verwendet wird. Die Ausgabe von prstat -Z zeigt eine SWAP-Spalte an. Der angezeigte Swap-Bereich ist der gesamte Swap-Bereich, der von den Prozessen der Zone und den tmpfs-Mounts verbraucht wird. Dieser Wert unterstützt die Überwachung des von jeder Zone reservierten Swap-Bereichs. Er kann zum Wählen einer geeigneten Einstellung für zone.max-swap verwendet werden.

Diese Grenzen können mit dem Befehl prctl für laufende Prozesse angegeben werden. Ein Beispiel finden Sie unter So richten Sie FSS-Shares mit dem Befehl prctl in der globalen Zone ein. Die mit dem Befehl prctl festgelegten Grenzen sind nicht persistent. Sie sind nur solange wirksam, bis das System neu gebootet wird.

Solaris 10 11/06 und höher: Konfigurierbare Berechtigungen

Beim Booten einer Zone wird ein Standardset mit sicheren Berechtigungen in die Konfiguration aufgenommen. Diese Berechtigungen werden als sicher betrachtet, weil sie verhindern, dass ein privilegierter Prozess in der Zone Prozesse in anderen nicht-globalen Zonen des Systems oder in der globalen Zone beeinflusst. Mit dem Befehl zonecfg können Sie:

• Zum Standard-Berechtigungsset hinzufügen. Diese Änderungen können jedoch eine globale Ressource steuern und so dazu führen, dass Prozesse in einer Zone Prozesse in anderen Zonen beeinflussen.

• Vom Standard-Berechtigungsset entfernen. Diese Änderungen können jedoch dazu führen, dass bestimmte Prozesse nicht korrekt ausgeführt werden können, wenn diese Berechtigungen zur Ausführung erforderlich sind.

Einige Berechtigungen können nicht aus dem Standard-Berechtigungsset einer Zone entfernt werden, und bestimmte Berechtigungen können in diesem Fall nicht zum Standardset hinzugefügt werden.

Weitere Informationen finden Sie unter Berechtigungen in einer nicht-globalen Zone, unter So konfigurieren Sie die Zone und in der Manpage privileges(5).

Hinzufügen eines Kommentars zu einer Zone

Mit dem Ressourcentyp attr können Sie einer Zone einen Kommentar hinzufügen. Weitere Informationen finden Sie unter So konfigurieren Sie die Zone.

Verwenden des Befehls zonecfg

Mit dem in der Manpage zonecfg ausführlich beschriebenen Befehl zonecfg(1M) können Sie eine nicht-globale Zone konfigurieren. Ab dem Solaris-Release 10 8/07 können mit diesem Befehl außerdem die Einstellungen der Ressourcenverwaltung für die globale Zone persistent angegeben werden.

Der Befehl zonecfg kann im interaktiven Modus, im Befehlszeilen-Modus oder im Befehlsdatei-Modus verwendet werden. Mit diesem Befehl werden die folgenden Vorgänge durchgeführt:

• Erstellen oder Löschen (Zerstören) einer Zonenkonfiguration

• Hinzufügen von Ressourcen zu einer bestimmten Konfiguration

• Einrichten von Eigenschaften für Ressourcen, die einer Konfiguration hinzugefügt wurden

• Entfernen von Ressourcen von einer bestimmten Konfiguration

• Abfragen oder Überprüfen einer Konfiguration

• Übernehmen einer Konfiguration

• Wiederherstellen einer vorherigen Konfiguration

• Umbenennen einer Zone

• Beenden einer zonecfg-Sitzung

Der Befehl zonecfg hat die folgende Syntax:

zonecfg:zonename>

Wenn Sie einen bestimmten Ressourcentyp konfigurieren, z. B. ein Dateisystem, wird auch dieser Ressourcentyp in die Befehlssyntax aufgenommen:

zonecfg:zonename:fs>

Weitere Informationen, einschließlich Verfahren zur Verwendung der verschiedenen in diesem Kapitel beschriebenen zonecfg-Komponenten finden Sie unter Kapitel 18Planen und Konfigurieren von nicht-globalen Zonen (Vorgehen).

zonecfg-Modi

Für die Benutzerschnittstelle findet das Konzept eines Geltungsbereichs (Scope) Anwendung. Der Geltungsbereich kann entweder global oder ressourcenspezifisch angelegt sein. Der standardmäßige Geltungsbereich ist global.

Im globalen Geltungsbereich wird eine bestimmte Ressource mit den Unterbefehlen add und select ausgewählt. Daraufhin ändert sich der Geltungsbereich zu diesem Ressourcentyp.

• Bei dem Unterbefehl add wird die Ressourcenspezifikation mit den Unterbefehlen end oder cancel abgeschlossen.

• Bei dem Unterbefehl select wird die Ressourcenmodifikation mit den Unterbefehlen end oder cancel abgeschlossen.

Anschließend wird der Geltungsbereich auf global zurückgesetzt.

Bestimmte Unterbefehle, z. B. add, remove und set, haben in verschiedenen Geltungsbereichen unterschiedliche Bedeutungen.

zonecfg Interaktiver Modus

Im interaktiven Modus werden die folgenden Unterbefehle unterstützt. Weitere Informationen zu den Bedeutungen und Optionen, die mit den Unterbefehlen verwendet werden können, finden Sie in der Manpage zonecfg(1M. ) Bei jedem Unterbefehl, der zu destruktiven Aktionen oder dem Verlust von Arbeiten führen könnte, fordert das System vor dem Fortsetzen eine Bestätigung durch den Benutzer an. Diese Bestätigung können Sie durch Verwenden der Option -F (Force / Erzwingen) umgehen.

help

Druckt die allgemeine Hilfe aus oder zeigt Hilfe zu einer bestimmten Ressource an.

zonecfg:my-zone:inherit-pkg-dir> help

create

Beginnt die Konfiguration einer im Arbeitsspeicher abgelegten Konfiguration für die angegebene neue Zone für einen der folgenden Zwecke:

• Das Anwenden der Standardeinstellungen auf eine neue Konfiguration. Diese Methode ist die Standardeinstellung.

• Mit der Option -t Vorlage erstellen Sie eine Konfiguration, die mit einer angegebenen Vorlage identisch ist. Der Zonenname wird vom Vorlagennamen zum neuen Zonennamen geändert.

• Mit der Option -F überschreiben Sie eine bestehende Konfiguration.

• Mit der Option -b erstellen Sie eine leere Konfiguration, in der nichts festgelegt ist.

export

Druckt die Konfiguration über das standardmäßige Ausgabegerät oder in die angegebene Ausgabedatei. Die Ausgabe weist dabei ein Format auf, das in einer Befehlsdatei verwendet werden kann.

add

Bei einem globalen Geltungsbereich wird der Konfiguration der angegebene Ressourcentyp hinzugefügt.

Bei einem ressourcenspezifischen Geltungsbereich wird eine Eigenschaft mit dem angegebenen Namen und dem angegebenen Wert hinzugefügt.

Weitere Informationen finden Sie unter So konfigurieren Sie die Zone und in der Manpage zonecfg(1M).

set

Setzt einen angegebenen Eigenschaftennamen auf einen angegebenen Eigenschaftenwert. Einige Eigenschaften, z. B. zonepath, sind global, andere gelten nur für eine bestimmte Ressource. Aus diesem Grund hat dieser Befehl sowohl für einen globalen als auch für einen ressourcenspezifischen Geltungsbereich.

select

Gilt nur im globalen Geltungsbereich. Wählt eine Ressource des angegebenen Typs, die dem angegebenen Kriterium Eigenschaftenname/Eigenschaftenwert-Paar entspricht, zur Bearbeitung aus. Der Geltungsbereich wird auf diesen Ressourcentyp geändert. Damit die Ressource eindeutig identifiziert werden kann, müssen Sie eine ausreichende Anzahl an Eigenschaftenname/Eigenschaftenwert-Paaren angeben.

clear

Solaris 10 8/07: Löscht den Wert für die optionalen Einstellungen. Erforderliche Einstellungen können nicht gelöscht werden. Einige erforderliche Einstellungen können jedoch durch Zuweisen eines neuen Werts geändert werden.

remove

Bei einem globalen Geltungsbereich wird der angegebene Ressourcentyp entfernt. Damit der Ressourcentyp eindeutig identifiziert werden kann, müssen Sie eine ausreichende Anzahl an Eigenschaftenname/Eigenschaftenwert-Paaren angeben. Wenn kein Eigenschaftenname/Eigenschaftenwert-Paar angegeben wurde, werden alle Instanzen gelöscht. Wurden mehrere Paare angegeben, wird eine Bestätigung erforderlich, es sei denn, die Option -F wurde verwendet.

Bei einem ressourcenspezifischen Geltungsbereich wird das angegebene Eigenschaftenname/Eigenschaftenwert-Paar von der aktuellen Ressource entfernt.

end

Gilt nur im ressourcenspezifischen Geltungsbereich. Beendet die Ressourcenspezifikation.

Anschließend überprüft der Befehl zonecfg, ob die aktuelle Ressource vollständig angegeben wurde.

• Wenn die Ressource vollständig angegeben wurde, wird sie der im Arbeitsspeicher befindlichen Konfiguration hinzugefügt und der globale Geltungsbereich wiederhergestellt.

• War die Spezifikation unvollständig, zeigt das System eine Fehlermeldung an und beschreibt, was noch ausgeführt werden muss.

cancel

Gilt nur im ressourcenspezifischen Geltungsbereich. Beendet die Ressourcenspezifikation und stellt den globalen Geltungsbereich wieder her. Alle teilweise angegebenen Ressourcen werden nicht erhalten.

delete

Löscht die angegebene Konfiguration vollständig. Löscht die Konfiguration sowohl aus dem Arbeitsspeicher als auch vom Speicherort. Sie müssen die Option -F zusammen mit dem Befehl delete verwenden.

---

Achtung –

Diese Aktion findet unmittelbar statt. Es ist keine Bestätigung erforderlich. Eine gelöschte Zone kann nicht wiederhergestellt werden.

---

info

Zeigt Informationen über die aktuelle Konfiguration oder die globalen Ressourceneigenschaften zonepath, autoboot und pool an. Wenn ein Ressourcentyp angegeben wurde, werden nur Informationen zu diesem Ressourcentyp angezeigt. Bei einem ressourcenspezifischen Geltungsbereich gilt dieser Unterbefehl nur für die hinzugefügte oder modifizierte Ressource.

verify

Überprüft die aktuelle Konfiguration auf Richtigkeit. Stellt sicher, dass für alle Ressourcen alle erforderlichen Eigenschaften angegeben wurden.

commit

Überführt die aktuelle Konfiguration aus dem Arbeitsspeicher an einen Festspeicherort. Bis die im Arbeitsspeicher befindliche Konfiguration übernommen wurde, können Änderungen mit dem Unterbefehl revert rückgängig gemacht werden. Eine Konfiguration muss mit dem Befehl zoneadm übernommen werden. Dieser Vorgang wird automatisch versucht, wenn Sie eine zonecfg-Sitzung abschließen. Weil nur eine korrekte Konfiguration übernommen werden kann, führt der commit-Vorgang automatisch eine Überprüfung durch.

revert

Setzt die Konfiguration auf den zuletzt übernommenen Status zurück.

exit

Beendet die zonecfg-Sitzung. Mit dem Befehl exit können Sie auch die Option -F (Erzwingen) verwenden.

Ein commit-Vorgang wird ggf. automatisch versucht. Auch ein EOF-Zeichen kann zum Beenden der Sitzung verwendet werden.

zonecfg Befehlsdatei-Modus

Im Befehlsdatei-Modus erfolgt die Eingabe aus einer Datei. Zum Erzeugen dieser Datei wird der unter zonecfg Interaktiver Modus beschriebene Unterbefehl export verwendet. Die Konfiguration kann über das standardmäßige Ausgabegerät gedruckt oder mit der Option -f an eine bestimmte Ausgabedatei gesendet werden.

Konfigurationsdaten in einer Zone

Daten einer Zonenkonfiguration setzen sich aus zwei Arten von Einheiten zusammen: Ressourcen und Eigenschaften. Jede Ressource weist einen Typ auf, und jede Ressource verfügt über ein Set mit mindestens einer Eigenschaft. Die Eigenschaften haben Namen und Werte. Die Eigenschaftensets hängen vom Ressourcentyp ab.

Ressourcen- und Eigenschaftentypen

Ressourcen- und Eigenschaftentypen lassen sich wie folgt beschreiben:

Zonenname

Der Zonenname identifiziert die Zone gegenüber dem Konfigurationsdienstprogramm. Für Zonennamen gelten die folgenden Regeln:

• Jede Zone muss über einen eindeutigen Namen verfügen.

• Der Zonenname ist abhängig von der Groß-/Kleinschreibung.

• Der Zonenname muss mit einem alphanumerischen Zeichen beginnen.

  Der Name kann alphanumerische Zeichen, Unterstriche (_), Bindestriche (-) und Punkte (.) enthalten .

• Der Name darf nicht mehr als 64 Zeichen umfassen.

• Der Name global und alle Namen, die mit SUNW beginnen, sind reserviert und können nicht verwendet werden.

zonepath

Die Eigenschaft zonepath ist der Pfad zum Stammverzeichnis (Root) der Zone. Jede Zone verfügt über ein root-Verzeichnis, das sich im Dateisystem der globalen Zone unter dem entsprechenden zonepath befindet. Während der Installation der Zone wird die zonepath-Verzeichnishierarchie mit dem entsprechenden Eigentümer und Modus erstellt. Der Eigentümer des zonepath-Verzeichnisses muss root mit dem Modus 700 sein.

Der Root-Verzeichnispfad der nicht-globalen Zone befindet sich eine Ebene niedriger. Das Root-Verzeichnis der Zone weist den gleichen Eigentümer und Berechtigungen wie das Root-Verzeichnis (/) der globalen Zone auf. Der Eigentümer des Zonen-Verzeichnisses muss root mit dem Modus 755 sein. Diese Verzeichnisse werden automatisch mit den richtigen Berechtigungen erstellt. Es ist keine Überprüfung durch den Zonenadministrator erforderlich. Diese Hierarchie stellt sicher, dass das Dateisystem einer nicht-globalen Zone nicht von nicht-berechtigten Benutzern in der globalen Zone durchlaufen werden kann.

Pfad	Beschreibung
/home/export/my-zone	zonecfg zonepath
/home/export/my-zone/root	Root der Zone
/home/export/my-zone/dev	Für die Zone erstellte Geräte

Weitere Informationen zu diesem Thema finden Sie unter Durchlaufen von Dateisystemen.

---

Hinweis –

Informationen zu den ZFS-Einschränkungen für dieses Release finden Sie unter Solaris 10 6/06, Solaris 10 11/06, Solaris 10 8/07 und Solaris 10 5/08: Das Root-Dateisystem einer nicht-globalen Zone nicht auf einem ZFS ablegen.

---

autoboot

Wenn diese Eigenschaft auf „true“ gesetzt ist, wird die Zone bei einem Neustart der globalen Zone automatisch gebootet. Beachten Sie, dass wenn der Zonenservice svc:/system/zones:default deaktiviert ist, in die Zone ungeachtet der Einstellung für diese Eigenschaft nicht automatisch gebootet wird. Sie können den Zonenservice mit dem in der Manpage svcadm(1M) beschriebenen Befehl svcadm aktivieren:

global# svcadm enable zones

bootargs

Solaris 10 8/07: Mit dieser Eigenschaft wird ein Boot-Argument für die Zone eingerichtet. Das Boot-Argument wird angewendet, sofern es nicht durch die Befehle reboot, zoneadm boot oder zoneadm reboot außer Kraft gesetzt wird. Lesen Sie dazu Solaris 10 8/07: Boot-Argumente in einer Zone.

pool

Mit dieser Eigenschaft wird die Zone einem Ressourcenpool auf dem System zugewiesen. Mehrere Zonen können die Ressourcen eines Pools nutzen. Lesen Sie dazu auch Solaris 10 8/07: dedicated-cpu-Ressource.

limitpriv

Solaris 10 11/06 und höher: Diese Eigenschaft dient zur Angabe einer anderen Berechtigungsmaske als der Standardmaske. Lesen Sie dazu Berechtigungen in einer nicht-globalen Zone.

Berechtigungen werden hinzugefügt, indem Sie den Berechtigungsnamen mit oder ohne einem einleitenden priv_ angeben. Berechtigungen werden ausgeschlossen, indem Sie einen Bindestrich (-) oder ein Ausrufezeichen (!) vor dem Namen eingeben. Die Werte der Berechtigung werden durch Kommata voneinander getrennt und stehen zwischen Anführungszeichen (“).

Die speziellen Berechtigungssets none, allund basic erweitern die normalen Definitionen. Genauere Informationen hierzu finden Sie unter priv_str_to_set(3C) Da die Zonenkonfiguration in der globalen Zone stattfindet kann das spezielle Berechtigungsset zone nicht verwendet werden. Das standardmäßige Berechtigungsset wird häufig durch Hinzufügen oder Entfernen von Berechtigungen geändert. Mit dem Spezialset defaultkönnen Sie die standardmäßigen Berechtigungen wieder herstellen. Wenn default am Anfang der Eigenschaft limitpriv steht, wird sie zum Standardset erweitert.

Der folgende Eintrag fügt die Fähigkeit hinzu, DTrace-Programme zu verwenden, die nur die Berechtigungen dtrace_proc und dtrace_user in der Zone benötigen:

global# zonecfg -z userzone zonecfg:userzone> set limitpriv="default,dtrace_proc,dtrace_user"

Enthält das Berechtigungsset einer Zone eine nicht zulässige Berichtigung, fehlt eine erforderliche Berechtigung oder umfasst es eine unbekannte Berechtigung, schlägt der Versuch, die Zone zu überprüfen, fertig zu stellen oder zu booten fehl und es wird eine Fehlermeldung angezeigt.

scheduling-class

Solaris 10 8/07: Diese Eigenschaft legt die Scheduling-Klasse der Zone fest. Weitere Informationen und Tipps finden Sie unter Scheduling-Klasse in einer Zone.

ip-type

Solaris 10 8/07: Diese Eigenschaft muss nur dann eingerichtet werden, wenn es sich bei der Zone um eine Exclusive IP-Zone handelt. Lesen Sie dazu Solaris 10 8/07: Nicht-globale Exclusive IP-Zonen und So konfigurieren Sie die Zone.

dedicated-cpu

Solaris 10 8/07: Diese Ressource reserviert während der Ausführung einen bestimmten Bereich der Systemprozessoren für die Zone. Die Ressource dedicated-cpu stellt Grenzwerte für ncpus und optional für importance bereit. Weitere Informationen finden Sie unter Solaris 10 8/07: dedicated-cpu-Ressource.

capped-cpu resource

Solaris 10 5/08: Diese Ressource gibt einen Grenzwert für die CPU-Ressourcen an, die von einer Zone, während sie läuft, beansprucht werden können. Die Ressource gibt einen Grenzwert für ncpus an.

capped-memoryRessource

Solaris 10 8/07: Diese Ressource gruppiert die verwendeten Eigenschaften, wenn das Memory Capping für die Zone eingesetzt wird. Die Ressource capped-memory bietet Grenzwerte für den reellen (physical), ausgelagerten (swap) und gesperrten (locked) Speicher. Mindestens eine dieser Eigenschaften muss angegeben werden.

dataset

Solaris 10 6/06: Das Hinzufügen einer ZFS-Dateisystemressource ermöglicht das Delegieren der Speicherverwaltung an eine nicht-globale Zone. Der Zonenadministrator kann Dateisysteme innerhalb dieses Datasets erstellen und löschen, Klone erstellen und löschen und die Eigenschaften des Datasets bearbeiten. Der Zonenadministrator kann keine Datasets beeinflussen, die der Zone nicht zugewiesen wurden oder mögliche Top Level-Kontingente überschreiten, die für das Dataset eingerichtet wurden, das der Zone zugewiesen ist.

ZFS-Datasets können einer Zone auf verschiedene Arten hinzugefügt werden.

• Als ein LOFS-mounted Dateisystem, wenn das Ziel nur das gemeinsame Nutzen von Speicherplatz mit der globalen Zone ist

• Als ein delegiertes Dataset

Lesen Sie dazu Kapitel 10, Fortgeschrittene Oracle Solaris ZFS-Themen in Oracle Solaris ZFS-Administrationshandbuch und Dateisysteme und nicht-globale Zonen.

Weitere Informationen zu Datasets finden Sie auch in Kapitel 30Behebung von verschiedenen Problemen mit Solaris Zones.

fs

Jede Zone kann über verschiedene Dateisysteme verfügen, die eingehängt werden, wenn die Zone vom Status „installed“ in den Status „ready“ übergeht. Die Dateisystemressource gibt den Pfad zum Einhängepunkt des Dateisystems an. Weitere Informationen zur Verwendung von Dateisystemen in Zonen finden Sie unter Dateisysteme und nicht-globale Zonen.

inherit-pkg-dir

Diese Ressource darf nicht in der Whole Root Zone konfiguriert werden.

In einer Sparse Root Zone dient die Ressource inherit-pkg-dir zum Darstellen der Verzeichnisse, die Softwarepakete enthalten, die eine nicht-globale Zone gemeinsam mit der globalen Zone nutzt.

Die Inhalte der Softwarepakete, die in das Verzeichnis inherit-pkg-dir übertragen wurden, werden von der nicht-globalen Zone im schreibgeschützten Modus übernommen. Die Paketdatenbank der Zone wird aktualisiert, um die Pakete widerzuspiegeln. Nachdem die Zone mit zoneadm installiert wurde, können diese Ressourcen nicht mehr geändert oder entfernt werden.

---

Hinweis –

In der Konfiguration sind vier inherit-pkg-dir-Standardressourcen enthalten. Diese Verzeichnisressourcen kennzeichnen, welche Verzeichnisse ihre zugehörigen Pakete von der globalen Zone übernehmen sollen. Die Ressourcen werden über ein schreibgeschütztes Dateisystem implementiert, auf das als Loopback-Mount zugegriffen wird.

• /lib

• /platform

• /sbin

• /usr

---

net

Die Netzwerkschnittstellenressource ist der Schnittstellenname. Jede Zone kann über verschiedene Netzwerkschnittstellen verfügen, die eingerichtet werden, wenn die Zone vom Status „installed“ in den Status „ready“ übergeht.

device

Die Geräteressource ist der Bezeichner für die Geräteentsprechung. Jede Zone kann über Geräte verfügen, die konfiguriert werden, wenn die Zone vom Status „installed“ in den Status „ready“ übergeht.

rctl

Die Ressource rctl wird für zonenweite Resource Controls verwendet. Die Resource Controls werden aktiviert, wenn die Zone vom Status „installed“ in den Status „ready“ übergeht.

hostid

Es kann eine hostid festgelegt werden, die sich von der hostid der globalen Zone unterscheidet.

attr

Dieses generische Attribut kann für Benutzerkommentare oder von anderen Untersystemen verwendet werden. Die Eigenschaft Name eines attr muss mit einem alphanumerischen Zeichen beginnen. Die Eigenschaft name kann alphanumerische Zeichen, Bindestriche (-) und Punkte (.) enthalten. Attributnamen, die mit zone beginnen, sind für die Verwendung durch das System reserviert.

Ressourcentypeigenschaften

Auch Ressourcen besitzen Eigenschaften, die konfiguriert werden können. Die folgenden Eigenschaften sind den aufgeführten Ressourcentypen zugeordnet.

dedicated-cpu

ncpus, importance

Solaris 10 8/07: Geben Sie die Anzahl der CPUs und optional die relative Wichtigkeit des Pools an. Das folgende Beispiel gibt einen CPU-Bereich an, der von der Zone my-zone verwendet werden kann. importance wird ebenfalls gesetzt.

zonecfg:my-zone> add dedicated-cpu zonecfg:my-zone:dedicated-cpu> set ncpus=1-3 zonecfg:my-zone:dedicated-cpu> set importance=2 zonecfg:my-zone:dedicated-cpu> end

capped-cpu

ncpus

Legt die Anzahl der CPUs fest. Das folgende Beispiel gibt einen CPU-Ressourcengrenzwert von 3,5 CPUs an, die von der Zone my-zone verwendet werden können.

zonecfg:my-zone> add capped-cpu zonecfg:my-zone:capped-cpu> set ncpus=3.5 zonecfg:my-zone:capped-cpu> end

capped-memory

physical, swap, locked

Legen Sie die Speichergrenzen für die Zone my-zone fest. Jeder Grenzwert ist optional, es muss aber mindestens ein Grenzwert eingerichtet sein.

zonecfg:my-zone> add capped-memory zonecfg:my-zone:capped-memory> set physical=50m zonecfg:my-zone:capped-memory> set swap=100m zonecfg:my-zone:capped-memory> set locked=30m zonecfg:my-zone:capped-memory> end

fs

dir, special, raw, type, options

Die Ressourcenparameter fs liefern die Werte, mit denen festgelegt wird, wie und wann Dateisysteme eingehängt werden. Die Parameter fs sind wie folgt definiert:

dir

Gibt den Einhängepunkt für das Dateisystem an

special

Gibt den Block-spezifischen Gerätenamen oder das Verzeichnis an, aus dem von der globalen Zone aus eingehängt wird

raw

Gibt das Raw-Gerät an, auf dem fsck ausgeführt wird, bevor das Dateisystem eingehängt wird

type

Gibt den Dateisystemtyp an

options

Gibt Einhängeoptionen ähnlich denen an, die für den Befehl mount gelten

Die Zeilen im folgenden Beispiel geben an, dass /dev/dsk/c0t0d0s2 in der globalen Zone als /mnt in der zu konfigurierenden Zone eingehängt wird. Die Eigenschaft raw gibt ein optionales Gerät an, auf dem der Befehl fsck ausgeführt wird, bevor versucht wird, das Dateisystem einzuhängen. Der zu verwendende Dateisystemtyp ist UFS. Die Optionen nodevices und logging wurden hinzugefügt.

zonecfg:my-zone> add fs zonecfg:my-zone:fs> set dir=/mnt zonecfg:my-zone:fs> set special=/dev/dsk/c0t0d0s2 zonecfg:my-zone:fs> set raw=/dev/rdsk/c0t0d0s2 zonecfg:my-zone:fs> set type=ufs zonecfg:my-zone:fs> add options [nodevices,logging] zonecfg:my-zone:fs> end

Weitere Informationen finden Sie unter Die Option -o nosuid, Sicherheitseinschränkungen und Dateisystemverhalten und in den Manpages fsck(1M) und mount(1M). Beachten Sie, dass 1M Manpages für Einhängeoptionen zur Verfügung stehen, die nur für ein bestimmtes Dateisystem gelten. Die Namen dieser Manpages weisen das Format mount_Dateisystem auf.

---

Hinweis –

Zum Hinzufügen eines ZFS-Dateisystems verwenden Sie die Ressourceneigenschaft fs. Lesen Sie dazu Hinzufügen von ZFS-Dateisystemen zu einer nicht-globalen Zone in Oracle Solaris ZFS-Administrationshandbuch.

---

dataset

name

Die Zeilen im folgenden Beispiel geben an, dass das Dataset sales in der nicht-globalen Zone eingehängt und dort sichtbar ist. In der globalen Zone ist das Dataset nicht mehr sichtbar.

zonecfg:my-zone> add dataset zonecfg:my-zone> set name=tank/sales zonecfg:my-zone> end

inherit-pkg-dir

dir

Die Zeilen im folgenden Beispiel geben an, dass /opt/sfw als Loopback-Mount von der globalen Zone aus eingehängt wird.

zonecfg:my-zone> add inherit-pkg-dir zonecfg:my-zone:inherit-pkg-dir> set dir=/opt/sfw zonecfg:my-zone:inherit-pkg-dir> end

net

address, physical, defrouter,

---

Hinweis –

Bei einer Shared IP-Zone werden sowohl IP-Adresse als auch Gerät angegeben. Optional kann der Standard-Router festgelegt werden.

• Mit der Eigenschaft defrouter können Sie eine Standardroute einstellen, wenn sich die nicht-globale Zone in einem Teilnetz befindet, das nicht in der globalen Zone konfiguriert ist.

• Jede Zone, für die die Eigenschaft defrouter eingestellt ist, muss sich in einem Teilnetz befinden, das nicht in der globalen Zone konfiguriert ist.

Wenn sich Shared-IP-Zonen in verschiedenen Teilnetzen befinden, konfigurieren Sie kein Data-Link in der globalen Zone.

Bei einer Exclusive IP-Zone wird nur die physische Schnittstelle angegeben. Die physische Eigenschaft kann eine VNIC sein.

---

Im folgenden Beispiel für eine Shared IP-Zone wird die IP-Adresse 192.168.0.1 zur Zone hinzugefügt. Die Karte hme0 wird als physikalische Schnittstelle verwendet. Um zu ermitteln, welche physikalische Schnittstelle verwendet werden muss, geben Sie ifconfig -a auf dem System ein. Jede Zeile der Ausgabe (mit Ausnahme der Loopback-Treiberzeilen) beginnt mit dem Namen der im System installierten Karte. Zeilen, die LOOPBACK in den Beschreibungen enthalten, gelten nicht für Karten.

zonecfg:my-zone> add net zonecfg:my-zone:net> set physical=hme0 zonecfg:my-zone:net> set address=192.168.0.1 zonecfg:my-zone:net> end

Im folgenden Beispiel für eine Exclusive IP-Zone wird die Verbindung bge32001 als physikalische Schnittstelle verwendet. Geben Sie den Befehl dladm show-link ein, um festzustellen, welche Data-Links verfügbar sind. Die Data-Link muss GLDv3 sein, damit sie mit Exclusive IP-Zonen verwendet werden kann. Nicht-GLDv3-Data-Links werden als type: legacy in der dladm show-link-Ausgabe angezeigt. Beachten Sie, dass ip-type=exclusive ebenfalls angegeben sein muss.

zonecfg:my-zone> set ip-type=exclusive zonecfg:my-zone> add net zonecfg:my-zone:net> set physical=bge32001 zonecfg:my-zone:net> end

device

match

Im folgenden Beispiel wird ein /dev/pts-Gerät in eine Zone aufgenommen.

zonecfg:my-zone> add device zonecfg:my-zone:device> set match=/dev/pts* zonecfg:my-zone:device> end

rctl

name, value

Solaris 10 8/07: Die neuen Resource Controls für dieses Release sind zone.max-locked-memory , zone.max-msg-ids, zone.max-sem-ids, zone.max-shm-ids, zone.max-shm-memory und zone.max-swap.

Die folgenden zonenweiten Resource Controls sind verfügbar:

• zone.cpu-shares (preferred: cpu-shares )

• zone.max-locked-memory

• zone.max-lwps (bevorzugt: max-lwps)

• zone.max-msg-ids (bevorzugt: max-msg-ids)

• zone.max-sem-ids (bevorzugt: max-sem-ids)

• zone.max-shm-ids (bevorzugt: max-shm-ids)

• zone.max-shm-memory (bevorzugt: max-shm-memory)

• zone.max-swap

Eine zonenweite Resource Control lässt sich einfacher einrichten, wenn Sie den Eigenschaftennamen anstelle der Ressource rctl verwenden. Dies wird unter So konfigurieren Sie die Zone gezeigt. Wenn die Einträge einer zonenweiten Resource Control mit add rctl konfiguriert werden, weicht das Format von den Resource Control-Einträgen in der project-Datenbank ab. In einer Zonenkonfiguration besteht der Ressourcentyp rctl aus drei Name/Wert-Paaren. Die Namen sind priv, limit und action. Jeder Name akzeptiert einen einfachen Wert.

zonecfg:my-zone> add rctl zonecfg:my-zone:rctl> set name=zone.cpu-shares zonecfg:my-zone:rctl> add value (priv=privileged,limit=10,action=none)zonecfg:my-zone:rctl> end

zonecfg:my-zone> add rctl zonecfg:my-zone:rctl> set name=zone.max-lwps zonecfg:my-zone:rctl> add value (priv=privileged,limit=100,action=deny) zonecfg:my-zone:rctl> end

Allgemeine Informationen zu Resource Controls und Attributen finden Sie in Kapitel 6Einführung in die Resource Controls und unter Resource Controls in nicht-globalen Zonen.

attr

name, type, value

Im folgenden Beispiel wird ein Kommentar über eine Zone hinzugefügt.

zonecfg:my-zone> add attr zonecfg:my-zone:attr> set name=comment zonecfg:my-zone:attr> set type=string zonecfg:my-zone:attr> set value="Production zone" zonecfg:my-zone:attr> end

Sie können den Unterbefehl export verwenden, um eine Zonenkonfiguration über das standardmäßige Ausgabegerät zu drucken. Die Konfiguration wird in einem Format gespeichert, das in einer Befehlsdatei verwendet werden kann.

Befehlszeilen-Bearbeitungsbibliothek Tecla

Die Befehlszeilen-Bearbeitungsbibliothek Tecla kann mit dem Befehl zonecfg verwendet werden. Die Bibliothek bietet einen Mechanismus zur Speicherung des Befehlszeilenverlaufs und unterstützt die Bearbeitung.

Die Befehlszeilen-Bearbeitungsbibliothek Tecla ist in den folgenden Manpages dokumentiert:

• enhance(1)

• libtecla(3LIB )

• ef_expand_file(3TECLA)

• gl_get_line(3TECLA)

• gl_io_mode(3TECLA)

• pca_lookup_file(3TECLA)

• tecla(5)