Partie II Zones

Cette partie présente la technologie de partitionnement du logiciel Solaris Zones laquelle permet de rendre virtuels les services du système d'exploitation dans le but de créer un environnement isolé pour l'exécution des applications. Ce partitionnement empêche les processus en cours d'exécution dans une zone d'analyser ou d'affecter les processus en cours d'exécution dans d'autres zones.

Chapitre 16 Introduction aux zones Solaris

L'utilitaire Solaris Zones du système d'exploitation Solaris permet de disposer d'un environnement isolé pour y exécuter des applications sur le système. Les zones Solaris sont des composants de l'environnement Solaris Container

Ce chapitre comprend les sections suivantes :

• Présentation des zones

• Utilité des zones

• Fonctionnement des zones

• Fonctions fournies par les zones non globales

• Paramétrage des zones sur le système (liste des tâches)

Pour passer directement à la création de zones, allez au Chapitre 17Configuration des zones non globales (présentation).

Présentation des zones

La technologie de partitionnement Solaris Zones permet de virtualiser les services des systèmes d'exploitation et fournit un environnement isolé et sécurisé pour l'exécution des applications. Une zone est un environnement de système d'exploitation virtualisé, créé au sein d'une instance unique du système d'exploitation Solaris. En créant une zone, vous créez un environnement d'exécution d'applications dans lequel les processus sont isolés du reste du système. Cela empêche les processus exécutés dans une zone de contrôler ou d'affecter les processus exécutés dans d'autres zones. Ainsi, même un processus exécuté avec les informations d'identification du superutilisateur ne peut affecter l'activité des autres zones.

Toute zone fournit également une couche abstraite qui sépare les applications des attributs physiques de la machine sur laquelle elles sont déployées, par exemple les chemins d'accès aux périphériques physiques.

L'utilitaire Zones peut être utilisé sur toute machine équipée de Solaris 10 ou version plus récente. La nombre maximum de zones sur un système est 8192. Le nombre de zones pouvant être hébergées sur un même système est en fait déterminé par les besoins en ressources totaux de l'application exécutée sur toutes les zones.

Dans la version Solaris 10, il existe deux modèles de systèmes de fichiers racine de zones non globales : à racine fragmentée et à racine entière. Le modèle à racine fragmentée optimise le partage des objets. Le modèle à racine entière offre une capacité de configuration maximale. Ces concepts font l'objet d'une explication détaillée dans le Chapitre 18Planification et configuration de zones non globales (tâches).

Solaris 10 9/10 : les produits installés, appelés ressources système, sont contrôlés par une fonction d'enregistrement automatique. Lors de l'installation, l'utilisateur fournit des informations d'identification ou s'enregistre de manière anonyme. Lors de la réinitialisation du système, les balises de service des nouveaux produits sont chargées sur le serveur My Oracle Support. Cette fonction n'est disponible que dans la zone globale. Pour plus d'informations, reportez-vous au System Administration Guide: Basic Administration .

À propos des zones marquées

Les zones marquées (BrandZ) forment le cadre pour créer des conteneurs qui contiennent des ensembles alternatifs de comportements d'exécution. La marque peut renvoyer à un large éventail d'environnements d'exploitation. Par exemple, la zone non globale peut émuler le système d'exploitation Solaris 8 ou un environnement d'exploitation tel que Linux.

La marque définit l'environnement d'exploitation qu'il est possible d'installer dans la zone et détermine comment le système se comportera au sein de la zone, afin que le logiciel installé dans cette zone fonctionne correctement. En outre, une marque de zone identifie le type correct d'application au lancement de celle-ci. La gestion des zones marquées est assurée par le biais d'extensions des commandes de zones standard. La plupart des procédures d'administration sont identiques à toutes les zones.

Les deux marques suivantes sont prises en charge sur les machines SPARC exécutées sous le système d'exploitation Solaris 10 8/07 ou sous une version ultérieure de Solaris 10 :

• Les conteneurs Solaris 8, de la marque solaris8, sont décrits dans le System Administration Guide: Solaris 8 Containers

• Les conteneurs Solaris 9, de la marque solaris9, sont décrits dans le System Administration Guide: Solaris 9 Containers

Les autres marques prises en charge sur le système d'exploitation Solaris 10 sont les suivantes :

• La marque Linux lx, pour systèmes x86 et x64, décrite à la Partie III, Zones marquées lx

• La marque cluster, décrite à la page Sun Cluster 3.2 1/09 Software Collection for Solaris OS du site docs.sun.com.

Vous pouvez configurer et installer des zones marquées sur un système Solaris de confiance dont les étiquettes sont activées. Cependant, vous ne pouvez pas initialiser les zones marquées sur cette configuration système.

Utilité des zones

Les zones sont idéales pour les environnements consolidant plusieurs applications sur un serveur unique. La gestion de plusieurs machines pouvant s'avérer coûteuse et complexe, il est intéressant de consolider plusieurs applications sur de gros serveurs, plus évolutifs.

Le système de la figure ci-dessous comporte quatre zones. Les tâches sont exécutées de manière indépendante dans chacune des zones (apps, users et work) de l'environnement consolidé. Cet exemple montre comment différentes versions d'une même application peuvent être exécutées sans inconvénient dans différentes zones, afin de répondre aux exigences de consolidation. Chaque zone fournit un ensemble personnalisé de services.

Figure 16–1 Exemple de consolidation de serveurs de zones

Les zones permettent d'utiliser plus efficacement les ressources du système. La réallocation dynamique offre la possibilité de déplacer les ressources non utilisées vers d'autres conteneurs. L'isolement des erreurs et des violations de la sécurité évite par ailleurs d'avoir recours à un système dédié, et donc sous-utilisé, pour les applications à risques. Grâce aux zones, vous pouvez les consolider avec d'autres applications.

Les zones permettent également de déléguer certaines fonctions administratives pendant la maintenance de l'ensemble de la sécurité du système.

Fonctionnement des zones

Une zone non globale peut être considérée comme une boîte dans laquelle vous pouvez exécuter une ou plusieurs applications sans interférer avec le reste du système. Les zones Solaris isolent les applications et les services à l'aide de limites flexibles, définies à l'échelle logicielle. Les applications exécutées dans une même instance du système d'exploitation Solaris peuvent être gérées indépendamment les unes des autres. Vous pouvez donc exécuter différentes versions d'une même application dans différentes zones, en fonction des exigences de la configuration.

Tout processus assigné à une zone peut manipuler, contrôler et communiquer directement avec les autres processus assignés à cette même zone. Cela est toutefois impossible si ces processus sont assignés à d'autres zones du système ou ne sont assignés à aucune zone. Les processus assignés à différentes zones peuvent uniquement communiquer via les API du réseau.

À partir de la version Solaris 10 8/07, le réseau IP peut être configuré de deux façons, selon que la zone possède sa propre instance IP ou partage l'état et la configuration de la couche IP avec la zone globale. Pour plus d'informations sur les types d'IP dans les zones, reportez-vous à la section Interfaces réseau de zones. Pour en savoir plus sur la configuration, reportez-vous à la section Configuration d'une zone.

Tout système Solaris contient une zone globale. La zone globale a deux fonctions principales. La zone globale est à la fois la zone par défaut pour le système et la zone utilisée pour le contrôle administratif au niveau du système. En l'absence de zones non globales (nommées tout simplement zones), tous les processus exécutés dans la zone globale sont créés par l'administrateur global.

C'est la seule zone à partir de laquelle il est possible de configurer, d'installer, de gérer ou de désinstaller une zone non globale. Seule la zone globale peut être initialisée à partir du matériel système. L'administration de l'infrastructure du système, notamment les périphériques physiques, le routage dans une zone en mode IP partagé et la reconfiguration dynamique, n'est réalisable qu'à partir de la zone globale. Les processus auxquels sont affectés les privilèges adéquats et s'exécutant dans la zone globale peuvent accéder à des objets associés à d'autres zones.

Dans certains cas, les processus ne disposant pas de privilèges dans une zone globale peuvent exécuter des opérations non permises aux processus dotés de privilèges dans une zone non globale. Par exemple, les utilisateurs travaillant dans la zone globale peuvent consulter les informations relatives à tous les processus existant sur le système. Si cette capacité pose un problème pour votre site, vous pouvez limiter l'accès à la zone globale.

Chaque zone, y compris la zone globale, se voit assigner un nom. Celui de la zone globale est toujours global. Chaque zone possède également un identificateur numérique unique, qui lui est assigné par le système lors de son initialisation. L'ID de la zone globale est toujours 0. Vous trouverez des explications détaillées sur les noms et les ID de zones à la section Utilisation de la commande zonecfg.

Chaque zone possède aussi un nom de nœud, indépendant du nom de zone et assigné par l'administrateur de la zone. Pour plus d'informations, reportez-vous à la section Nom de nœud dans une zone non globale.

Le chemin du répertoire racine de chaque zone est lié au répertoire racine de la zone globale. Pour plus d'informations, reportez-vous à la section Utilisation de la commande zonecfg.

La classe de programmation des zones non globales est définie sur celle du système par défaut. Pour une explication détaillée des méthodes utilisées pour définir la classe de programmation dans une zone, reportez-vous à la section Classe de programmation dans une zone.

La commande priocntl décrite dans la page de manuel priocntl(1) permet de placer les processus en cours d'exécution dans une autre classe de programmation sans changer la classe de programmation par défaut et sans réinitialiser.

Résumé des caractéristiques des zones

Vous trouverez, dans le tableau ci-dessous, un résumé des caractéristiques des zones globales et non globales.

Administration de zones non globales

L'administrateur global possède des privilèges de superutilisateur ou joue le rôle d'administrateur principal. Lorsqu'il est connecté à une zone globale, l'administrateur global peut contrôler le système comme un tout.

Les zones non globales peuvent être administrées par un administrateur de zone. Le profil de gestion de zone correspondant lui est assigné par l'administrateur global. Les privilèges d'un administrateur de zone sont limités à une zone non globale.

Création de zones non globales

Pour configurer une zone, l'administrateur global utilise la commande zonecfg et spécifie différents paramètres concernant la plate-forme virtuelle et l'environnement applicatif. Il utilise ensuite la commande d'administration de zone zoneadm pour installer les logiciels au niveau du package dans l'arborescence de système de fichiers définie pour la zone. Il peut se connecter à la zone installée à l'aide de la commande zlogin. La première connexion marque la fin de la configuration interne de la zone. La commande zoneadm permet de l'initialiser.

Pour plus d'informations sur la configuration des zones, reportez-vous au Chapitre 17Configuration des zones non globales (présentation). Pour plus de détails sur l'installation des zones, reportez-vous au Chapitre 19À propos de l'installation, de l'arrêt, du clonage et de la désinstallation de zones non globales (présentation). Pour plus d'informations sur la connexion aux zones, reportez-vous au Chapitre 21Connexion à une zone non globale (présentation).

États des zones non globales

Les zones non globales peuvent se trouver dans différents états :

Configuré

La configuration de la zone est terminée et validée sur support de stockage stable. Cependant, les éléments devant être spécifiés après l'initialisation initiale de l'environnement applicatif de la zone ne sont pas encore présents.

Incomplet

Pendant l'installation ou la désinstallation, la commande zoneadm définit l'état de la zone cible sur Incomplet. Une fois l'opération correctement effectuée, l'état est défini sur l'état correct.

Installé

La configuration de la zone est instanciée sur le système. La commande zoneadm permet de s'assurer que la configuration peut être utilisée avec succès sur le système Solaris désigné. Les packages sont installés sous le chemin racine de la zone. Dans cet état, la zone n'a pas de plate-forme virtuelle associée.

Prêt

La plate-forme virtuelle de la zone est établie. Le noyau crée le processus zsched ; les interfaces réseau sont paramétrées et disponibles pour la zone ; les systèmes de fichiers sont montés et les périphériques configurés. Un ID de zone unique est attribué par le système. À ce stade, aucun processus associé à la zone n'a été démarré.

En cours d'exécution

Les processus utilisateur associés à l'environnement d'application de la zone sont en cours d'exécution. La zone passe à l'état En cours d'exécution dès que le premier processus utilisateur associé à l'environnement applicatif (init) est créé.

Arrêt en cours et hors service

Ces états sont des états transitoires qui sont visibles pendant l'arrêt de la zone. Cependant, une zone incapable de s'arrêter pour quelque raison que ce soit s'arrêtera dans l'un de ces états.

Le Chapitre 20Installation, initialisation, arrêt, désinstallation et clonage de zones non globales (tâches) et la page de manuel zoneadm(1M) décrivent l'utilisation de la commande zoneadm pour déclencher les transitions entre ces états.

Les paramètres modifiés par la commande zonecfg n'ont aucune incidence sur les zones en cours d'exécution. La zone doit être réinitialisée pour que les changements soient effectifs.

Caractéristiques des zones non globales

L'isolement assuré par les zones peut porter sur presque tous les niveaux de granularité souhaités. Une zone peut fonctionner sans CPU dédiée, périphérique physique ou toute autre partie de la mémoire physique. Ces ressources peuvent soit être multiplexées sur un certain nombre de zones en cours d'exécution au sein d'un domaine ou d'un système unique, soit être allouées zone par zone grâce aux fonctions de gestion de ressources disponibles sur le système d'exploitation.

Chaque zone fournit un ensemble personnalisé de services. Pour renforcer l'isolement des processus, il est possible de faire en sorte que seuls les processus existants d'une même zone soient détectés ou signalés. La communication entre les zones s'effectue en dotant chaque zone d'une connectivité réseau IP. Une application s'exécutant dans une zone ne peut observer le trafic réseau d'une autre zone. L'isolement est garanti même si les flux de paquets respectifs transitent par la même interface physique.

Une partie de l'arborescence du système de fichiers est attribuée à chacune des zones. Chaque zone étant confinée à sa subdivision de l'arborescence du système de fichiers, la charge s'exécutant dans une zone particulière ne peut accéder aux données sur disque d'une charge s'exécutant dans une autre zone.

Les fichiers utilisés par des services d'attribution de noms résident dans la vue du système de fichiers racine d'une zone. Les services d'attribution de noms des différentes zones sont ainsi isolés les uns des autres et les services peuvent être configurés différemment.

Utilisation des fonctions de gestion de ressources avec les zones non globales

Si vous utilisez des fonctions de gestion de ressources, vous devez aligner les limites des contrôles de gestion de ressources sur celles des zones. Cet alignement crée un modèle de machine virtuelle plus complet, dans lequel l'accès aux espaces de noms, l'isolement de sécurité et l'utilisation des ressources sont contrôlés.

Les exigences particulières relatives à l'utilisation des fonctions de gestion de ressources avec des zones sont traitées individuellement dans les chapitres consacrés à ces fonctions.

Fonctions fournies par les zones non globales

Les zones non globales assurent les fonctions suivantes :

Sécurité

Lorsqu'un processus a été placé dans une zone autre que la zone globale, ni ce processus ni aucun de ses fils ne peuvent être déplacés vers une autre zone.

Les services réseau peuvent être exécutés dans une zone. En exécutant les services réseau dans une zone, vous limitez les dommages éventuels en cas de violation de la sécurité. Les actions susceptibles d'être entreprises par un intrus ayant exploité une faille de sécurité dans un logiciel exécuté dans une zone se limitent à cette zone. Les privilèges disponibles dans une zone sont un sous-ensemble de ceux disponibles sur le système.

Isolement

Les zones permettent de déployer de nombreuses applications sur une même machine, même si ces applications s'exécutent sur des domaines de confiance différents, requièrent un accès exclusif à une ressource globale ou posent des problèmes dans le cas de configurations globales. Plusieurs applications exécutées dans différentes zones en mode IP partagé sur un même système peuvent par exemple être liées au même port réseau à l'aide des différentes adresses IP associées à chaque zone ou à l'aide de l'adresse générique. Cela évite que les applications contrôlent ou interceptent mutuellement leur trafic réseau, les données de leurs systèmes de fichiers ou l'activité de leurs processus.

Isolement du réseau

Lorsqu'il est nécessaire d'isoler une zone au niveau de la couche IP sur le réseau, par exemple en la connectant à des VLAN ou des LAN autres que la zone globale ou des zones non globales, pour des raisons de sécurité, la zone peut avoir une instance IP exclusive. La zone en mode IP exclusif peut être utilisée pour consolider les applications devant communiquer sur divers sous-réseaux sous différents VLAN ou LAN.

Les zones peuvent aussi être configurées comme des zones en mode IP partagé. Ces zones sont reliées au même VLAN ou au même LAN que la zone globale et partagent la configuration de routage IP avec celle-ci. Les zones en mode IP partagé possèdent des adresses IP séparées, mais partagent le reste de la configuration IP.

Virtualisation

Les zones fournissent un environnement virtuel qui peut cacher des détails tels que les périphériques physiques, l'adresse IP principale du système et le nom d'hôte aux applications. Un même environnement applicatif peut être mis à jour sur différentes machines physiques. L'environnement virtuel permet de séparer l'administration de chacune des zones. Les actions entreprises par un administrateur de zone dans une zone non globale n'ont aucune incidence sur le reste du système.

Granularité

L'isolement assuré par les zones peut porter sur presque tous les niveaux de granularité souhaités. Pour plus d'informations, reportez-vous à la section Caractéristiques des zones non globales.

Environnement

Les zones ne modifient pas l'environnement dans lequel les applications sont exécutées, excepté lorsque cela s'avère nécessaire pour atteindre les objectifs de sécurité et d'isolement voulus. Les zones ne possédant pas d'API ou d'ABI spécifique, il n'est pas nécessaire d'y porter les applications. Celles-ci s'exécutent dans l'environnement applicatif Solaris standard doté des interfaces correspondantes, avec certaines limitations. Ces limitations concernent essentiellement les applications qui tentent d'exécuter des opérations requérant des privilèges.

Les applications de la zone globale s'exécutent sans changement, que d'autres zones soient configurées ou non.

Paramétrage des zones sur le système (liste des tâches)

Vous trouverez dans le tableau ci-dessous une vue d'ensemble des tâches nécessaires au paramétrage initial des zones de votre système.

Chapitre 17 Configuration des zones non globales (présentation)

Ce chapitre constitue une introduction à la configuration des zones non globales.

Il comprend les sections suivantes :

• Nouveautés

• À propos des ressources dans les zones

• Configuration avant installation

• Composants des zones

• Utilisation de la commande zonecfg

• Modes d'exécution de zonecfg

• Données de configuration de zones

• Bibliothèque d'édition de ligne de commande Tecla

Après avoir étudié la configuration des zones, allez au Chapitre 18Planification et configuration de zones non globales (tâches) pour configurer les zones non globales en vue de leur installation sur le système.

Pour plus d'informations sur la configuration des zones marquées lx, reportez-vous au Chapitre 32Planification de la configuration de zone marquée lx (présentation) et au Chapitre 33Configuration de la zone marquée lx (tâches).

Nouveautés

Solaris 10 6/06 : ajout de la prise en charge du système de fichiers ZFS, y compris la capacité à ajouter une ressource de jeu de données dans une zone non globale native. Pour plus d'informations, reportez-vous à la section Propriétés des types de ressources.

Solaris 10 11/06 : prise en charge de privilèges configurables. Reportez-vous à la section Solaris 10 11/06 et versions ultérieures : privilèges configurables.

Solaris 10 8/07 : prise en charge des fonctionnalités suivantes pour la commande zonecfg :

• Meilleure intégration des fonctionnalités de gestion de ressources et des zones. La commande zonecfg peut désormais être utilisée pour configurer les pools temporaires, les limites de mémoire, la classe de programmation par défaut des zones et les alias de contrôle de ressource. Le paramétrage de la gestion des ressources ne comporte plus aucune étape manuelle. Des contrôles de ressources ont été ajoutés :

  • zone.max-locked-memory

  • zone.max-msg-ids

  • zone.max-sem-ids

  • zone.max-shm-ids

  • zone.max-shm-memory

  • zone.max-swap

• Possibilité d'utiliser la commande zonecfg dans la zone globale.

• Possibilité de spécifier un mode IP pour une zone. Deux modes IP sont disponibles pour les zones non globales : le mode IP partagé et le mode IP exclusif.

• Possibilité d'utiliser DTrace dans une zone en ajoutant les privilèges nécessaires par le biais de la propriété limitpriv.

• Possibilité d'utiliser des arguments d'initialisation dans une zone par le biais de la propriété bootargs.

Solaris 10 10/08 : La propriété defrouter a été ajoutée à la ressource net dans l'utilitaire zonecfg pour les zones non globales à IP partagé. Vous pouvez définir le routeur par défaut pour l'interface réseau à l'aide de cette propriété.

Vous trouverez une liste complète des nouvelles fonctionnalités de Solaris 10 et la description des différentes versions de Solaris dans le guide Nouveautés apportées à Oracle Solaris 10 9/10.

À propos des ressources dans les zones

Toute zone dotée de fonctionnalités de gestion de ressources est appelée conteneur. Dans un conteneur, les ressources pouvant être contrôlées sont notamment :

• Les pools de ressources ou CPU assignées, qui sont utilisés pour les ressources des machines partitionnées.

• Les contrôles de ressources, qui fournissent un mécanisme de contrainte des ressources système.

• La classe de programmation, qui permet de contrôler l'allocation des ressources CPU disponibles au sein des zones grâce à des parts relatives. Le nombre de parts de ressources CPU assignées à une zone est révélateur des charges de travail de cette zone.

Configuration avant installation

Avant d'installer une zone non globale et de l'utiliser sur un système, il faut la configurer.

La commande zonecfg permet de créer la configuration et de déterminer si les ressources et les propriétés spécifiées sont valides sur un système hypothétique. La vérification effectuée par zonecfg pour une configuration donnée consiste à :

• s'assurer qu'un chemin d'accès à la zone est spécifié ;

• vérifier que toutes les propriétés requises pour chaque ressource sont spécifiées.

Pour plus d'informations sur la commande zonecfg, reportez-vous à la page de manuel zonecfg(1M).

Composants des zones

Cette section porte sur les composants de zones, requis et optionnels, susceptibles d'être configurés. Vous trouverez de plus amples informations dans la section Données de configuration de zones.

Nom de zone et chemin d'accès

Vous devez nommer la zone et choisir le chemin qui permettra d'y accéder.

Initialisation automatique (autoboot) d'une zone

Le paramètre de propriété autoboot détermine si la zone est automatiquement initialisée en cas d'initialisation de la zone globale. Le service des zones, svc:/system/zones:default doit également être activé.

Association de pools de ressources

Si vous avez configuré des pools de ressources sur votre système, comme décrit dans le Chapitre 13Création et administration des pools de ressources (tâches), vous pouvez utiliser la propriété pool pour associer la zone à l'un des pools de ressources lorsque vous la configurez.

À partir de la version Solaris 10 8/07, même si aucun pool de ressources n'est configuré, vous pouvez spécifier, à l'aide de la ressource dedicated-cpu, qu'un sous-ensemble des processeurs du système doit être dédié à une zone non globale tant que celle-ci est en cours d'exécution. Le système crée de manière dynamique un pool temporaire destiné à être utilisé lorsque la zone est en cours d'exécution. Vous pouvez propager les paramètres du pool pendant les migrations en les spécifiant dans la commande zonecfg.

Toute configuration de zone utilisant un pool permanent défini par le biais de la propriété pool est incompatible avec un pool temporaire configuré à l'aide de la ressource dedicated-cpu. Vous ne pouvez définir que l'une de ces deux propriétés.

Solaris 10 8/07 : ressource dedicated-cpu

La ressource dedicated-cpu spécifie qu'un sous-ensemble des processeurs du système doit être dédié à une zone non globale tant que celle-ci est en cours d'exécution. Dès que la zone est initialisée, le système crée de manière dynamique un pool temporaire destiné à être utilisé lorsque la zone est en cours d'exécution.

Vous pouvez propager les paramètres du pool pendant les migrations en les spécifiant dans la commande zonecfg.

La ressource dedicated-cpu définit les limites de ncpus et éventuellement d'importance.

ncpus

Spécifie le nombre de CPU ou une plage de CPU (par exemple 2–4). Si vous optez pour une plage de CPU parce que vous souhaitez que le pool de ressources se comporte de manière dynamique, vous devez également :

• définir la propriété importance ;

• activer le service poold. Pour plus d'informations, reportez-vous à la section Solaris 10 11/06 et ultérieur : activation du service de pools de ressources dynamiques à l'aide de svcadm.

importance

Si, pour un plus grand dynamisme du pool de ressources, vous avez choisi d'utiliser une plage de CPU, définissez également la propriété importance. La propriété importance détermine l'importance relative du pool mais est optionnelle. Elle n'est nécessaire que si vous spécifiez une plage pour ncpus et utilisez des pools de ressources dynamiques gérés par poold. Si poold n'est pas en cours d'exécution, la propriété importance est ignorée. Si poold est en cours d'exécution et si la propriété importance n'a pas été définie, importance adopte par défaut la valeur 1. Pour plus d'informations, reportez-vous à la section Contrainte de propriété pool.importance.

Les ressources capped-cpu et dedicated-cpu sont incompatibles. L'instance de contrôle de ressource cpu-shares et la ressource dedicated-cpu sont incompatibles.

Solaris 10 5/08 : ressource capped-cpu

La ressource capped-cpu définit une limite absolue très précise de la quantité de ressources CPU qu'un projet ou une zone peut consommer. Associée aux jeux de processeurs, la capacité de CPU limite l'utilisation de ressources CPU au sein d'un jeu. La ressource capped-cpu possède une seule propriété ncpus, dont la valeur est un nombre décimal positif avec deux chiffres après la virgule. Cette propriété correspond aux unités de CPU. Cette ressource n'accepte pas de plage, mais elle accepte les nombres décimaux. Lorsque vous spécifiez la propriété ncpus, notez que la valeur 1 correspond à 100 pourcent d'une CPU. Ainsi, la valeur 1,25 équivaut à 125 pourcent, car 100 pourcent correspond à une CPU complète sur le système.

Les ressources capped-cpu et dedicated-cpu sont incompatibles.

Classe de programmation dans une zone

Vous pouvez utiliser l'ordonnanceur équitable (FSS, Fair Share Scheduler) pour contrôler l'allocation des ressources CPU disponibles aux différentes zones en fonction de leur charge de travail. Celle-ci se reflète dans le nombre de parts de ressources CPU que vous assignez à chaque zone. Même si vous n'utilisez pas FSS pour gérer l'allocation de ressources CPU aux zones, vous pouvez définir la classe de programmation des zones pour utiliser FSS de manière à pouvoir assigner des parts aux projets au sein des zones.

Lorsque vous définissez explicitement la propriété cpu-shares, l'ordonnanceur équitable sert de classe de programmation pour la zone concernée. Dans ce cas, il est cependant préférable de définir FSS comme classe de programmation par défaut du système à l'aide de la commande dispadmin. Toutes les zones disposent ainsi d'une part équitable des ressources CPU du système. Toute zone pour laquelle la propriété cpu-shares n'est pas définie utilise la classe de programmation par défaut du système. Pour définir la classe de programmation d'une zone, vous pouvez procéder de différentes façons :

• Dans la version Solaris 10 8/07, vous pouvez utiliser la propriété scheduling-class de zonecfg.

• Vous pouvez avoir recours à l'utilitaire de pools de ressources. Si la zone est associée à un pool dont la propriété pool.scheduler est définie sur une classe de programmation valide, les processus exécutés dans cette zone le sont dans cette classe de programmation par défaut. Reportez-vous aux sections Introduction aux pools de ressources et Association d'un pool avec une classe de programmation.

• Si l'instance de contrôle de ressource cpu-shares est définie et si vous n'avez pas défini FSS comme la classe de programmation pour la zone, zoneadmd s'en charge lors de l'initialisation de celle-ci.

• Si la classe de programmation n'est pas définie par toute autre action, la zone hérite de la classe de programmation par défaut du système.

Notez que vous pouvez utiliser la commande priocntl décrite dans la page de manuel priocntl(1) pour placer les processus en cours d'exécution dans une autre classe de programmation sans modifier la classe de programmation par défaut et sans réinitialiser.

Solaris 10 8/07 : contrôle de la mémoire physique et ressource capped-memory

La ressource capped-memory définit les limites des propriétés physical, swap et locked de la mémoire. Chaque limite est optionnelle, mais vous devez en définir au moins une.

• Déterminez les valeurs pour cette ressource si vous prévoyez de limiter la mémoire de la zone à l'aide de rcapd dans la zone globale. La propriété physical de la ressource capped-memory est utilisée par rcapd comme valeur max-rss pour la zone.

• La propriété swap de la ressource capped-memory permet de définir le contrôle de ressource zone.max-swap.

• La propriété locked de la ressource capped-memory permet de définir le contrôle de ressource zone.max-locked-memory.

Généralement, les applications ne bloquent pas une quantité importante de mémoire, mais vous pouvez décider de définir un verrouillage de mémoire si les applications de la zone sont susceptibles de bloquer de la mémoire. Si la confiance de la zone est un problème, vous pouvez définir la limite de mémoire verrouillée à 10 % de la mémoire physique du système, ou 10 % de la limite de mémoire physique de la zone.

Pour plus d'informations, reportez-vous au Chapitre 10Contrôle de la mémoire physique à l'aide du démon d'allocation restrictive (présentation), au Chapitre 11Administration du démon d'allocation restrictive (tâches), ainsi qu'à la section Configuration d'une zone. Pour définir temporairement une limitation de ressources pour une zone, reportez-vous à la section Spécification d'une limitation temporaire de ressources pour une zone.

Interfaces réseau de zones

Les interfaces réseau configurées à l'aide de la commande zonecfg pour doter les zones d'une connectivité réseau sont automatiquement paramétrées et placées dans la zone concernée lors de son initialisation.

La couche IP accepte et livre les paquets pour le réseau. Cette couche inclut le routage IP, le protocole de résolution d'adresse (ARP, Address Resolution Protocol), l'architecture de sécurité IP (IPsec, IP security architecture) et le filtrage IP.

Deux modes IP sont disponibles pour les zones non globales : le mode IP partagé et le mode IP exclusif. Les zones en mode IP partagé partagent une interface réseau et les zones en mode IP exclusif doivent posséder une interface réseau dédiée.

Pour plus d'informations sur les fonctionnalités IP dans chacun de ces cas, reportez-vous aux sections Mise en réseau dans des zones non globales en mode IP partagé et Solaris 10 8/07 : mise en réseau dans des zones non globales en mode IP exclusif.

Zones non globales en mode IP partagé

Par défaut, les zones sont en mode IP partagé. Elles doivent avoir une ou plusieurs adresses IP dédiées et possèdent le même état et la même configuration de couche IP que la zone globale. Vous devez utiliser l'instance d'IP partagé si les deux conditions suivantes sont vérifiées :

• La zone sera connectée à la même liaison de données que la zone globale. En d'autres termes, elle se trouvera sur les mêmes sous-réseaux IP.

• Vous n'avez pas besoin des autres capacités fournies par les zones en mode IP exclusif.

La commande zonecfg permet d'assigner une ou plusieurs adresses IP aux zones en mode IP partagé. Il convient également de configurer les noms des liaisons de données dans la zone globale.

Ces adresses sont associées à des interfaces réseau logiques. La commande ifconfig peut être utilisée dans la zone globale pour ajouter ou supprimer des interfaces logiques dans une zone en cours d'exécution. Pour plus d'informations, reportez-vous à la section Interfaces réseau en mode IP partagé.

Solaris 10 8/07 : zones non globales en mode IP exclusif

Les zones en mode IP exclusif disposent de fonctionnalités IP complètes.

Elles possèdent leur propre état en termes d'IP.

Cela inclut les fonctionnalités suivantes :

• la configuration automatique d'adresse sans état via DHCPv4 et IPv6 ;

• le filtrage IP, fonctionnalité NAT comprise ;

• le multiacheminement sur réseau IP (IPMP, IP Network Multipathing) ;

• le routage IP ;

• la commande ndd permettant de définir les paramètres TCP/UDP/SCTP, ainsi que les boutons de niveau IP/ARP ;

• Les protocoles IPsec (IP security) et IKE (Internet Key Exchange), qui automatisent l'approvisionnement en matériel de chiffrement authentifié pour l'association de sécurité IPsec.

Toute zone en mode IP exclusif se voit assigner son propre jeu de liaisons de données à l'aide de la commande zonecfg. La propriété physical de la ressource net permet d'assigner un nom de liaison de données tel que xge0, e1000g1 ou bge32001 à la zone. La propriété address de la ressource net n'est pas définie.

Notez que la liaison de données assignée active la commande snoop.

La commande dladm peut être utilisée avec la sous-commande show-linkprop pour afficher l'assignation de liaisons de données aux zones en mode IP exclusif en cours d'exécution. La commande dladm peut également être utilisée avec la sous-commande set-linkprop pour assigner des liaisons de données supplémentaires aux zones en cours d'exécution. Vous trouverez des exemples d'utilisation à la section Solaris 10 8/07 : gestion des liaisons de données dans les zones non globales en mode IP exclusif.

Dans les zones en mode IP exclusif en cours d'exécution, la commande ifconfig peut être utilisée pour définir la configuration IP, ajout et suppression d'interfaces logiques compris. Vous pouvez procéder comme pour une zone globale, à l'aide de sysidtools, comme décrit dans la page de manuel sysidcfg(4).

La configuration IP d'une zone en mode IP exclusif ne peut être affichée que depuis la zone globale, à l'aide de la commande zlogin. Reportez-vous à l'exemple ci-dessous.

global# zlogin zone1 ifconfig -a

Différences entre les zones non globales en modes IP partagé et IP exclusif en matière de sécurité

Dans une zone en mode IP partagé, les applications de la zone (superutilisateur compris) ne peuvent pas envoyer de paquets avec des adresses IP source autres que celles assignées à la zone par le biais de l'utilitaire zonecfg. Dans ce type de zone, il est impossible d'envoyer ou de recevoir des paquets de liaisons de données arbitraires (couche 2).

Par contre, dans les zones en mode IP exclusif, zonecfg attribue la totalité de la liaison de données spécifiée à la zone. Son superutilisateur peut donc envoyer des paquets usurpés sur ces liaisons de données, comme dans une zone globale.

Utilisation simultanée de zones non globales en modes IP partagé et IP exclusif

Les zones en mode IP partagé partagent la couche IP avec la zone globale alors que les zones en mode IP exclusif possèdent leur propre instance de la couche IP. Ces deux types de zones peuvent être utilisées sur une même machine.

Systèmes de fichiers montés dans une zone

En règle générale, les systèmes de fichiers montés dans une zone comportent :

• le jeu de systèmes de fichiers montés lors de l'initialisation de la plate-forme virtuelle ;

• le jeu de systèmes de fichiers montés dans l'environnement applicatif lui-même.

Il s'agit par exemple de :

• systèmes de fichiers spécifiés dans le fichier /etc/vfstab d'une zone ;

• montages AutoFS et montages amorcés automatiquement par AutoFS ;

• montages explicitement exécutés par un administrateur de zone.

Les montages exécutés dans l'environnement applicatif font l'objet de certaines restrictions qui empêchent l'administrateur de zone de refuser de fournir des services au reste du système ou de réaliser des opérations affectant les autres zones.

Des restrictions de sécurité sont par ailleurs associées au montage de certains systèmes de fichiers à l'intérieur d'une zone et d'autres systèmes de fichiers ont un comportement particulier lorsqu'ils sont montés dans une zone. Pour plus d'informations, reportez-vous à la section Systèmes de fichiers et zones non globales.

Périphériques configurés dans des zones

La commande zonecfg utilise un système basé sur des règles pour spécifier les périphériques qui doivent figurer dans une zone donnée. Les périphériques répondant à l'une de ces règles sont inclus dans le système de fichiers /dev de la zone. Pour plus d'informations, reportez-vous à la section Configuration d'une zone.

ID hôte dans les zones

Vous pouvez définir une propriété hostid pour la zone non globale différente de la propriété hostid de la zone globale. Cette action est effectuée sur une machine physique consolidée dans une zone à l'aide de la capacité P2V. Les applications se trouvant actuellement dans la zone peuvent dépendre de la propriété hostid d'origine. Il se peut également que vous ne puissiez pas mettre à jour la configuration de l'application. Pour plus d'informations, reportez-vous à la section Types de ressources et de propriétés.

Paramétrage des contrôles de ressources à l'échelle d'une zone

L'administrateur global peut définir des contrôles de ressources privilégiés à l'échelle d'une zone. L'intérêt de ces contrôles est de limiter l'utilisation des ressources totales pour l'ensemble des entités processus à l'intérieur d'une zone.

La commande zonecfg permet de spécifier ces limites, pour les zones globales et non globales. Reportez-vous à la section Configuration d'une zone.

À partir de la version Solaris 10 8/07, le meilleur moyen de paramétrer un contrôle de ressource à l'échelle d'une zone consiste à utiliser le nom de propriété au lieu de la ressource rctl.

Solaris 10 5/08 : le contrôle de ressource zone.cpu-cap définit une limite absolue pour la quantité de ressources CPU correspondant à une zone. La valeur 100 représente 100 pourcent d'une CPU pour le paramètre project.cpu-cap. La valeur 1,25 équivaut à 125 pourcent, car 100 pourcent correspond à une capacité de CPU complète sur le système.

Lors de la définition de la ressource capped-cpu, il est possible de définir un nombre décimal pour l'unité. La valeur correspond au contrôle de ressource zone.capped-cpu mais est réduite par 100. La valeur 1 équivaut à la valeur 100 pour le contrôle de ressource.

Le contrôle de ressource zone.cpu-shares permet de limiter le nombre de parts de CPU FSS pour une zone. Les parts de CPU sont tout d'abord allouées à la zone, puis subdivisées entre les projets à l'intérieur de celle-ci comme spécifié dans les entrées project.cpu-shares. Pour plus d'informations, reportez-vous à la section Utilisation de l'ordonnanceur FSS sur un système Solaris doté de zones. Le nom de propriété globale de ce contrôle est cpu-shares.

Le contrôle de ressource zone.max-locked-memory permet de limiter le volume de mémoire physique verrouillée mis à disposition d'une zone et le contrôle de ressource project.max-locked-memory de contrôler l'allocation de ce type de mémoire aux différents projets à l'intérieur de la zone. Voir le Tableau 6–1 pour plus d'informations.

Le contrôle de ressource zone.max-lwps renforce l'isolement en empêchant que la présence de trop nombreux LWP dans une zone affecte d'autres zones. Le contrôle de ressource project.max-lwps permet de contrôler l'allocation de la ressource LWP aux différents projets à l'intérieur de la zone. Voir le Tableau 6–1 pour plus d'informations. Le nom de propriété globale de ce contrôle est max-lwps.

Les contrôles de ressources zone.max-msg-ids, zone.max-sem-ids, zone.max-shm-ids et zone.max-shm-memory permettent de limiter les ressources System V utilisées par tous les processus à l'intérieur d'une zone. Vous pouvez contrôler l'allocation des ressources System V aux différents projets à l'intérieur de la zone à l'aide des versions de projet de ces contrôles de ressources. Les noms de propriétés globales de ces contrôles sont max-msg-ids, max-sem-ids, max-shm-ids et max-shm-memory .

Le contrôle de ressource zone.max-swap permet de limiter le swap consommé par les mappages d'espace d'adresses des processus utilisateur et les montages tmpfs à l'intérieur d'une zone. La commande prstat -Z affiche une colonne SWAP indiquant le swap total consommé par les montages tmpfs et les processus de la zone. Cette valeur facilite le contrôle du swap réservé par chaque zone, qui peut être utilisé pour choisir un paramètre zone.max-swap adéquat.

Vous pouvez spécifier ces limites en exécutant les processus à l'aide de la commande prctl. Vous trouverez un exemple sous la section Définition de partages FSS dans la zone globale à l'aide de la commande prctl. Les limites spécifiées à l'aide de la commande prctl ne sont pas persistantes. Elles perdent leur effet dès que vous réinitialisez le système.

Solaris 10 11/06 et versions ultérieures : privilèges configurables

Lorsque vous initialisez une zone, un jeu par défaut de privilèges fiables est inclus dans la configuration. Ces privilèges sont jugés fiables, car ils évitent que tout processus privilégié d'une zone affecte les processus d'autres zones non globales du système ou de la zone globale. La commande zonecfg permet :

• d'ajouter des privilèges au jeu par défaut, étant entendu que ces modifications risquent de permettre aux processus d'une zone de contrôler une ressource globale et donc d'affecter les processus d'autres zones.

• de supprimer des privilèges du jeu par défaut, étant entendu que ces modifications risquent d'empêcher certains processus de fonctionner correctement si ces privilèges sont nécessaires à leur exécution.

Certains privilèges ne peuvent pas être supprimés du jeu de privilèges par défaut d'une zone et d'autres ne peuvent actuellement pas y être ajoutés.

Pour plus d'informations, reportez-vous aux sections Privilèges dans une zone non globale et Configuration d'une zone, ainsi qu'à la page de manuel privileges(5).

Ajout d'un commentaire à une zone

Le type de ressource attr permet d'ajouter un commentaire à une zone. Pour plus d'informations, reportez-vous à la section Configuration d'une zone.

Utilisation de la commande zonecfg

La commande zonecfg, décrite dans la page de manuel zonecfg(1M), permet de configurer les zones non globales. Dans la version Solaris 10 8/07, elle permet également de spécifier de manière persistante les paramètres de gestion des ressources pour la zone globale.

La commande zonecfg peut être utilisée dans différents modes : interactif, ligne de commande ou fichier de commande. Elle permet d'effectuer les opérations suivantes :

• créer ou supprimer (détruire) la configuration d'une zone ;

• ajouter des ressources à une configuration donnée ;

• définir les propriétés des ressources ajoutées à une configuration ;

• supprimer les ressources d'une configuration donnée ;

• interroger ou vérifier une configuration ;

• valider une configuration ;

• rétablir une configuration antérieure ;

• renommer une zone ;

• quitter une session zonecfg.

L'invite zonecfg se présente sous la forme suivante :

zonecfg:zonename>

Lorsque vous configurez un type de ressource donné, par exemple un système de fichiers, celui-ci figure également dans l'invite :

zonecfg:zonename:fs>

Pour plus d'informations, notamment sur l'utilisation des différents composants zonecfg décrits dans ce chapitre, reportez-vous au Chapitre 18Planification et configuration de zones non globales (tâches).

Modes d'exécution de zonecfg

Le concept d'étendue s'applique à l'interface utilisateur. L'étendue peut être globale ou spécifique à une ressource. Par défaut, elle est globale.

Lorsque l'étendue est globale, les sous-commandes add et select permettent de sélectionner une ressource spécifique. L'étendue devient alors spécifique à ce type de ressource.

• Dans le cas de add, utilisez la sous-commande end ou cancel pour arrêter la spécification de la ressource.

• Dans le cas de select, utilisez la sous-commande end ou cancel pour arrêter la modification de la ressource.

L'étendue globale est alors rétablie.

Certaines sous-commandes telles que add, remove et set possèdent une sémantique différente dans chaque type d'étendue.

Mode d'exécution interactif de zonecfg

En mode interactif, les commandes ci-dessous sont prises en charge. Pour plus d'informations sur la sémantique et les options pouvant être utilisées avec ces sous-commandes, reportez-vous à la page de manuel zonecfg(1M. ) Avant d'exécuter une sous-commande susceptible d'entraîner la destruction ou une perte de données, le système demande confirmation à l'utilisateur. L'option -F (force) permet d'ignorer cette confirmation.

help

Imprime l'aide générale ou affiche l'aide concernant une ressource donnée.

zonecfg:my-zone:inherit-pkg-dir> help

create

Commence à créer une configuration en mémoire pour la nouvelle zone spécifiée à l'une des fins suivantes :

• Pour appliquer les paramètres par défaut à une nouvelle configuration (méthode par défaut).

• Avec l'option -t modèle, pour créer une configuration identique au modèle spécifié. Le nom de zone (celui du modèle) est remplacé par le nouveau nom de la zone.

• Avec l'option -F, pour écraser la configuration existante.

• Avec l'option -b, pour créer une configuration vide, dans laquelle rien n'est défini.

export

Imprime la configuration sur la sortie standard ou dans le fichier de sortie spécifié, sous une forme pouvant être utilisée dans un fichier de commande.

add

En étendue globale, ajoute le type de ressource spécifié à la configuration.

En étendue spécifique, ajoute au nom donné une propriété possédant la valeur donnée.

Pour plus d'informations, reportez-vous à la section Configuration d'une zone et à la page de manuel zonecfg(1M).

set

Assigne un nom de propriété donné à une valeur de propriété donnée. Notez que certaines propriétés telles que zonepath sont globales, alors que d'autres sont spécifiques aux ressources. Cette commande est donc applicable quel que soit le type d'étendue : globale ou spécifique à une ressource.

select

Uniquement applicable en étendue globale. Sélectionne la ressource de type donné répondant à la paire de critères nom de propriété-valeur de propriété donnés en vue de sa modification. L'étendue devient alors spécifique à ce type de ressource. Pour que la ressource soit identifiée de manière unique, vous devez spécifier un nombre suffisant de paires nom-valeur de propriété.

clear

Solaris 10 8/07 : Efface la valeur des paramètres optionnels. Les paramètres requis ne peuvent pas être effacés. Vous pouvez cependant modifier certains d'entre eux en leur assignant une nouvelle valeur.

remove

En étendue globale, supprime le type de ressource spécifié. Pour que le type de ressource soit identifié de manière unique, vous devez spécifier un nombre suffisant de paires nom-valeur de propriété. Si aucune paire nom-valeur de propriété n'est spécifiée, toutes les instances sont supprimées. S'il en existe plus d'une, le système vous demande confirmation, sauf si vous avez spécifié l'option -F.

En étendue spécifique, supprime la paire nom-valeur de propriété spécifiée de la ressource actuelle.

end

Uniquement applicable en étendue spécifique. Arrête la spécification de la ressource.

La commande zonecfg permet ensuite de vérifier si la ressource actuelle est entièrement spécifiée.

• Le cas échéant, elle est ajoutée à la configuration en mémoire et l'étendue redevient globale.

• Dans le cas contraire, c'est-à-dire si la spécification est incomplète, le système affiche un message d'erreur indiquant la marche à suivre.

cancel

Uniquement applicable en étendue spécifique. Arrête la spécification de la ressource et rétablit l'étendue globale. Les ressources partiellement spécifiées ne sont pas conservées.

delete

Détruit la configuration spécifiée. Efface la configuration de la mémoire et des supports de stockage stables. Avec delete, vous devez utiliser l'option -F (force).

---

Attention –

Cette action est instantanée. Elle ne requiert aucune validation et toute zone supprimée ne peut être rétablie.

---

info

Affiche des informations sur la configuration actuelle ou sur les propriétés de ressources globales zonepath, autoboot et pool. Si un type de ressource est spécifié, cette sous-commande affiche uniquement des informations sur les ressources de ce type. En étendue spécifique, elle s'applique uniquement à la ressource en cours d'ajout ou de modification.

verify

Vérifie si la configuration actuelle est correcte. S'assure que toutes les propriétés requises des ressources sont spécifiées.

commit

Valide la configuration actuelle, de la mémoire vers le support de stockage stable. Tant que la configuration en mémoire n'est pas validée, les changements peuvent être supprimés à l'aide de la sous-commande revert. Pour être utilisée par zoneadm, la configuration doit être validée. Cette opération s'effectue automatiquement lorsque vous arrêtez une session zonecfg. Seules les configurations correctes peuvent être validées. C'est pourquoi elles sont automatiquement vérifiées.

revert

Rétablit le dernier état validé de la configuration.

exit

Quitte la session zonecfg. Vous pouvez utiliser l'option -F (force) avec exit.

Au besoin, la commande commit s'exécute automatiquement. Notez que vous pouvez également utiliser une marque de fin de fichier (EOF, End Of File) pour quitter la session.

Mode d'exécution fichier de commande de zonecfg

En mode fichier de commande, l'entrée est extraite d'un fichier. La sous-commande export décrite à la section Mode d'exécution interactif de zonecfg permet de produire ce fichier. La configuration peut être imprimée sur la sortie standard ou dans le fichier de sortie spécifié à l'aide de l'option -f.

Données de configuration de zones

Les données de configuration de zones sont constituées de deux types d'entités : les ressources et les propriétés. Les ressources sont classées par type et chacune d'entre elles possède une propriété ou un jeu de propriétés. Ces propriétés ont un nom et possèdent des valeurs. Le jeu de propriétés dépend du type de ressource.

Types de ressources et de propriétés

Vous trouverez, ci-dessous, une description des types de ressources et de propriétés :

Nom de zone

Le nom de zone identifie la zone auprès de l'utilitaire de configuration. Les règles suivantes s'appliquent aux noms de zones :

• Chaque zone doit posséder un nom unique.

• Les noms de zones sont sensibles à la casse.

• Les noms de zones doivent commencer par un caractère alphanumérique.

  Ils peuvent contenir des caractères alphanumériques, des traits de soulignement (_), des traits d'union (-) et des points (.).

• Les noms de zones ne doivent pas comporter plus de 64 caractères.

• Le nom global et tous les noms commençant par SUNW ne peuvent être utilisés, car ils sont réservés.

zonepath

La propriété zonepath correspond au chemin contenant la racine de la zone. Chaque zone contient un répertoire root se trouvant dans le système de fichiers de la zone globale sous le répertoire zonepath. Lors de l'installation de la zone, l'arborescence des répertoires zonepath sera créée avec le propriétaire et le mode correspondant. Le répertoire zonepath doit appartenir à la root avec le mode 700.

Le chemin du répertoire racine des zones non globales se trouve un niveau en dessous. Le propriétaire et les droits d'accès du répertoire racine de ces zones sont identiques à ceux du répertoire racine (/) de la zone globale. Le répertoire des zones doit appartenir à root et être en mode 755. Ces répertoires sont créés automatiquement avec les droits d'accès correspondants. Il n'est pas nécessaire que l'administrateur de zone les vérifie. Cette hiérarchie permet d'éviter que les utilisateurs ne possédant pas de privilèges dans la zone globale puissent traverser le système de fichiers d'une zone non globale.

Chemin	Description
/home/export/my-zone	zonecfg zonepath
/home/export/my-zone/root	Racine de la zone
/home/export/my-zone/dev	Périphériques créés pour la zone

Pour plus d'informations à ce sujet, reportez-vous à la section Parcours des systèmes de fichiers.

---

Remarque –

Pour en savoir plus sur les restrictions de ces versions en ce qui concerne les systèmes de fichiers Zettabyte (ZFS), reportez-vous à la section Solaris 10 6/06, Solaris 10 11/06, Solaris 10 8/07 et Solaris 10 5/08 : ne pas placer le système de fichiers racine d'une zone non globale sur le ZFS.

---

autoboot

Si cette propriété est définie sur true, l'initialisation de la zone globale entraîne automatiquement celle de la zone. Notez cependant que, quelle que soit la valeur de cette propriété, la zone ne s'initialise pas automatiquement si le service svc:/system/zones:default des zones est désactivé. Vous pouvez l'activer à l'aide de la commande svcadm, décrite dans la page de manuel svcadm(1M) :

global# svcadm enable zones

bootargs

Solaris 10 8/07 : Cette propriété permet de définir un argument d'initialisation pour la zone. Cet argument est appliqué, excepté s'il est ignoré par les commandes reboot, zoneadm boot ou zoneadm reboot. Reportez-vous à la section Solaris 10 8/07 : arguments d'initialisation des zones.

pool

Cette propriété permet d'associer la zone à un pool de ressources sur le système. Plusieurs zones peuvent partager les ressources d'un pool. Reportez-vous également à la section Solaris 10 8/07 : ressource dedicated-cpu.

limitpriv

Solaris 10 11/06 et versions ultérieures : Cette propriété permet de spécifier un masque de privilège autre que celui par défaut. Reportez-vous à la section Privilèges dans une zone non globale.

Pour ajouter un privilège, spécifiez son nom en le faisant précéder ou non de priv_. Pour exclure un privilège, faites précéder son nom d'un tiret (-) ou d'un point d'exclamation (!). Les valeurs des privilèges doivent être séparées par des virgules et placées entre guillemets (“).

Comme décrit dans la page de manuel priv_str_to_set(3C), les jeux spéciaux de privilèges none, all et basic s'étendent à leur définition normale. Le jeu spécial de privilèges zone ne peut pas être utilisé, car la configuration des zones a lieu dans la zone globale. Étant donné qu'il est courant de modifier le jeu de privilèges par défaut en ajoutant ou en supprimant certains privilèges, le jeu spécial default est mappé avec le jeu de privilèges par défaut. Lorsque default figure au début de la propriété limitpriv, celle-ci s'applique au jeu par défaut.

L'entrée ci-dessous ajoute la capacité à utiliser des programmes DTrace requérant uniquement les privilèges dtrace_proc et dtrace_user dans la zone :

global# zonecfg -z userzone zonecfg:userzone> set limitpriv="default,dtrace_proc,dtrace_user"

Si le jeu de privilèges de la zone contient un privilège annulé ou inconnu, ou s'il lui manque un privilège, toute tentative de vérification, de préparation ou d'initialisation de la zone échoue et un message d'erreur s'affiche.

scheduling-class

Solaris 10 8/07 : cette propriété définit la classe de programmation de la zone. Pour obtenir informations et conseils, reportez-vous à la section Classe de programmation dans une zone.

ip-type

Solaris 10 8/07 : cette propriété ne doit être définie que s'il s'agit d'une zone en mode IP exclusif. Reportez-vous aux sections Solaris 10 8/07 : zones non globales en mode IP exclusif et Configuration d'une zone.

dedicated-cpu

Solaris 10 8/07 : cette ressource consacre un sous-ensemble des processeurs du système à la zone tant qu'elle est en cours d'exécution. La ressource dedicated-cpu définit les limites de ncpus et éventuellement d'importance. Pour plus d'informations, reportez-vous à la section Solaris 10 8/07 : ressource dedicated-cpu.

Ressource capped-cpu

Solaris 10 5/08 : cette ressource définit une limite pour la quantité de ressources CPU que la zone peut consommer lors de son exécution. Elle fournit une limite pour ncpus.

Ressource capped-memory

Solaris 10 8/07 : cette ressource groupe les propriétés utilisées lors de la limitation de la mémoire de la zone. La ressource capped-memory définit les limites de la mémoire physical, swap, et locked. Vous devez spécifier au moins une de ces propriétés.

dataset

Solaris 10 6/06 : l'ajout d'une ressource de jeu de données ZFS active la délégation de l'administration du stockage à une zone non globale. L'administrateur de zone peut créer et détruire les systèmes de fichiers à l'intérieur de ce jeu de données. Il peut également créer et détruire les clones et modifier les propriétés du jeu de données. Il ne peut cependant ni affecter de jeux de données non ajoutés à la zone, ni dépasser les quotas de niveau maximum définis dans le jeu de données assigné à la zone.

Pour ajouter des jeux de données ZFS à une zone, vous pouvez procéder de l'une des manières suivantes :

• comme pour un système de fichiers LOFS monté, si le seul but recherché est de partager de l'espace avec la zone globale ;

• comme pour un jeu de données délégué.

Reportez-vous au Chapitre 10, Rubriques avancées Oracle Solaris ZFS du Guide d’administration Oracle Solaris ZFS et à la section Systèmes de fichiers et zones non globales.

Pour plus d'informations sur les jeux de données, reportez-vous également au Chapitre 30Dépannage de problèmes liés aux zones Solaris.

fs

Toute zone peut posséder plusieurs systèmes de fichiers. Ils sont montés quand la zone passe de l'état installé à l'état prêt. La ressource du système de fichiers spécifie le chemin du point de montage du système de fichiers. Pour plus d'informations sur l'utilisation des systèmes de fichiers dans les zones, reportez-vous à la section Systèmes de fichiers et zones non globales.

inherit-pkg-dir

Cette ressource ne doit pas être configurée dans une zone à racine entière.

Dans une zone à racine fragmentée, la ressource inherit-pkg-dir permet de représenter des répertoires contenant des packages de logiciels partagés entre une zone non globale et la zone globale.

la zone non globale hérite du contenu des packages de logiciels transférés dans le répertoire inherit-pkg-dir, en lecture seule. La base de données de packages de la zone est mise à jour en conséquence. À partir du moment où la zone a été installée à l'aide de zoneadm, ces ressources ne peuvent être ni modifiées ni supprimées.

---

Remarque –

Quatre ressources inherit-pkg-dir par défaut sont incluses dans la configuration. Ces ressources de répertoires indiquent les répertoires dont les packages associés sont hérités de la zone globale. Ces ressources sont implémentées par le biais d'un montage de système de fichiers loopback en lecture seule.

• /lib

• /platform

• /sbin

• /usr

---

net

La ressource de l'interface réseau est le nom de l'interface. Chaque zone peut posséder des interfaces réseau. Elles sont paramétrées lorsque la zone passe de l'état installé à l'état prêt.

device

La ressource périphérique est le spécificateur correspondant au périphérique. Chaque zone peut présenter des périphériques qui doivent être configurés quand la zone passe de l'état installé à l'état prêt.

rctl

La ressource rctl est dédiée aux contrôles de ressources à l'échelle de la zone. Ces contrôles sont activés lorsque la zone passe de l'état installé à l'état prêt.

hostid

Vous pouvez définir une propriété hostid différente de la propriété hostid de la zone globale.

attr

Cet attribut générique peut être utilisé pour les commentaires utilisateur ou par d'autres sous-systèmes. La propriété name d'un attribut attr doit commencer par un caractère alphanumérique. La propriété name peut contenir des caractères alphanumériques, des traits d'union (-) et des points (.). Les noms d'attributs commençant par zone. sont réservés au système.

Propriétés des types de ressources

Les ressources ont elles aussi des propriétés qu'il convient de configurer. Vous trouverez ci-dessous la liste des propriétés associées aux différents types de ressources.

dedicated-cpu

ncpus, importance

Solaris 10 8/07 : spécifie le nombre de CPU et, éventuellement, l'importance relative du pool. L'exemple ci-dessous spécifie la plage de CPU utilisée par la zone ma-zone. L'importance est également définie.

zonecfg:my-zone> add dedicated-cpu zonecfg:my-zone:dedicated-cpu> set ncpus=1-3 zonecfg:my-zone:dedicated-cpu> set importance=2 zonecfg:my-zone:dedicated-cpu> end

capped-cpu

ncpus

Définit le nombre de CPU. L'exemple ci-dessous spécifie une capacité de 3,5 CPU pour la zone my-zone.

zonecfg:my-zone> add capped-cpu zonecfg:my-zone:capped-cpu> set ncpus=3.5 zonecfg:my-zone:capped-cpu> end

capped-memory

physical, swap, locked

Spécifie les limites de mémoire pour la zone my-zone. Chaque limite est optionnelle, mais vous devez en définir au moins une.

zonecfg:my-zone> add capped-memory zonecfg:my-zone:capped-memory> set physical=50m zonecfg:my-zone:capped-memory> set swap=100m zonecfg:my-zone:capped-memory> set locked=30m zonecfg:my-zone:capped-memory> end

fs

dir, special, raw, type, options

Les paramètres de la ressource fs indiquent les valeurs qui déterminent comment et où monter les systèmes de fichiers. Les paramètres fs se définissent comme suit :

dir

Spécifie le point de montage du système de fichiers.

special

Spéficie le nom du périphérique spécial en mode bloc ou le répertoire de zone globale à monter.

raw

Spécifie le périphérique brut sur lequel fsck doit être exécuté avant le montage du système de fichiers.

type

Spécifie le type de système de fichiers.

options

Spécifie les options de montage similaires à celles associées à la commande mount.

L'exemple ci-dessous spécifie que /dev/dsk/c0t0d0s2 de la zone globale doit être monté comme étant /mnt dans une zone en cours de configuration. La propriété raw spécifie le périphérique optionnel sur lequel vous devez exécuter la commande fsck avant toute tentative de montage du système de fichiers. Le type de système de fichiers à utiliser est UFS. Les options nodevices et logging sont ajoutées.

zonecfg:my-zone> add fs zonecfg:my-zone:fs> set dir=/mnt zonecfg:my-zone:fs> set special=/dev/dsk/c0t0d0s2 zonecfg:my-zone:fs> set raw=/dev/rdsk/c0t0d0s2 zonecfg:my-zone:fs> set type=ufs zonecfg:my-zone:fs> add options [nodevices,logging] zonecfg:my-zone:fs> end

Pour plus d'informations, reportez-vous aux sections Option -o nosuid et Restrictions de sécurité et comportement du système de fichiers, ainsi qu'aux pages de manuel fsck(1M) et mount(1M). Notez aussi que la section 1M des pages de manuel est disponible pour les options de montage spécifiques à un système de fichiers donné. Ces pages de manuel sont nommées de la manière suivante : mount_système de fichiers.

---

Remarque –

Pour savoir comment ajouter un système de fichiers ZFS à l'aide de la propriété de ressource fs, reportez-vous à la section Ajout de systèmes de fichiers ZFS à une zone non globale du Guide d’administration Oracle Solaris ZFS.

---

dataset

name

L'exemple ci-dessous spécifie que le jeu de données ventes doit être visible et monté dans la zone non globale et doit cesser d'être visible dans la zone globale.

zonecfg:my-zone> add dataset zonecfg:my-zone> set name=tank/sales zonecfg:my-zone> end

inherit-pkg-dir

dir

L'exemple ci-dessous spécifie que /opt/sfw doit être monté en loopback depuis la zone globale.

zonecfg:my-zone> add inherit-pkg-dir zonecfg:my-zone:inherit-pkg-dir> set dir=/opt/sfw zonecfg:my-zone:inherit-pkg-dir> end

net

address, physical, defrouter

---

Remarque –

Dans une zone en mode IP partagé, l'adresse IP et le périphérique sont tous deux spécifiés. Le routeur par défaut peut être défini (facultatif).

• Vous pouvez utiliser la propriété defrouter pour définir une route par défaut lorsque la zone non globale se trouve sur un sous-réseau qui n'est pas configuré dans la zone globale.

• Toute zone dont la propriété defrouter est définie doit se trouver sur un sous-réseau qui n'est pas configuré dans la zone globale.

Lorsque des zones en mode IP partagé existent sur des sous-réseaux différents, ne configurez aucune liaison de données dans la zone globale.

Dans une zone en mode IP exclusif, seule l'interface physique est spécifiée. La propriété physique peut être une carte d'interface réseau virtuelle (VNIC).

---

L'exemple ci-dessous montre comment ajouter l'adresse 192.168.0.1 à une zone en mode IP partagé. L'interface physique utilisée est une carte hme0. Pour déterminer l'interface physique à utiliser, tapez ifconfig -a sur votre système. Toute ligne de sortie autre que les lignes de pilote de loopback commence par le nom d'une carte installée sur le système. Les lignes dont les descriptions contiennent LOOPBACK ne concernent pas les cartes.

zonecfg:my-zone> add net zonecfg:my-zone:net> set physical=hme0 zonecfg:my-zone:net> set address=192.168.0.1 zonecfg:my-zone:net> end

Dans l'exemple ci-dessous, qui se rapporte à une zone en mode IP exclusif, une liaison bge32001 est utilisée pour l'interface physique. Pour connaître les liaisons de données disponibles, exécutez la commande dladm show-link. Pour être utilisée avec des zones en mode IP exclusif, la liaison de données doit être GLDv3. Les liaisons de données non-GLDv3 se distinguent par la mention type: legacy dans la sortie dladm show-link. Notez que ip-type=exclusive doit également être spécifié.

zonecfg:my-zone> set ip-type=exclusive zonecfg:my-zone> add net zonecfg:my-zone:net> set physical=bge32001 zonecfg:my-zone:net> end

device

match

Dans l'exemple ci-dessous, un périphérique /dev/pts est inclus à une zone.

zonecfg:my-zone> add device zonecfg:my-zone:device> set match=/dev/pts* zonecfg:my-zone:device> end

rctl

name, value

Solaris 10 8/07 : cette version propose de nouveaux contrôles de ressources : zone.max-locked-memory, zone.max-msg-ids, zone.max-sem-ids, zone.max-shm-ids, zone.max-shm-memory et zone.max-swap.

À l'échelle des zones, les contrôles de ressources suivants sont disponibles :

• zone.cpu-shares (conseillé : cpu-shares )

• zone.max-locked-memory

• zone.max-lwps (recommandé : max-lwps)

• zone.max-msg-ids (recommandé : max-msg-ids)

• zone.max-sem-ids (recommandé : max-sem-ids)

• zone.max-shm-ids (recommandé : max-shm-ids)

• zone.max-shm-memory (recommandé : max-shm-memory)

• zone.max-swap

Pour définir un contrôle de ressource à l'échelle d'une zone, il est recommandé et plus simple d'utiliser le nom de propriété que la ressource rctl, comme indiqué à la section Configuration d'une zone. Si vous configurez les entrées de contrôle de ressource à l'échelle d'une zone à l'aide de add rctl, leur format diffère de celui des entrées de contrôle de ressource de la base de données project. Dans une configuration de zone, le type de ressource rctl est composé de trois paires nom/valeur. Les noms sont : priv, limit et action. Chacun d'entre eux possède une valeur simple.

zonecfg:my-zone> add rctl zonecfg:my-zone:rctl> set name=zone.cpu-shares zonecfg:my-zone:rctl> add value (priv=privileged,limit=10,action=none)zonecfg:my-zone:rctl> end

zonecfg:my-zone> add rctl zonecfg:my-zone:rctl> set name=zone.max-lwps zonecfg:my-zone:rctl> add value (priv=privileged,limit=100,action=deny) zonecfg:my-zone:rctl> end

Pour plus d'informations sur les attributs et les contrôles de ressources, reportez-vous au Chapitre 6Contrôles des ressources (présentation) et à la section Utilisation de contrôles de ressources dans les zones non globales.

attr

name, type, value

L'exemple ci-dessous montre l'ajout d'un commentaire à propos d'une zone.

zonecfg:my-zone> add attr zonecfg:my-zone:attr> set name=comment zonecfg:my-zone:attr> set type=string zonecfg:my-zone:attr> set value="Production zone" zonecfg:my-zone:attr> end

Vous pouvez utiliser la sous-commande export pour imprimer une configuration de zone sur une sortie standard. La configuration est enregistrée sous une forme pouvant être utilisée dans un fichier de commande.

Bibliothèque d'édition de ligne de commande Tecla

La bibliothèque d'édition de ligne de commande Tecla est intégrée à la commande zonecfg. Elle fournit un support d'édition et d'accès à l'historique des lignes de commande.

La bibliothèque d'édition de ligne de commande Tecla est documentée dans les pages de manuel suivantes :

• enhance(1)

• libtecla(3LIB )

• ef_expand_file(3TECLA)

• gl_get_line(3TECLA)

• gl_io_mode(3TECLA)

• pca_lookup_file(3TECLA)

• tecla(5)

Chapitre 18 Planification et configuration de zones non globales (tâches)

Ce chapitre décrit les opérations à effectuer avant de pouvoir configurer une zone sur un système. Il explique également comment configurer une zone et comment modifier et supprimer sa configuration.

Vous trouverez une introduction à la configuration des zones dans le Chapitre 17Configuration des zones non globales (présentation).

Planification et configuration d'une zone non globale (liste des tâches)

Avant de paramétrer votre système en vue de l'utilisation de zones, vous devez collecter des informations et prendre des décisions sur la manière dont vous allez les configurer. Vous trouverez, dans la liste ci-dessous, un résumé des tâches de planification et de configuration correspondantes.

Évaluation du paramétrage du système

L'utilitaire Zones peut être utilisé sur toute machine équipée de Solaris 10. L'utilisation des zones est liée aux considérations suivantes concernant la machine :

• les prescriptions de performances des applications exécutées dans chaque zone ;

• l'espace disque disponible pour accueillir les fichiers uniques dans chaque zone.

Espace disque requis

L'espace disque utilisable par une zone n'est pas limité. La restriction de l'espace est du ressort de l'administrateur global, qui doit s'assurer que la capacité locale de stockage est suffisante pour accueillir un système de fichiers racine de zone non globale. Même un système à processeur unique peut supporter plusieurs zones s'exécutant simultanément.

La nature des packages installés dans la zone globale a une incidence sur l'espace disque requis par les zones non globales créées. Le nombre de packages et l'espace disque requis sont des facteurs.

Zones à racine fragmentée

Dans la version Solaris 10, les zones non globales disposant de ressources inherit-pkg-dir sont appelées zones à racine fragmentée.

Les zones de ce type optimisent le partage des objets de la manière suivante :

• Seul un sous-ensemble des packages installés dans la zone globale sont directement installés dans la zone non globale.

• Des systèmes de fichiers loopback en lecture seule, identifiés comme ressources inherit-pkg-dir, facilitent l'accès à d'autres fichiers.

Dans le modèle à racine fragmentée, tous les packages semblent être installés dans la zone non globale. Les packages qui ne livrent pas de contenu dans les systèmes de fichiers montés en loopback en lecture seule sont entièrement installés. Il n'est pas nécessaire d'installer de contenu livré dans les systèmes de fichiers montés en loopback en lecture seule, car ce contenu est hérité (et visible) de la zone globale.

• En règle générale, une zone requiert environ 100 méga-octets d'espace disque libre lorsque la zone globale a été installée avec tous les packages standard de Solaris.

• Par défaut, tous les packages supplémentaires installés dans la zone globale sont également installés dans les zones non globales. L'espace disque requis peut être plus élevé selon que ces packages incluent ou non des fichiers résidant dans l'espace de ressource inherit-pkg-dir.

Il est recommandé de prévoir 40 méga-octets supplémentaires de RAM par zone, mais cela n'est pas indispensable sur les machines disposant d'un espace de swap suffisant.

Zones à racine entière

Les zones de ce type offrent une capacité de configuration maximale. Tous les packages requis et tous les packages Solaris optionnels sélectionnés sont installés sur les systèmes de fichiers privés de la zone. Ce modèle de zone présente différents avantages. Il offre notamment aux administrateurs globaux la possibilité de personnaliser la configuration des systèmes de fichiers des zones. Ils peuvent par exemple ajouter arbitrairement des packages tiers ou non fournis en standard.

Les exigences requises en ce qui concerne le disque sont déterminées par l'espace disque utilisé par les packages installés dans la zone globale.

Si vous créez une zone à racine fragmentée contenant les répertoires inherit-pkg-dir ci-dessous, vous devez supprimer ces répertoires de la configuration de zone non globale avant l'installation de la zone pour obtenir une zone à racine entière :

• /lib

• /platform

• /sbin

• /usr

Reportez-vous à la section Configuration d'une zone.

Limitation de la taille d'une zone

Pour restreindre la taille d'une zone, vous avez le choix entre plusieurs options :

• Vous pouvez la placer sur une partition montée à l'aide de la commande lofi. Cette action limite l'espace requis par la zone à celui utilisé par le fichier lofi. Pour plus d'informations, reportez-vous aux pages de manuel lofiadm(1M) et lofi(7D).

• Vous pouvez utiliser le partitionnement logiciel pour diviser les tranches d'espace disque ou les volumes logiques en partitions, puis utiliser ces partitions en tant que racines de zone, et limiter ainsi l'espace disque requis par zone. Le partitionnement logiciel est limité à 8 192 partitions. Pour plus d'informations, reportez-vous au Chapitre 12, Soft Partitions (Overview) du Solaris Volume Manager Administration Guide.

• Vous pouvez utiliser les partitions standard d'un disque comme racines de zone, et limiter l'espace disque requis par zone.

Détermination du nom d'hôte d'une zone et obtention de son adresse réseau

Vous devez déterminer le nom d'hôte de la zone, puis lui assigner une adresse IPv4 ou configurer manuellement une adresse IPv6 et la lui assigner pour la doter d'un connectivité réseau.

Nom d'hôte

Le nom d'hôte choisi doit être défini soit dans la base de données hosts, soit dans la base de données /etc/inet/hosts, comme spécifié par le fichier /etc/nsswitch.conf de la zone globale. Les bases de données réseau sont des fichiers fournissant des informations sur la configuration réseau. Le fichier nsswitch.conf spécifie le service d'attribution de nom à utiliser.

S'il s'agit de fichiers locaux, la base de données hosts est mise à jour dans le fichier /etc/inet/hosts. Les noms d'hôtes des interfaces réseau de zone sont résolus depuis la base de données locale hosts dans /etc/inet/hosts. L'adresse IP peut également être spécifiée directement lors de la configuration de la zone, ce qui évite toute résolution de nom d'hôte.

Pour plus d'informations, reportez-vous à la section Fichiers de configuration TCP/IP du Guide d’administration système : services IP et à la section Bases de données réseau et fichier nsswitch.conf du Guide d’administration système : services IP.

Adresse réseau en mode IP partagé

Toute zone en mode IP partagé requérant une connectivité réseau possède une ou plusieurs adresses à IP unique. Les adresses IPv4 et IPv6 sont prises en charge.

Adresse réseau IPv4

Si vous utilisez IPv4, obtenez une adresse et assignez-la à la zone concernée.

Vous pouvez également spécifier la longueur du préfixe de l'adresse IP. Le format de ce préfixe se présente de la manière suivante : adresse/longueur_préfixe, par exemple, 192.168.1.1/24. l'adresse à utiliser est 192.168.1.1 et le masque de réseau 255.255.255.0 ou le masque dont les 24 premiers bits sont des bits 1.

Adresse réseau IPv6

Si vous utilisez IPv6, vous devez configurer manuellement l'adresse. Habituellement, au moins deux types d'adresses doivent être configurées :

Adresse lien-local

Les adresses lien-local se présentent sous la forme fe80:: ID d'interface 64 bits/10, /10 correspondant à une longueur de préfixe de 10 bits.

Adresse constituée d'un préfixe global configuré sur le sous-réseau

Les adresses unicast globales sont basées sur un préfixe 64 bits configuré par l'administrateur pour chaque sous-réseau et sur un ID d'interface 64 bits. Le préfixe peut également être obtenu en exécutant la commande ifconfig avec l'option -a6 sur tout système se trouvant sur le sous-réseau qui a été configuré en vue de l'utilisation du protocole IPv6.

L'ID d'interface 64 bits est typiquement dérivé d'une adresse MAC. Une adresse alternative unique de zone peut être dérivée de l'adresse IPv4 de la zone globale de la manière suivante :

16 bits of zero:upper 16 bits of IPv4 address:lower 16 bits of IPv4 address:a zone-unique number

Si l'adresse IPv4 de la zone globale est par exemple 192.168.200.10, fe80::c0a8:c80a:1/10 est une adresse lien-local valide pour une zone non globale utilisant un numéro unique de zone 1. Si le préfixe global utilisé sur ce sous-réseau est 2001:0db8:aabb:ccdd/64, 2001:0db8:aabb:ccdd::c0a8:c80a:1/64 est une adresse unicast globale unique pour la même zone non globale. Notez que vous devez spécifier une longueur de préfixe lorsque vous configurez une adresse IPv6.

Pour plus d'informations sur les adresses lien-local et les adresses unicast globales, reportez-vous à la page de manuel inet6(7P).

Adresse réseau en mode IP exclusif

Pour configurer des adresses à l'intérieur d'une zone en mode IP exclusif, procédez comme pour une zone globale. Notez que vous pouvez utiliser l'utilitaire de configuration automatique d'adresses sans état IPv6 et DHCP pour configurer des adresses.

Pour plus d'informations, reportez-vous à la page de manuel sysidcfg(4).

Configuration des systèmes de fichiers

La plate-forme virtuelle étant paramétrée, vous pouvez spécifier le nombre de montages à exécuter. Les systèmes de fichiers montés en loopback dans une zone à l'aide du système de fichiers loopback virtuel LOFS doivent être montés avec l'option nodevices. Pour plus d'informations sur l'option nodevices, reportez-vous à la section Systèmes de fichiers et zones non globales.

Le système de fichiers LOFS permet de créer un système de fichiers virtuel et d'accéder ainsi aux fichiers par le biais d'un nom de chemin alternatif. Dans les zones non globales, le montage en loopback donne l'impression que l'arborescence du système de fichiers est dupliquée sous la racine de la zone. À l'intérieur de celle-ci, tous les fichiers sont accessibles avec un nom de chemin commençant par la racine de la zone. Le montage LOFS préserve l'espace de noms du système de fichiers.

Figure 18–1 Systèmes de fichiers montés en loopback

Pour plus d'informations, reportez-vous à la page de manuel lofs(7S).

Création, modification et suppression de configurations de zones non globales (liste des tâches)

Configuration, vérification et validation d'une zone

Utilisez la commande zonecfg, décrite dans la page de manuel zonecfg(1M), pour exécuter les actions suivantes :

• créer la configuration de la zone concernée ;

• vérifier que toutes les informations requises sont présentes ;

• valider la configuration de la zone non globale.

La commande zonecfg permet également de spécifier de manière persistante les paramètres de gestion des ressources pour la zone globale.

Pour annuler le paramétrage d'une ressource pendant la configuration d'une zone à l'aide de l'utilitaire zonecfg, exécutez la commande revert. Reportez-vous à la section Rétablissement de la configuration d'une zone.

Pour savoir comment configurer plusieurs zones sur le système à l'aide d'un script, consultez la section Script de configuration de zones multiples.

Pour plus d'informations sur l'affichage de la configuration des zones non globales, reportez-vous à la section Affichage de la configuration d'une zone non globale.

Configuration d'une zone

Pour créer une zone non globale native, seules les propriétés zonename et zonepath sont nécessaires. Les autres ressources et propriétés sont facultatives. Pour certaines ressources facultatives, vous devez également choisir entre plusieurs possibilités, comme, par exemple, utiliser la ressource dedicated-cpu ou la ressource capped-cpu. Pour plus d'informations sur les ressources et les propriétés zonecfg, reportez-vous à la section Données de configuration de zones.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Attribuez à la zone le nom que vous avez choisi.

   Dans cet exemple, la zone est nommée my-zone.

   global# zonecfg -z my-zone

   Si c'est la première fois que vous configurez cette zone, le message suivant s'affiche :

   my-zone: No such zone configured Use 'create' to begin configuring a new zone.

3. Créez la configuration de la nouvelle zone.

   Les paramètres utilisés sont les paramètres par défaut.

   zonecfg:my-zone> create

4. Définissez le chemin de la zone, ici /export/home/my-zone.

   zonecfg:my-zone> set zonepath=/export/home/my-zone

   Ne placez pas le zonepath sur un ZFS pour les versions antérieures à Solaris 10 10/08.

5. Définissez la valeur d'initialisation automatique.

   Si cette propriété est définie sur true, l'initialisation de la zone globale entraîne automatiquement celle de cette zone. Notez que les zones ne s'initialisent automatiquement que si le service svc:/system/zones:default est activé. La valeur par défaut est false.

   zonecfg:my-zone> set autoboot=true

6. Définissez des arguments d'initialisation permanents pour la zone.

   zonecfg:my-zone> set bootargs="-m verbose"

7. Dédiez une ou plusieurs CPU à cette zone.

   zonecfg:my-zone> add dedicated-cpu

   1. Définissez le nombre de CPU.

      zonecfg:my-zone:dedicated-cpu> set ncpus=1-2

   2. (Optionnel) Définissez l'importance.

      zonecfg:my-zone:dedicated-cpu> set importance=10

      La valeur par défaut est 1.

   3. Clôturez la spécification.

      zonecfg:my-zone:dedicated-cpu> end

8. Révisez le jeu de privilèges par défaut.

   zonecfg:my-zone> set limitpriv="default,sys_time"

   Cette ligne ajoute la capacité à définir l'horloge système sur le jeu de privilèges par défaut.

9. Définissez la classe de programmation sur FSS.

   zonecfg:my-zone> set scheduling-class=FSS

10. Ajoutez une limite de mémoire.

    zonecfg:my-zone> add capped-memory

    1. Définissez la limite de mémoire.

       zonecfg:my-zone:capped-memory> set physical=50m

    2. Définissez la limite de mémoire swap.

       zonecfg:my-zone:capped-memory> set swap=100m

    3. Définissez la limite de mémoire verrouillée.

       zonecfg:my-zone:capped-memory> set locked=30m

    4. Terminez la spécification des limites de mémoire.

       zonecfg:my-zone:capped-memory> end

11. Ajoutez un système de fichiers.

    zonecfg:my-zone> add fs

    1. Définissez le point de montage du système de fichiers, ici /usr/local.

       zonecfg:my-zone:fs> set dir=/usr/local

    2. Spécifiez que /opt/zones/my-zone/local de la zone globale doit être monté comme /usr/local dans la zone en cours de configuration.

       zonecfg:my-zone:fs> set special=/opt/zones/my-zone/local

       Dans la zone non globale, le système de fichiers /usr/local sera accessible en lecture et en écriture.

    3. Spécifiez le type de système de fichiers, ici lofs.

       zonecfg:my-zone:fs> set type=lofs

       Le type indique la manière dont le noyau dialogue avec le système de fichiers.

    4. Clôturez la spécification du système de fichiers.

       zonecfg:my-zone:fs> end

    Cette étape peut être répétée pour ajouter plus d'un système de fichiers.

12. Facultatif : définissez la propriété hostid.

    zonecfg:my-zone> set hostid=80f0c086

13. Ajoutez un jeu de données ZFS nommé sales dans le pool de stockage tank.

    zonecfg:my-zone> add dataset

    1. Spécifiez le chemin du jeu de données ZFS sales.

       zonecfg:my-zone> set name=tank/sales

    2. Terminez la spécification du jeu de données.

       zonecfg:my-zone> end

14. (Uniquement pour les zones à racine fragmentée) Ajoutez un système de fichiers partagé monté en loopback depuis la zone globale.

    Ignorez cette étape si la zone créée est une zone à racine entière (ce type de zone ne possède pas de systèmes de fichiers partagés). Pour plus de détails sur les zones à racine entière, reportez-vous à la section Espace disque requis.

    zonecfg:my-zone> add inherit-pkg-dir

    1. Spécifiez que /opt/sfw de la zone globale doit être monté en mode lecture seule dans la zone en cours de configuration.

       zonecfg:my-zone:inherit-pkg-dir> set dir=/opt/sfw

       ---

       Remarque –

       La base de données de packages de la zone est mise à jour en conséquence. À partir du moment où la zone a été installée à l'aide de zoneadm, ces ressources ne peuvent être ni modifiées ni supprimées.

       ---

    2. Terminez la spécification de inherit-pkg-dir.

       zonecfg:my-zone:inherit-pkg-dir> end

    Cette étape peut être répétée pour ajouter plusieurs systèmes de fichiers partagés.

    ---

    Remarque –

    Si vous voulez créez une zone à racine entière et que des ressources de systèmes de fichiers partagés par défaut ont été ajoutées à l'aide de inherit-pkg-dir, vous devez supprimer ces ressources inherit-pkg-dir par défaut avec zonecfg avant d'installer la zone :

    • zonecfg:my-zone> remove inherit-pkg-dir dir=/lib

    • zonecfg:my-zone> remove inherit-pkg-dir dir=/platform

    • zonecfg:my-zone> remove inherit-pkg-dir dir=/sbin

    • zonecfg:my-zone> remove inherit-pkg-dir dir=/usr

    ---

15. (Optionnel) Si la zone créée est une zone en mode IP exclusif, définissez le type d'IP (ip-type).

    zonecfg:my-zone> set ip-type=exclusive

    ---

    Remarque –

    Seul le type correspondant aux périphériques physiques doit être spécifié dans l'étape add net.

    ---

16. Ajoutez une interface réseau.

    zonecfg:my-zone> add net

    1. (Uniquement pour les zones à racine entière) Définissez l'adresse IP de l'interface réseau, ici 192.168.0.1.

       zonecfg:my-zone:net> set address=192.168.0.1

    2. Définissez le type de périphérique physique de l'interface réseau, ici le périphérique hme.

       zonecfg:my-zone:net> set physical=hme0

    3. Solaris 10 08/10 : (facultatif, IP partagé uniquement) définissez le routeur par défaut de l'interface réseau 10.0.0.1 lors de cette procédure.

       zonecfg:my-zone:net> set defrouter=10.0.0.1

    4. Clôturez la spécification.

       zonecfg:my-zone:net> end

    Cette étape peut être répétée pour ajouter plus d'une interface réseau.

17. Ajoutez un périphérique.

    zonecfg:my-zone> add device

    1. Définissez la correspondance de périphérique, ici /dev/sound/* .

       zonecfg:my-zone:device> set match=/dev/sound/*

    2. Terminez la spécification du périphérique.

       zonecfg:my-zone:device> end

    Cette étape peut être répétée pour ajouter plusieurs périphériques.

18. Ajoutez un contrôle de ressource à l'échelle de la zone à l'aide du nom de propriété.

    zonecfg:my-zone> set max-sem-ids=10485200

    Cette étape peut être répétée pour ajouter plusieurs contrôles de ressource.

19. Ajoutez un commentaire à l'aide du type de ressource attr.

    zonecfg:my-zone> add attr

    1. Définissez le nom sur comment.

       zonecfg:my-zone:attr> set name=comment

    2. Définissez le type sur string.

       zonecfg:my-zone:attr> set type=string

    3. Définissez la valeur sur un commentaire décrivant cette zone.

       zonecfg:my-zone:attr> set value="This is my work zone."

    4. Clôturez la spécification du type de ressource attr.

       zonecfg:my-zone:attr> end

20. Vérifiez la configuration de la zone.

    zonecfg:my-zone> verify

21. Validez la configuration de la zone.

    zonecfg:my-zone> commit

22. Quittez la commande zonecfg.

    zonecfg:my-zone> exit

    Notez que, même si vous ne répondez pas explicitement commit à l'invite, l'opération commit est automatiquement tentée lorsque vous tapez exit ou lorsqu'une condition EOF se produit.

Utilisation de plusieurs sous-commandes sur la ligne de commande

La commande zonecfg prend également en charge des sous-commandes multiples, placées entre guillemets et séparées par des points-virgules, d'un même appel de shell.

global# zonecfg -z my-zone "create ; set zonepath=/export/home/my-zone"

Étape suivante

Pour installer la configuration de la zone validée, reportez-vous à la section Installation et initialisation de zones.

Script de configuration de zones multiples

Ce script permet de configurer et d'initialiser plusieurs zones sur un système. Il regroupe les paramètres suivants :

• le nombre de zones à créer ;

• le préfixe de nom de zone ;

• le répertoire à utiliser comme répertoire de base.

Vous devez être administrateur global de la zone globale pour pouvoir exécuter ce script. L'administrateur global possède des privilèges de superutilisateur dans la zone globale ou assume le rôle d'administrateur principal.

#!/bin/ksh
#
# Copyright 2006 Sun Microsystems, Inc.  All rights reserved.
# Use is subject to license terms.
#
#ident	"%Z%%M%	%I%	%E% SMI"

if [[ -z "$1" || -z "$2" || -z "$3" ]]; then
		echo "usage: $0 <#-of-zones> <zonename-prefix> <basedir>"
		exit 2
fi

if [[ ! -d $3 ]]; then
		echo "$3 is not a directory"
		exit 1
fi

nprocs=`psrinfo | wc -l`
nzones=$1
prefix=$2
dir=$3

ip_addrs_per_if=`ndd /dev/ip ip_addrs_per_if`
if [ $ip_addrs_per_if -lt $nzones ]; then
		echo "ndd parameter ip_addrs_per_if is too low ($ip_addrs_per_if)"
		echo "set it higher with 'ndd -set /dev/ip ip_addrs_per_if <num>"
		exit 1
fi

i=1
while [ $i -le $nzones ]; do
	zoneadm -z $prefix$i list > /dev/null 2>&1
	if [ $? != 0 ]; then
		echo configuring $prefix$i
		F=$dir/$prefix$i.config
		rm -f $F
		echo "create" > $F
		echo "set zonepath=$dir/$prefix$i" >> $F
		zonecfg -z $prefix$i -f $dir/$prefix$i.config 2>&1 | \
		    sed 's/^/    /g' 
	else
		echo "skipping $prefix$i, already configured"
	fi
	i=`expr $i + 1`
done

i=1
while [ $i -le $nzones ]; do
	j=1
	while [ $j -le $nprocs ]; do
		if [ $i -le $nzones ]; then
			if [ `zoneadm -z $prefix$i list -p | \
			    cut -d':' -f 3` != "configured" ]; then
				echo "skipping $prefix$i, already installed"
			else
				echo installing $prefix$i
				mkdir -pm 0700 $dir/$prefix$i
				chmod 700 $dir/$prefix$i
				zoneadm -z $prefix$i install > /dev/null 2>&1 &
				sleep 1	# spread things out just a tad
			fi
		fi
		i=`expr $i + 1`
		j=`expr $j + 1`
	done
	wait
done

i=1
while [ $i -le $nzones ]; do
	echo setting up sysid for $prefix$i
	cfg=$dir/$prefix$i/root/etc/sysidcfg
	rm -f $cfg
	echo "network_interface=NONE {hostname=$prefix$i}" > $cfg
	echo "system_locale=C" >> $cfg
	echo "terminal=xterms" >> $cfg
	echo "security_policy=NONE" >> $cfg
	echo "name_service=NONE" >> $cfg
	echo "timezone=US/Pacific" >> $cfg
	echo "root_password=Qexr7Y/wzkSbc" >> $cfg  # 'l1a'
	i=`expr $i + 1`
done

i=1
para=`expr $nprocs \* 2`
while [ $i -le $nzones ]; do
	date
	j=1
	while [ $j -le $para ]; do
		if [ $i -le $nzones ]; then
			echo booting $prefix$i
			zoneadm -z $prefix$i boot &
		fi
		j=`expr $j + 1`
		i=`expr $i + 1`
	done
	wait
done

Affichage de la configuration d'une zone non globale

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Affichez la configuration de la zone.

   global# zonecfg -z zonename info

Modification de la configuration d'une zone à l'aide de zonecfg

La commande zonecfg permet également de :

• modifier un type de ressource dans la configuration d'une zone ;

• effacer une valeur de propriété dans la configuration d'une zone ;

• ajouter un périphérique dédié à une zone.

Modification d'un type de ressource dans la configuration d'une zone

Vous pouvez sélectionner un type de ressource et modifier la spécification de cette ressource.

Une fois la zone installée à l'aide de zoneadm, le contenu des packages logiciels du répertoire inherit-pkg-dir ne peut être ni modifié ni supprimé.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Sélectionnez la zone à modifier, ici my-zone .

   global# zonecfg -z my-zone

3. Sélectionnez le type de ressource à modifier, par exemple un contrôle de ressource.

   zonecfg:my-zone> select rctl name=zone.cpu-shares

4. Supprimez la valeur actuelle.

   zonecfg:my-zone:rctl> remove value (priv=privileged,limit=20,action=none)

5. Ajoutez la nouvelle valeur.

   zonecfg:my-zone:rctl> add value (priv=privileged,limit=10,action=none)

6. Terminez la spécification rctl modifiée.

   zonecfg:my-zone:rctl> end

7. Validez la configuration de la zone.

   zonecfg:my-zone> commit

8. Quittez la commande zonecfg.

   zonecfg:my-zone> exit

   Notez que, même si vous ne répondez pas explicitement commit à l'invite, l'opération commit est automatiquement tentée lorsque vous tapez exit ou lorsqu'une condition EOF se produit.

   Les modifications effectuées à l'aide de zonecfg prennent effet lorsque vous réinitialisez la zone.

Solaris 10 8/07 : effacement d'un type de propriété dans la configuration d'une zone

Utilisez cette procédure pour réinitialiser une propriété autonome.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Sélectionnez la zone à modifier, ici my-zone.

   global# zonecfg -z my-zone

3. Effacez la propriété à modifier, ici l'association de pools existante.

   zonecfg:my-zone> clear pool

4. Validez la configuration de la zone.

   zonecfg:my-zone> commit

5. Quittez la commande zonecfg.

   zonecfg:my-zone> exit

   Notez que, même si vous ne répondez pas explicitement commit à l'invite, l'opération commit est automatiquement tentée lorsque vous tapez exit ou lorsqu'une condition EOF se produit.

   Les modifications effectuées à l'aide de zonecfg prennent effet lorsque vous réinitialisez la zone.

De Solaris 10 3/05 à Solaris 10 11/06 : modification d'un type de propriété dans la configuration d'une zone

La procédure ci-dessous permet de réinitialiser une propriété autonome ne possédant pas de propriétés liées à configurer. Vous pouvez par exemple rétablir la ressource pool sur null pour supprimer une association de pools existante.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Sélectionnez la zone à modifier, ici my-zone.

   global# zonecfg -z my-zone

3. Réinitialisez la propriété à modifier, ici l'association de pools existante.

   zonecfg:my-zone> set pool=""

4. Validez la configuration de la zone.

   zonecfg:my-zone> commit

5. Quittez la commande zonecfg.

   zonecfg:my-zone> exit

   Notez que, même si vous ne répondez pas explicitement commit à l'invite, l'opération commit est automatiquement tentée lorsque vous tapez exit ou lorsqu'une condition EOF se produit.

   Les modifications effectuées à l'aide de zonecfg prennent effet lorsque vous réinitialisez la zone.

Solaris 10 8/07 : renommage d'une zone

Cette procédure peut être utilisée pour renommer les zones dont l'état est Configuré ou Installé.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Sélectionnez la zone à renommer, ici my-zone.

   global# zonecfg -z my-zone

3. Renommez la zone. Par exemple, nommez-la newzone.

   zonecfg:my-zone> set zonename=newzone

4. Validez la modification.

   zonecfg:newzone> commit

5. Quittez la commande zonecfg.

   zonecfg:newzone> exit

   Les modifications effectuées à l'aide de zonecfg prennent effet lorsque vous réinitialisez la zone.

Ajout d'un périphérique dédié à une zone

La spécification ci-après permet d'ajouter un scanner à la configuration d'une zone non globale.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Ajoutez un périphérique.

   zonecfg:my-zone> add device

3. Définissez la correspondance de périphérique, ici /dev/scsi/scanner/c3t4*.

   zonecfg:my-zone:device> set match=/dev/scsi/scanner/c3t4*

4. Terminez la spécification du périphérique.

   zonecfg:my-zone:device> end

5. Quittez la commande zonecfg.

   zonecfg:my-zone> exit

Définition de zone.cpu-shares dans une zone globale

Cette procédure permet de définir de manière persistante les parts de CPU dans une zone globale.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Utilisez la commande zonecfg.

   # zonecfg -z global

3. Définissez cinq parts dans la zone globale.

   zonecfg:global> set cpu-shares=5

4. Quittezzonecfg.

   zonecfg:global> exit

Rétablissement ou suppression de la configuration d'une zone à l'aide de zonecfg

Pour rétablir ou supprimer la configuration d'une zone, exécutez la commande zonecfg décrite dans la page de manuel zonecfg(1M).

Rétablissement de la configuration d'une zone

Pour annuler le paramétrage d'une ressource pendant la configuration d'une zone à l'aide de l'utilitaire zonecfg, exécutez la commande revert.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Pendant la configuration de la zone tmp-zone, tapez info pour afficher la configuration :

   zonecfg:tmp-zone> info

   Le segment concernant la ressource net de la configuration se présente de la manière suivante :

   . . . fs: dir: /tmp special: swap type: tmpfs net: address: 192.168.0.1 physical: eri0 device match: /dev/pts/* . . .

3. Supprimez l'adresse réseau :

   zonecfg:tmp-zone> remove net address=192.168.0.1

4. Assurez-vous que l'entrée net a été supprimée.

   zonecfg:tmp-zone> info

   . . . fs: dir: /tmp special: swap type: tmpfs device match: /dev/pts/* . . .

5. Entrez revert.

   zonecfg:tmp-zone> revert

6. Répondez oui à la question suivante :

   Are you sure you want to revert (y/[n])? y

7. Assurez-vous que l'adresse réseau a été rétablie :

   zonecfg:tmp-zone> info

   . . . fs: dir: /tmp special: swap type: tmpfs net: address: 192.168.0.1 physical: eri0 device match: /dev/pts/* . . .

Suppression de la configuration d'une zone

Pour supprimer la configuration d'une zone du système, utilisez la commande zonecfg avec la sous-commande delete.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Supprimez la configuration de la zone a-zone de l'une des deux manières suivantes :

   • Utilisez l'option -F pour forcer la suppression :

     global# zonecfg -z a-zone delete -F

   • Supprimez la zone de manière interactive en répondant oui à l'invite du système :

     global# zonecfg -z a-zone delete Are you sure you want to delete zone a-zone (y/[n])? y

Chapitre 19 À propos de l'installation, de l'arrêt, du clonage et de la désinstallation de zones non globales (présentation)

Ce chapitre décrit l'installation de zones sur un système Solaris. Il explique également les deux processus qui gèrent la plate-forme virtuelle et l'environnement applicatif, soit zoneadmd et zsched, et fournit des informations concernant l'arrêt, la réinitialisation, le clonage et la désinstallation des zones.

Il comprend les sections suivantes :

• Concepts d'installation et d'administration de zones

• Construction de zones

• Démon zoneadmd

• Ordonnanceur de zone zsched

• Environnement applicatif des zones

• À propos de l'arrêt, de la réinitialisation et de la désinstallation des zones

• Solaris 10 11/06 et versions ultérieures : à propos du clonage de zones non globales

Pour en savoir plus sur le clonage, l'installation, l'initialisation, l'arrêt ou la désinstallation des zones non globales, reportez-vous au Chapitre 20Installation, initialisation, arrêt, désinstallation et clonage de zones non globales (tâches).

Pour plus d'informations sur l'installation de zones marquées lx, reportez-vous au Chapitre 34À propos de l'installation, de l'initialisation, de l'arrêt, du clonage et de la désinstallation des zones marquées lx (présentation) et au Chapitre 35Installation, initialisation, arrêt, désinstallation et clonage de zones marquées lx (tâches).

Nouveautés

Solaris 10 11/06 : vous pouvez désormais cloner des zones non globales. Reportez-vous à la section Solaris 10 11/06 : clonage d'une zone non globale sur le même système.

Solaris 10 8/07 : des informations concernant les arguments d'initialisation ont été ajoutées. Reportez-vous à la section Solaris 10 8/07 : arguments d'initialisation des zones.

Solaris 10 5/09 : le clone ZFS a été implémenté. Lorsque l'emplacement zonepath source et l'emplacement zonepath cible résident sur ZFS et se trouvent dans le même pool, la commande zoneadm clone utilise automatiquement ZFS pour cloner la zone. Si les emplacements zonepath sont non ZFS, ou si l'un est ZFS et l'autre est non ZFS, le code utilisera la technique de copie existante.

Concepts d'installation et d'administration de zones

La commande zoneadm, décrite dans la page de manuel zoneadm(1M), est le principal outil d'installation et d'administration de zones non globales. Les opérations faisant appel à la commande zoneadm doivent être effectuées depuis la zone globale. La commande zoneadm permet d'exécuter les tâches suivantes :

• vérifier une zone ;

• installer une zone ;

• initialiser une zone (opération similaire à l'initialisation d'un système Solaris normal) ;

• afficher des informations concernant la zone en cours d'exécution ;

• arrêter une zone ;

• réinitialiser une zone ;

• désinstaller une zone ;

• déplacer une zone à l'intérieur d'un système ;

• créer une nouvelle zone en se basant sur la configuration d'une zone existant sur le même système ;

• faire migrer une zone à l'aide de la commande zonecfg.

Pour en savoir plus sur les procédures d'installation et de vérification des zones, reportez-vous au Chapitre 20Installation, initialisation, arrêt, désinstallation et clonage de zones non globales (tâches) et à la page de manuel zoneadm(1M). Pour plus d'informations sur les options de commande zoneadm list prises en charge, reportez-vous à la page de manuel zoneadm(1M. ) Pour en savoir plus sur les procédures de configuration des zones, reportez-vous au Chapitre 18Planification et configuration de zones non globales (tâches) et à la page de manuel zonecfg(1M). Les états de zones sont décrits à la section États des zones non globales.

Si vous avez l'intention de produire des enregistrements de contrôle Solaris pour les zones, lisez la section Utilisation du contrôle Solaris dans les zones avant d'installer des zones non globales.

Construction de zones

Cette section porte uniquement sur la construction intiale de zones. Elle ne traite pas du clonage des zones existantes.

Après avoir configuré une zone non globale, il est important de vérifier que la configuration du système est compatible avec son installation. Cela étant fait, vous pouvez installer la zone. Les fichiers nécessaires au système de fichiers racine de la zone sont installés sous cette racine par le système.

Une zone non globale dotée d'une configuration réseau ouverte (generic_open.xml) est installée. Pour plus d'informations sur les types de configurations réseau, reportez-vous au Chapitre 19, Managing Services (Tasks) du System Administration Guide: Basic Administration. L'administrateur de zone peut définir la zone en configuration réseau limitée (generic_limited_net.xml) grâce à la commande netservices. En outre, des services spécifiques peuvent être activés ou désactivés à l'aide des commandes SMF.

Dès qu'une zone est installée, elle est prête pour la première connexion et la première initialisation.

La méthode à employer pour renseigner une zone non globale est identique à celle utilisée lors de l'installation initiale des packages Solaris.

La zone globale doit contenir toutes les données nécessaires au renseignement d'une zone non globale. Cette opération englobe la création de répertoires, la copie de fichiers et la spécification d'informations concernant la configuration.

Seules les informations ou les données créées dans la zone globale à partir de packages sont utilisées pour renseigner les zones à partir de la zone globale. Pour plus d'informations, reportez-vous aux pages de manuel pkgparam(1) et pkginfo(4).

Les données suivantes ne sont ni référencées ni copiées lors de l'installation d'une zone :

• packages non installés ;

• patchs ;

• données sur CD ou DVD ;

• images d'installation réseau ;

• tout prototype ou autre instance de zone.

De plus, s'ils sont présents dans la zone globale, les types d'informations suivants ne sont pas copiés dans les zones en cours d'installation :

• nouveaux utilisateurs ou utilisateurs modifiés dans le fichier /etc/passwd ;

• nouveaux groupes ou groupes modifiés dans le fichier /etc/group ;

• configurations des services réseau (assignation d'adresses DHCP, UUCP ou sendmail, etc.) ;

• configurations des services réseau (services d'attribution de nom, etc.) ;

• nouvelle table crontab ou table crontab modifiée, nouvelle imprimante ou imprimante modifiée, nouveaux fichiers de courrier ou fichiers de courrier modifiés ;

• fichiers de journal système, de messages et de comptabilité.

En cas d'utilisation du contrôle Solaris, il peut s'avérer nécessaire de modifier les fichiers de contrôle copiés dans la zone globale. Pour plus d'informations, reportez-vous à la section Utilisation du contrôle Solaris dans les zones.

Les fonctionnalités suivantes ne peuvent pas être configurées dans des zones non globales :

• environnements d'initialisation Solaris Live Upgrade ;

• métapériphériques Solaris Volume Manager ;

• affectation d'adresse DHCP dans une zone en mode IP partagé ;

• serveur proxy SSL.

Les ressources spécifiées dans le fichier de configuration sont ajoutées lorsque la zone passe de l'état installé à l'état prêt. Un ID de zone unique est attribué par le système. Les systèmes de fichiers sont montés, les interfaces réseau paramétrées et les périphériques configurés. Le passage de la zone à l'état prêt prépare la plate-forme virtuelle en vue de l'exécution des processus utilisateur. Lorsque la zone est prête, les processus zsched et zoneadmd sont démarrés pour gérer la plate-forme virtuelle.

• zsched, un processus de planification similaire à sched, permet d'assurer le suivi des ressources du noyau associées à la zone.

• zoneadmd est le démon d'administration des zones.

Toute zone prête ne contient aucun processus utilisateur en cours d'exécution, alors que toute zone en cours d'exécution en contient au moins un. C'est la principale différence entre ces deux états. Pour plus d'informations, reportez-vous à la page de manuel init(1M).

Démon zoneadmd

Le démon d'administration des zones, zoneadmd, est le principal processus de gestion de la plate-forme virtuelle des zones. Il est aussi responsable de la gestion de l'initialisation et de l'arrêt des zones. Un processus zoneadmd est exécuté pour chaque zone active (état Prêt, En cours d'exécution ou Arrêt en cours) du système.

Le démon zoneadmd paramètre la zone selon la configuration de cette dernière. Ce processus englobe les actions suivantes :

• allocation d'un ID de zone et le démarrage du processus système zsched ;

• paramétrage des contrôles de ressources à l'échelle de la zone ;

• préparation des périphériques de la zone selon la configuration de cette dernière (pour plus d'informations, reportez-vous à la page de manuel devfsadmd(1M)) ;

• paramétrage des interfaces réseau virtuelles ;

• montage des systèmes de fichiers loopback et conventionnels ;

• instanciation et initialisation du périphérique de la console de la zone.

zoneadm lance automatiquement le démon zoneadmd, sauf s'il est déjà en cours d'exécution. Si, pour une raison quelconque, il n'est pas en cours d'exécution, tout appel de zoneadm pour administrer la zone redémarre zoneadmd.

Pour plus d'informations sur le démon zoneadmd reportez-vous à la page de manuel zoneadmd(1M).

Ordonnanceur de zone zsched

Une zone active est une zone dont l'état affiche Prêt, En cours d'exécution ou Arrêt en cours. Un processus de noyau est associé à toute zone active : zsched. Les threads du noyau exécutant des tâches pour le compte de la zone appartiennent à zsched. Le processus zsched permet au sous-système des zones d'assurer le suivi des threads de noyau par zone.

Environnement applicatif des zones

La commande zoneadm permet de créer un environnement applicatif de zone.

Avant la première initialisation d'une zone non globale, il est nécessaire de créer la configuration interne de la zone. Cette configuration spécifie le service d'attribution de nom à utiliser, l'environnement linguistique et le fuseau horaire par défaut, le mot de passe de la racine de la zone et d'autres éléments de l'environnement applicatif. La définition de cet environnement s'effectue en répondant à une série d'invites qui s'affichent sur la console de la zone, comme expliqué dans la section Configuration interne d'une zone. Notez que l'environnement linguistique et le fuseau horaire par défaut d'une zone peuvent être configurés indépendamment des paramètres globaux.

À propos de l'arrêt, de la réinitialisation et de la désinstallation des zones

Cette section offre un aperçu des procédures d'arrêt, d'initialisation et de désinstallation des zones. Elle fournit également des astuces permettant de dépanner les zones qui ne s'arrêtent pas en temps voulu.

Arrêt d'une zone

La commande zoneadm halt permet de supprimer l'environnement applicatif et la plate-forme virtuelle d'une zone. La zone revient alors à l'état installé. Tous les processus sont interrompus, la configuration des périphériques est annulée, les interfaces réseau sont détruites, les systèmes de fichiers démontés et les structures de données du noyau également détruites.

La commande halt n'exécute pas de script d'arrêt à l'intérieur de la zone. Pour arrêter une zone, reportez-vous à la section Arrêt d'une zone à l'aide de zlogin.

Si l'arrêt échoue, reportez-vous à la section La zone ne s'arrête pas.

Réinitialisation d'une zone

La commande zoneadm reboot permet de réinitialiser une zone. Celle-ci est arrêtée, puis réinitialisée. Son ID de zone change lors de sa réinitialisation.

Solaris 10 8/07 : arguments d'initialisation des zones

Les zones prennent en charge les arguments d'initialisation suivants avec les commandes zoneadm boot et reboot :

• -i altinit

• -m options_smf

• -s

Les définitions suivantes s'appliquent :

-i altinit

Sélectionne un exécutable alternatif pouvant être utilisé comme premier processus. altinit doit être un chemin valide vers un exécutable. Le premier processus par défaut est décrit dans la page de manuel init(1M).

-m options_smf

Contrôle le comportement de SMF lors de l'initialisation. Il existe deux catégories d'options : les options de reprise et les options de messages. Les options de messages déterminent le type et le nombre de messages s'affichant pendant l'initialisation. Les options de services déterminent les services utilisés pour initialiser le système.

Les options suivantes sont applicables à une reprise :

debug

Imprime une sortie standard par service et tous les messages svc.startd à consigner.

milestone=jalon

Initialise sur le sous-graphe défini par le jalon donné. Les jalons valides sont none, single-user, multi-user, multi-user-server et all.

Les options de messages incluent :

quiet

Imprime une sortie standard par service et les messages d'erreur requérant une intervention administrative.

verbose

Imprime une sortie standard par service et les messages fournissant plus d'informations.

-s

Initialisation uniquement sur svc:/milestone/single-user:default . Ce jalon est équivalent au niveau s de init.

Vous trouverez des exemples d'utilisation dans les sections Initialisation d'une zone et Initialisation d'une zone en mode monoutilisateur.

Pour plus d'informations sur l'utilitaire de gestion des services Solaris (SMF, Service Management Facility) et sur le processus init, reportez-vous au Chapitre 18, Managing Services (Overview) du System Administration Guide: Basic Administration et aux pages de manuel svc.startd(1M) et init(1M).

Initialisation automatique (autoboot) d'une zone

Si, dans une configuration de zone, vous définissez la propriété de ressource autoboot sur true, cette zone est automatiquement initialisée lors de l'initialisation de la zone globale. Le paramètre par défaut est false.

Notez que les zones ne s'initialisent automatiquement que si le service svc:/system/zones:default est activé.

Désinstallation d'une zone

La commande zoneadm uninstall permet de désinstaller tous les fichiers se trouvant sous le système de fichiers racine de la zone. Avant de procéder à la désinstallation, la commande vous invite à la confirmer, sauf si vous avez utilisé l'option -F (force). Utilisez la commande uninstall avec discernement, car la désinstallation est irréversible.

Solaris 10 11/06 et versions ultérieures : à propos du clonage de zones non globales

Le clonage permet de copier une zone existante configurée et installée sur un système pour créer une nouvelle zone sur ce même système. Notez que vous devez au moins réinitialiser les propriétés et les ressources des composants qui ne peuvent pas être identiques pour différentes zones. Vous devez donc impérativement modifier le zonepath. De plus, s'il s'agit d'une zone en mode IP partagé, les adresses IP des diverses ressources réseau doivent être différentes. S'il s'agit d'une zone en mode IP exclusif, les propriétés physiques des ressources réseau doivent être différentes.

• Le clonage est le meilleur moyen d'installer une zone.

• Toutes les modifications effectuées pour personnaliser la zone source, par exemple l'ajout de packages et les modifications apportées aux fichiers, se refléteront dans la nouvelle zone.

Solaris 10 5/09 : lorsque l'emplacement zonepath source et l'emplacement zonepath cible résident sur ZFS et se trouvent dans le même pool, la commande zoneadm clone utilise automatiquement ZFS pour cloner la zone. Lorsque vous utilisez le clonage ZFS, les données ne sont copiées réellement que lorsqu'elles sont modifiées. Ainsi, le clonage initial ne prend que très peu de temps. La commande zoneadm prend un instantané ZFS de l'emplacement zonepath source et configure l'emplacement zonepath cible. Le système nomme l'instantané SUNWzoneX, où x est un ID unique permettant de distinguer les instantanés. L'emplacement zonepath de la zone de destination est utilisé pour attribuer un nom au clone ZFS. Un inventaire est effectué pour permettre au système de valider un instantané utilisé ultérieurement. Pour cloner plusieurs fois une zone source, la commande zoneadm permet de spécifier l'utilisation d'un instantané existant. Le système vérifie et valide que l'instantané existant peut être utilisé dans la cible.

Vous ne pouvez pas utiliser d'instantanés manuels (tel que le type décrit à la section Création et destruction d’instantanés ZFS du Guide d’administration Oracle Solaris ZFS). Ce type d'instantané ne contient pas les données nécessaires à une validation.

Vous pouvez vouloir cloner une zone source plusieurs fois sans pour autant avoir un nouvel instantané pour chaque clone. Le paramètre -s passé à la sous-commande clone vous permet de spécifier qu'un instantané existant issu d'un clone précédent doit être utilisé. Voir Solaris 10 5/09 : clonage d'une zone à partir d'un instantané existant.

Étant donné que le contenu d'un instantané représente une zone à un moment dans le passé, il est possible que le système ait été mis à jour, par exemple par l'application d'un patch ou d'une mise à niveau, depuis que l'instantané a été pris. Le fait que la zone ait été mise à niveau peut rendre l'instantané à utiliser comme une zone non valide sur le système actuel.

Vous pouvez spécifier qu'un emplacement zonepath ZFS doit être copié au lieu d'être cloné en tant que clone ZFS, bien que la source puisse être clonée de cette façon.

Pour plus d'informations, reportez-vous à la section Solaris 10 11/06 : clonage d'une zone non globale sur le même système.

Chapitre 20 Installation, initialisation, arrêt, désinstallation et clonage de zones non globales (tâches)

Ce chapitre explique l'installation et l'initialisation d'une zone non globale, ainsi que la création d'une zone destinée à être installée sur le même système, à l'aide du clonage. D'autres tâches liées à l'installation, telles que l'arrêt, la réinitialisation et la désinstallation des zones, y sont également abordées. Ce chapitre décrit enfin une procédure permettant de supprimer entièrement une zone d'un système.

Pour en savoir plus sur l'installation des zones et les opérations connexes, reportez-vous au Chapitre 19À propos de l'installation, de l'arrêt, du clonage et de la désinstallation de zones non globales (présentation).

Pour plus d'informations sur l'installation et le clonage des zones marquées lx, reportez-vous au Chapitre 34À propos de l'installation, de l'initialisation, de l'arrêt, du clonage et de la désinstallation des zones marquées lx (présentation) et au Chapitre 35Installation, initialisation, arrêt, désinstallation et clonage de zones marquées lx (tâches).

Installation d'une zone (liste des tâches)

Installation et initialisation de zones

La commande zoneadm, décrite dans la page de manuel zoneadm(1M), permet d'exécuter les tâches d'installation des zones non globales. Seul l'administrateur global peut installer ce type de zone. Le nom et le chemin de zone figurant dans les exemples de ce chapitre sont identiques à ceux utilisés dans la section Configuration, vérification et validation d'une zone.

(Optionnel) Vérification d'une zone configurée avant son installation

Il est possible de vérifier les zones avant de les installer. Sans cette étape, la vérification s'exécute automatiquement à l'installation de la zone.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Vérifiez la zone configurée nommée my-zone à l'aide de l'option -z suivie du nom de la zone et de la sous-commande verify.

   global# zoneadm -z my-zone verify

   Le message suivant relatif à la vérification du chemin de la zone s'affiche :

   Warning: /export/home/my-zone does not exist, so it cannot be verified. When 'zoneadm install' is run, 'install' will try to create /export/home1/my-zone, and 'verify' will be tried again, but the 'verify' may fail if: the parent directory of /export/home/my-zone is group- or other-writable or /export/home1/my-zone overlaps with any other installed zones.

   Toutefois, si un message d'erreur s'affiche et si la vérification échoue, effectuez les corrections spécifiées dans le message et réexécutez la commande.

   Si aucun message d'erreur ne s'affiche, vous pouvez installer la zone.

Installation d'une zone configurée

Seul l'administrateur global peut exécuter la procédure ci-dessous.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Installez la zone configurée my-zone à l'aide de la commande zoneadm et de l'option -z install.

   global# zoneadm -z my-zone install

   Différents messages s'affichent durant l'installation, sous la racine de la zone, des fichiers et répertoires requis par le système de fichiers racine de celle-ci.

3. (Optionnel) Si un message d'erreur s'affiche et si l'installation de la zone échoue, tapez les commandes suivantes pour déterminer l'état de la zone :

   global# zoneadm -z my-zone list -v

   • Si la liste indique que la zone est configurée, apportez les corrections spécifiées dans le message et réexécutez la commande zoneadm install.

   • Si la liste indique que la zone est incomplète, exécutez la commande suivante :

     global# zoneadm -z my-zone uninstall

     Apportez ensuite les corrections spécifiées dans le message et réexécutez la commande zoneadm install.

4. Lorsque l'installation est terminée, exécutez la sous-commande list avec les options -i et -v pour afficher la liste des zones installées et vérifier leur état.

   global# zoneadm list -iv

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /export/home/my-zone native shared

Erreurs fréquentes

En cas d'échec ou d'interruption de l'installation, la zone affiche un état Incomplet. Exécutez uninstall -F pour la redéfinir dans l'état Configuré.

Étapes suivantes

Par défaut, cette zone a été installée avec la configuration réseau ouverte décrite dans le Chapitre 19, Managing Services (Tasks) du System Administration Guide: Basic Administration. Vous pouvez passer en configuration réseau ouverte ou activer ou désactiver les services individuels lorsque vous vous connectez à une zone. Pour plus de détails, reportez-vous à la section Commutation de la zone non globale à une configuration de services réseau différente.

Solaris 10 8/07 : obtention de l'UUID d'une zone non globale installée

Lorsqu'une zone est installée, un identifiant universel unique (UUID, universally unique identifier) lui est assigné. Cet identifiant peut être obtenu avec la commande zoneadm, la sous-commande list et l'option -p. L'UUID se trouve dans le cinquième champ s'affichant à l'écran.

1. Affichage des UUID de zones déjà installées.

   global# zoneadm list -p

   Des indications similaires à celles figurant ci-dessous s'affichent :

   0:global:running:/: 6:my-zone:running:/export/home/my-zone:61901255-35cf-40d6-d501-f37dc84eb504

Exemple 20–1 Utilisation de l'UUID dans une commande

global# zoneadm -z my-zone -u 61901255-35cf-40d6-d501-f37dc84eb504 list -v

Si -u concordance uuid et -z nom de zone sont présents, le premier critère de concordance est l'UUID. Si le système trouve une zone possédant l'UUID spécifié, cette zone est utilisée et le paramètre -z est ignoré. Si le système ne trouve pas de zone possédant l'UUID spécifié, il poursuit sa recherche à l'aide du nom de zone.

À propos de l'UUID

Les zones peuvent être désinstallées et réinstallées sous le même nom avec différents contenus. Elles peuvent également être renommées sans que leur contenu soit modifié. C'est pourquoi l'UUID est un identificateur plus fiable que le nom de zone.

Voir aussi

Pour plus d'informations, reportez-vous aux pages de manuel zoneadm(1M) et libuuid(3LIB).

Solaris 10 8/07 : marquage comme Incomplet de l'état d'une zone non globale installée

Lorsqu'une zone installée devient inutilisable ou incohérente du fait de changements administratifs intervenus sur le système, il est possible de marquer son état comme Incomplet.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Marquez l'état de la zone testzone comme Incomplet.

   global# zoneadm -z testzone mark incomplete

3. Exécutez la sous-commande list avec les options -i et -v pour vérifier l'état de la zone.

   global# zoneadm list -iv

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /export/home/my-zone native shared - testzone incomplete /export/home/testzone native shared

Marquage de l'état d'une zone comme Incomplet

Vous pouvez spécifier un environnement d'initialisation de remplacement à l'aide de l'option -R racine, conjointement avec les sous-commandes mark et list de zoneadm. Pour plus d'informations, reportez-vous à la page de manuel zoneadm(1M).

Le marquage de l'état d'une zone comme Incomplet est irréversible. Une fois la zone marquée, vous pouvez uniquement la désinstaller et la remettre en état Configuré. Reportez-vous à la section Désinstallation d'une zone.

(Optionnel) Passage d'une zone installée à l'état Prêt

Le passage d'une zone à l'état Prêt prépare la plate-forme virtuelle en vue de l'exécution des processus utilisateur. Les zones prêtes ne contiennent aucun processus utilisateur en cours d'exécution.

Vous pouvez ignorer cette étape si vous avez l'intention d'initialiser la zone et de l'utiliser immédiatement. Le passage à l'état Prêt s'effectue automatiquement lorsque vous initialisez la zone.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Exécutez la commande zoneadm avec l'option -z, le nom de la zone (ici my-zone) et la sous-commande ready pour faire passer la zone à l'état Prêt.

   global# zoneadm -z my-zone ready

3. À l'invite du système, exécutez la commande zoneadm list avec l'option -v pour vérifier l'état de la zone.

   global# zoneadm list -v

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared 1 my-zone ready /export/home/my-zone native shared

   Notez que l'ID de zone unique 1 a été assigné par le système.

Initialisation d'une zone

L'initialisation d'une zone la fait passer à l'état En cours d'exécution. Toute zone prête ou installée peut être initialisée. Toute zone installée qui est initialisée passe de manière transparente par l'état Prêt avant d'atteindre l'état En cours d'exécution. La connexion à une zone n'est permise que si la zone est en cours d'exécution.

Notez que la configuration interne d'une zone s'effectue lors de la première connexion à cette zone. La procédure correspondante est décrite dans la section Configuration interne d'une zone.

Si vous avez l'intention d'utiliser un fichier /etc/sysidcfg pour effectuer la configuration initiale de la zone, comme décrit dans la section Configuration de zone initiale à l'aide du fichier /etc/sysidcfg, créez le fichier sysidcfg et placez-le dans le répertoire /etc de la zone avant de l'initialiser.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Exécutez la commande zoneadm avec l'option -z, le nom de la zone (ici my-zone) et la sous-commande boot pour initialiser la zone.

   global# zoneadm -z my-zone boot

3. Lorsque l'initialisation est terminée, exécutez la sous-commande list avec l'option -v pour vérifier l'état de la zone.

   global# zoneadm list -v

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared 1 my-zone running /export/home/my-zone native shared

Exemple 20–2 Spécification d'arguments d'initialisation de zones

Initialisation d'une zone avec l'option -m verbose :

global# zoneadm -z my-zone boot -- -m verbose

Réinitialisation d'une zone avec l'option d'initialisation -m verbose :

global# zoneadm -z my-zone reboot -- -m verbose

Réinitialisation de la zone my-zone en tant qu'administrateur de zone avec l'option -m verbose :

my-zone# reboot -- -m verbose

Erreurs fréquentes

Si un message indiquant que le système n'a pas pu trouver le masque réseau à utiliser pour l'adresse IP spécifiée sur les écrans de configuration de la zone s'affiche, reportez-vous à la section Un avertissement netmasks s'affiche lors de l'initialisation de la zone. Notez que ce message n'est qu'un avertissement. La commande a bien été exécutée.

Initialisation d'une zone en mode monoutilisateur

Seul l'administrateur global peut exécuter cette procédure.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Initialisez la zone en mode monoutilisateur.

   global# zoneadm -z my-zone boot -s

Étape suivante

Pour vous connecter à la zone et effectuer la configuration interne initiale, reportez-vous au Chapitre 21Connexion à une zone non globale (présentation) et au Chapitre 22Connexion à une zone non globale (tâches).

Arrêt, réinitialisation, désinstallation, clonage et suppression de zones non globales (liste des tâches)

Arrêt, réinitialisation et désinstallation de zones

Arrêt d'une zone

La procédure d'arrêt permet de supprimer l'environnement applicatif et la plate-forme virtuelle d'une zone. Pour arrêter correctement une zone, reportez-vous à la section Arrêt d'une zone à l'aide de zlogin.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Affichez la liste des zones en cours d'exécution sur le système.

   global# zoneadm list -v

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared 1 my-zone running /export/home/my-zone native shared

3. Exécutez la commande zoneadm avec l'option -z, le nom de la zone (par exemple my-zone) et la sous-commande halt pour arrêter la zone concernée.

   global# zoneadm -z my-zone halt

4. Affichez de nouveau la liste des zones du système pour vous assurer que my-zone a été arrêtée.

   global# zoneadm list -iv

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /export/home/my-zone native shared

5. Initialisez la zone si vous voulez la redémarrer.

   global# zoneadm -z my-zone boot

Erreurs fréquentes

Si l'arrêt échoue, reportez-vous à la section La zone ne s'arrête pas. Vous y trouverez des astuces concernant le dépannage des zones.

Réinitialisation d'une zone

Seul l'administrateur global peut exécuter la procédure ci-dessous.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Affichez la liste des zones en cours d'exécution sur le système.

   global# zoneadm list -v

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared 1 my-zone running /export/home/my-zone native shared

3. Exécutez la commande zoneadm avec l'option -z reboot pour réinitialiser la zone my-zone.

   global# zoneadm -z my-zone reboot

4. Listez de nouveau les zones sur le système pour vous assurer que my-zone a bien été réinitialisée.

   global# zoneadm list -v

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared 2 my-zone running /export/home/my-zone native shared

   ---

   Astuce –

   Notez que l'ID de my-zone a changé. C'est généralement le cas lorsqu'une zone est réinitialisée.

   ---

Désinstallation d'une zone

Utilisez cette procédure avec discernement, car la suppression des fichiers du système de fichiers racine d'une zone est irréversible.

La zone ne doit pas être en cours d'exécution, car la commande uninstall n'est pas valide pour les zones qui se trouvent dans cet état.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Affichez la liste des zones du système.

   global# zoneadm list -v

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /export/home/my-zone native shared

3. Exécutez la commande zoneadm avec l'option -z uninstall pour supprimer la zone my-zone.

   Vous pouvez aussi utiliser l'option -F pour forcer la suppression. Si vous ne la spécifiez pas, le système vous invitera à confirmer la suppression.

   global# zoneadm -z my-zone uninstall -F

4. Affichez de nouveau les zones du système pour vous assurer que my-zone a été supprimée.

   global# zoneadm list -v

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared

Erreurs fréquentes

Lorsque la désinstallation est interrompue, la zone affiche un état Incomplet. Exécutez la commande zoneadm uninstall pour repasser la zone à l'état Configuré.

Utilisez la commande uninstall avec discernement, car la désinstallation est irréversible.

Solaris 10 11/06 : clonage d'une zone non globale sur le même système

Le clonage permet de créer une nouvelle zone sur un système en copiant les données d'un emplacement zonepath source vers un emplacement zonepath cible.

À partir de la version 10 5/09 de Solaris, lorsqu'un emplacement zonepath source et un emplacement zonepath cible résident sur ZFS et se trouvent dans le même pool, la commande zoneadm clone utilise automatiquement ZFS pour cloner la zone. Toutefois, vous pouvez indiquer que l'emplacement zonepath ZFS doit être copié et non cloné via ZFS.

Clonage d'une zone

Vous devez configurer la nouvelle zone avant de l'installer. Le paramètre à spécifier dans la sous-commande zoneadm create est le nom de la zone à cloner. Cette zone source doit être arrêtée.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Arrêtez la zone source à cloner, ici my-zone.

   global# zoneadm -z my-zone halt

3. Pour commencer à configurer la nouvelle zone, exportez la configuration de la zone source, ici my-zone, vers un fichier, par exemple master.

   global# zonecfg -z my-zone export -f /export/zones/master

   ---

   Remarque –

   Vous pouvez également créer la configuration de la nouvelle zone en appliquant la procédure décrite dans la section Configuration d'une zone au lieu de modifier la configuration existante. Dans ce cas, passez directement à l'étape 6 après avoir créé la zone.

   ---

4. Éditez le fichier master. Certains composants ne pouvant pas être identiques dans des zones différentes, définissez les propriétés et ressources correspondantes. Vous devez par exemple définir un nouveau zonepath. S'il s'agit d'une zone en mode IP partagé, vous devez modifier les adresses IP de chacune des ressources réseau. S'il s'agit d'une zone en mode IP exclusif, vous devez modifier les propriétés physiques de chacune des ressources réseau.

5. Créez la nouvelle zone zone1 en exécutant les commandes dans le fichier master.

   global# zonecfg -z zone1 -f /export/zones/master

6. Installez la nouvelle zone zone1 en clonant my-zone.

   global# zoneadm -z zone1 clone my-zone

   Le système affiche :

   Cloning zonepath /export/home/my-zone...

   À partir de la version 10 5/09 de Solaris, si l'emplacement zonepath source se trouve dans un pool ZFS, par exemple zeepool, le système affiche :

   Cloning snapshot zeepool/zones/my-zone@SUNWzone1 Instead of copying, a ZFS clone has been created for this zone.

7. Affichez la liste des zones du système.

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /export/home/my-zone native shared - zone1 installed /export/home/zone1 native shared

Solaris 10 5/09 : clonage d'un emplacement zonepath source sur un système de fichiers ZFS

Lorsque la commande zoneadm clone un emplacement zonepath source se trouvant sur son propre système de fichiers ZFS, les actions suivantes s'exécutent :

• La commande zoneadm réalise un inventaire logiciel.

• La commande zoneadm prend un instantané ZFS et le nomme SUNWzoneX (par exemple SUNWzone1).

• La commande zoneadm clone l'instantané à l'aide du clonage ZFS.

Solaris 10 5/09 : clonage d'une zone à partir d'un instantané existant

Vous pouvez cloner une zone source plusieurs fois à partir d'un instantané pris lors du clonage de la zone.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Configurez la zone zone2.

3. Indiquez qu'un instantané existant doit être utilisé pour créer new-zone2.

   global# zoneadm -z zone2 clone -s zeepool/zones/my-zone@SUNWzone1 my-zone

   Le système affiche :

   Cloning snapshot zeepool/zones/my-zone@SUNWzone1

   La commande zoneadm valide le logiciel à partir de l'instantané SUNWzone1 et clone l'instantané.

4. Affichez la liste des zones du système.

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /zeepool/zones/my-zone native shared - zone1 installed /zeepool/zones/zone1 native shared - zone2 installed /zeepool/zones/zone2 native shared

Solaris 10 5/09 : utilisation de la copie au lieu du clone ZFS

Appliquez cette procédure pour empêcher le clonage automatique d'une zone sur un système de fichiers ZFS en spécifiant que l'emplacement zonepath doit être copié (et non cloné).

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Indiquez que l'emplacement zonepath sur ZFS doit être copié et non cloné via ZFS.

   global# zoneadm -z zone1 clone -m copy my-zone

Suppression d'une zone non globale du système

La procédure décrite dans cette section supprime complètement la zone du système.

Suppression d'une zone non globale

1. Arrêtez la zone my-zone.

   global# zlogin my-zone shutdown -y -g0 -i0

2. Supprimez le système de fichiers racine de my-zone.

   global# zoneadm -z my-zone uninstall -F

3. Supprimez la configuration de my-zone.

   global# zonecfg -z my-zone delete -F

4. Affichez la liste des zones du système pour vous assurer que my-zone a été supprimée.

   global# zoneadm list -iv

   Des indications similaires à celles figurant ci-dessous s'affichent :

   ID NAME STATUS PATH BRAND IP 0 global running / native shared

Chapitre 21 Connexion à une zone non globale (présentation)

Ce chapitre traite de la connexion aux zones depuis la zone globale.

Il comprend les sections suivantes :

• Commande zlogin

• Configuration interne d'une zone

• Méthodes de connexion à une zone non globale

• Modes interactif et non interactif

• Mode de secours

• Connexion à distance

Pour plus d'informations, reportez-vous au Chapitre 22Connexion à une zone non globale (tâches).

Commande zlogin

Après avoir installé une zone, il est nécessaire de s'y connecter pour compléter son environnement applicatif, ainsi que pour exécuter différentes tâches administratives. Toute connexion à une zone à l'aide de la commande zlogin entraîne le démarrage d'une nouvelle tâche, excepté si vous avez utilisé l'option -C pour vous connecter à la console de la zone. Une tâche ne peut englober deux zones.

La commande zlogin permet de se connecter, depuis la zone globale, à toute zone prête ou en cours d'exécution.

Seule la commande zlogin avec l'option -C permet de se connecter à une zone qui n'est pas en cours d'exécution.

Comme décrit dans la section Accès à une zone à l'aide du mode non interactif, vous pouvez utiliser la commande zlogin en mode non interactif en spécifiant une commande à exécuter à l'intérieur de la zone. La commande ou tout fichier sur lequel la commande agit ne doivent toutefois pas résider sur le système de fichiers NFS. Elle échoue si l'un des fichiers ouverts ou l'une des portions d'espace d'adresse de la commande réside sur NFS. L'espace d'adresse contient l'exécutable de la commande et les bibliothèques liées à celle-ci.

La commande zlogin peut uniquement être utilisée par l'administrateur global et dans la zone globale. Pour plus d'informations, reportez-vous à la page de manuel zlogin(1).

Configuration interne d'une zone

Après installation, les zones se trouvent dans un état non configuré. Elles ne possèdent pas de configuration interne pour les services d'attribution de nom, leur environnement linguistique et leur fuseau horaire ne sont pas définis et différentes tâches de configuration n'ont pas été exécutés. C'est pourquoi les programmes sysidtool sont exécutés lors de la première connexion à la console de la zone. Pour plus d'informations, reportez-vous à la page de manuel sysidtool(1M).

Pour effectuer la configuration requise, vous avez le choix entre deux méthodes :

• Connexion à la console de la zone. Le système émet alors une série de questions. Vous devrez spécifier :

  • la langue ;

  • le type de terminal utilisé ;

  • le nom d'hôte ;

  • la stratégie de sécurité (Kerberos ou UNIX standard) ;

  • le type de service d'attribution de nom (None est une réponse valide) ;

  • le domaine de service d'attribution de nom ;

  • le serveur de noms ;

  • le fuseau horaire par défaut ;

  • le mot de passe root.

  La procédure est décrite dans la section Configuration de la zone interne initiale.

• Création d'un fichier /etc/sysidcfg et placement de celui-ci à l'intérieur de la zone avant la première initialisation de celle-ci. Pour plus d'informations, reportez-vous à la page de manuel sysidcfg(4).

Méthodes de connexion à une zone non globale

Cette section décrit les méthodes que vous pouvez utiliser pour vous connecter à une zone non globale.

Connexion à la console de la zone

Chaque zone possède une console virtuelle, /dev/console. Lorsque vous réalisez des actions sur cette console, vous êtes en mode console. Ce type de console est très similaire à la console série d'un système. La réinitialisation des zones n'interrompt pas la connexion à la console. Pour comprendre en quoi le mode console diffère d'une session de connexion telle que telnet, reportez-vous à la section Connexion à distance.

Pour accéder à la console de la zone, exécutez la commande zlogin avec l'option -C et le nom de zone. Il n'est pas nécessaire que la zone soit en cours d'exécution.

Les processus qui se trouvent à l'intérieur de la zone peuvent ouvrir et écrire des messages à la console. Si le processus zlogin -C se ferme, d'autres processus peuvent accéder à la console.

Méthodes de connexion utilisateur

Pour vous connecter à la zone avec un nom d'utilisateur, exécutez la commande zlogin avec l'option -l, le nom d'utilisateur et le nom de zone. L'administrateur de la zone globale peut par exemple se connecter en tant qu'utilisateur normal à une zone non globale en utilisant l'option -l avec la commande zlogin :

global# zlogin -l user zonename

Pour vous connecter en tant qu'utilisateur root, exécutez la commande zlogin sans option.

Mode de secours

En cas de problème de connexion, si vous ne pouvez pas accéder à la zone à l'aide de la commande zlogin ou de la commande zlogin avec l'option -C, vous pouvez avoir recours au mode de secours. Il vous suffit d'exécuter la commande zlogin avec l'option -S (safe). N'utilisez ce mode pour récupérer une zone endommagée que si toutes les autres formes de connexion ont échoué. Il vous sera plus facile de diagnostiquer les causes de l'échec de la connexion dans cet environnement restreint.

Connexion à distance

La possibilité d'établir une connexion distante avec une zone dépend de votre choix de services réseau. Par défaut, les connexions via rlogin, ssh et telnet fonctionnent normalement. Pour plus d'informations sur ces commandes, reportez-vous aux pages de manuel rlogin(1), ssh(1) et telnet(1).

Modes interactif et non interactif

La commande zlogin fournit deux autres modes permettant d'accéder à une zone et d'exécuter des commandes à l'intérieur de celle-ci : le mode interactif et le mode non interactif.

Mode interactif

En mode interactif, un nouveau pseudoterminal est alloué pour être utilisé à l'intérieur de la zone. Contrairement à ce qui se produit en mode console, dans lequel un accès exclusif à la console est fourni, en mode interactif, un nombre arbitraire de sessions zlogin peuvent être ouvertes à tout moment. Le mode interactif s'active lorsque vous n'incluez pas de commande à exécuter. Les programmes requérant un terminal (par exemple les éditeurs) fonctionnent correctement dans ce mode.

Mode non interactif

Le mode non interactif s'emploie pour exécuter des scripts de shell d'administration de zone. Le mode non interactif n'alloue pas de nouveau pseudoterminal. Le mode non interactif s'active lorsque vous spécifiez une commande à exécuter à l'intérieur de la zone.

Chapitre 22 Connexion à une zone non globale (tâches)

Ce chapitre décrit les procédures relatives à la finalisation de la configuration d'une zone installée, à la connexion à une zone à partir de la zone globale et à l'arrêt d'une zone. Il illustre également l'utilisation de la commande zonename pour imprimer le nom de la zone actuelle.

Pour obtenir une introduction au processus de connexion aux zones, reportez-vous auChapitre 21Connexion à une zone non globale (présentation).

Procédures d'initialisation de la zone et de connexion à la zone (liste des tâches)

Configuration de la zone interne initiale

La configuration de la zone s'effectue selon l'une des méthodes suivantes :

• Connectez-vous à la zone et configurez-la comme expliqué dans la section Configuration interne d'une zone.

• Configurez la zone à l'aide du fichier /etc/sysidcfg tel que décrit dans la section Configuration de zone initiale à l'aide du fichier /etc/sysidcfg.

Une fois la configuration interne terminée, il est recommandé de réaliser une copie de la configuration de la zone non globale. Cette sauvegarde permet de restaurer la zone à l'avenir. En tant que superutilisateur ou administrateur principal, imprimez la configuration pour la zone my-zone dans un fichier. Cet exemple utilise le fichier my-zone.config.

global# zonecfg -z my-zone export > my-zone.config

Reportez-vous à la section Restauration d'une zone non globale pour de plus amples informations.

Méthode de connexion à la console de la zone pour effectuer la configuration de zone interne

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Dans cette procédure, exécutez la commande zlogin avec l'option -C et le nom de la zone, my-zone.

   global# zlogin -C my-zone

3. Réinitialisez la zone à partir d'une autre fenêtre de terminal.

   global# zoneadm -z my-zone boot

   La ligne suivante s'affiche dans la fenêtre zlogin :

   [NOTICE: Zone booting up]

4. Lors de la première connexion à la console, vous êtes invité à répondre à une série de questions. Votre écran sera similaire à ce qui suit :

   SunOS Release 5.10 Version Generic 64-bit Copyright 1983-2006 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. Hostname: my-zone Loading smf(5) service descriptions: Select a Language 1. English 2. es 2. fr Please make a choice (0 - 1), or press h or ? for help: Select a Locale 1. English (C - 7-bit ASCII) 2. Canada (English) (UTF-8) 4. U.S.A. (UTF-8) 5. U.S.A. (en_US.ISO8859-1) 6. U.S.A. (en_US.ISO8859-15) 7. Go Back to Previous Screen Please make a choice (0 - 9), or press h or ? for help: What type of terminal are you using? 1) ANSI Standard CRT 2) DEC VT52 3) DEC VT100 4) Heathkit 19 5) Lear Siegler ADM31 6) PC Console 7) Sun Command Tool 8) Sun Workstation 9) Televideo 910 10) Televideo 925 11) Wyse Model 50 12) X Terminal Emulator (xterms) 13) CDE Terminal Emulator (dtterm) 14) Other Type the number of your choice and press Return: 13 . . .

   Pour obtenir la liste complète des questions auxquelles vous devez répondre, reportez-vous à la section Configuration interne d'une zone.

5. (Facultatif) Si vous n'utilisez pas deux fenêtres, tel que décrit dans l'étape 3, il est possible que vous n'ayez pas vu l'invite de saisie des informations de configuration. Il est possible que le message système suivant s'affiche lors de la connexion à une zone, au lieu de l'invite :

   [connected to zone zonename console]

   Dans ce cas, appuyez sur Retour pour afficher de nouveau l'invite.

   En cas de saisie d'une réponse incorrecte et de tentative de redémarrage de la configuration, le processus peut présenter des difficultés. En effet, les outils sysidtools peuvent stocker les réponses précédentes.

   Si cela se produit, redémarrez le processus de configuration en appliquant la solution suivante à partir de la zone globale.

   global# zlogin -S zonename /usr/sbin/sys-unconfig

   Pour de plus amples informations sur la commande sys-unconfig, reportez-vous à la page de manuel sys-unconfig(1M).

Configuration de zone initiale à l'aide du fichier /etc/sysidcfg

Solaris 10 8/07 : Le mot-clé nfs4_domain a été ajouté. Les exemples de fichiers utilisent ce mot-clé. L'étape 4 ci-après est une étape supplémentaire applicable aux versions plus anciennes.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. À partir de la zone globale, déplacez les répertoires vers le répertoire /etc de la zone non globale :

   global# cd /export/home/my-zone/root/etc

3. Créez le fichier sysidcfg et placez-le dans ce répertoire.

   Voici un exemple de ce fichier :

   • Pour une zone en mode IP partagé :

     system_locale=C terminal=dtterm network_interface=primary { hostname=my-zone } security_policy=NONE name_service=NIS { domain_name=special.example.com name_server=bird(192.168.112.3) } nfs4_domain=domain.com timezone=US/Central root_password=m4qtoWN

   • Pour une zone en mode IP exclusif avec configuration IP fixe :

     system_locale=C terminal=dtterm network_interface=primary { hostname=my-zone default_route=10.10.10.1 ip_address=10.10.10.13 netmask=255.255.255.0 } nfs4_domain=domain.com timezone=US/Central root_password=m4qtoWN

   • Pour une zone en mode IP exclusif avec options DHCP et IPv6 :

     system_locale=C terminal=dtterm network_interface=primary { dhcp protocol_ipv6=yes } security_policy=NONE name_service=DNS { domain_name=example.net name_server=192.168.224.11,192.168.224.33 } nfs4_domain=domain.com timezone=US/Central root_password=m4qtoWN

4. Si vous exécutez une version antérieure à la version 10 8/07 de Solaris, le mot-clé nfs4_domain ne figure pas dans le fichier sysidcfg. Par défaut, un module séparé requiert le paramètre de domaine NFSv4 utilisé par la commande nfsmapid. Pour terminer une configuration de zone initiale non manuelle, modifiez le fichier default/nfs, annulez le commaire du paramètre NFSMAPID_DOMAIN et définissez le domaine sur le domaine NFSv4 souhaité :

   global# vi default/nfs . . . NFSMAPID_DOMAIN=domain

   Créez le fichier .NFS4inst_state.domain dans ce répertoire pour indiquer que le domaine NFSv4 a été défini :

   global# touch .NFS4inst_state.domain

   Pour de plus amples informations sur le paramètre de domaine NFSv4, reportez-vous à la page de manuel nfsmapid(1M).

5. Initialisez la zone.

Voir aussi

Pour plus d'informations, reportez-vous à la page de manuel sysidcfg(4).

Connexion à une zone

Utilisez la commande zlogin pour vous connecter à toute zone en cours d'exécution ou prêt à l'être à partir de la zone globale. Pour plus d'informations, reportez-vous à la page de manuel zlogin(1).

Il existe différentes méthodes de connexion à une zone. Elles sont décrites dans les procédures suivantes. Vous pouvez également vous connecter à distance, tel que décrit dans la section Connexion à distance.

Connexion à la console de zone

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Utilisez la commande zlogin avec l'option -C et le nom de la zone, my-zone par exemple.

   global# zlogin -C my-zone

   ---

   Remarque –

   Si vous démarrez la session zlogin immédiatement après l'émission de la commande zoneadm boot, des messages d'initialisation de la zone s'affichent :

   SunOS Release 5.10 Version Generic 64-bit Copyright 1983-2005 Sun Microsystems, Inc. All rights reserved. Use is subject to license terms. starting rpc services: rpcbind done. syslog service starting. The system is ready.

   ---

3. Lors de l'affichage de la console de zone, connectez-vous en tant que root, appuyez sur Retour et saisissez le mot de passe root lorsque vous y êtes invité.

   my-zone console login: root Password:

Utilisation du mode interactif pour l'accès à une zone

En mode interactif, un nouveau pseudoterminal est alloué pour une utilisation au sein de la zone.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Connectez-vous à la zone, par exemple my-zone, à partir de la zone globale.

   global# zlogin my-zone

   Des informations similaires à celles figurant ci-dessous s'affichent :

   [Connected to zone 'my-zone' pts/2] Last login: Wed Jul 3 16:25:00 on console Sun Microsystems Inc. SunOS 5.10 Generic June 2004

3. Saisissez exit pour fermer la connexion.

   Un message similaire à celui figurant ci-dessous s'affiche :

   [Connection to zone 'my-zone' pts/2 closed]

Accès à une zone à l'aide du mode non interactif

Le mode non interactif est activé lorsque l'utilisateur fournit une commande à exécuter au sein de la zone. Le mode non interactif n'alloue pas de nouveau pseudoterminal.

Notez que la commande ou tout fichier sur lequel agit cette commande ne peuvent se trouver dans NFS.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. À partir de la zone globale, connectez-vous à la zone my-zone et fournissez un nom de commande.

   Ici, la commande zonename est utilisée.

   global# zlogin my-zone zonename

   La ligne suivante s'affiche :

   my-zone

Sortie d'une zone non globale

1. Pour vous déconnecter d'une zone non globale, utilisez l'une des méthodes suivantes.

   • Pour quitter la console non virtuelle de la zone :

     zonename# exit

   • Pour vous déconnecter d'une console virtuelle de la zone, utilisez le tilde (~) et un point :

     zonename# ~.

     Votre écran sera similaire à ce qui suit :

     [Connection to zone 'lx-zone' pts/6 closed]

Voir aussi

Pour de plus amples informations sur les options de la commande zlogin, reportez-vous à la page de manuel zlogin(1).

Connexion à une zone à l'aide du mode de secours

En cas de refus de connexion à la zone, il est possible d'utiliser la commande zlogin avec l'option -S pour entrer dans un environnement minimal de la zone.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Dans la zone globale, exécutez la commande zlogin avec l'option -S pour accéder à la zone, par exemple my-zone.

   global# zlogin -S my-zone

Arrêt d'une zone à l'aide de zlogin

L'exécution de la commande init 0 dans la zone globale pour une interruption en toute sécurité d'un système Solaris exécute également la commande init 0 dans chacune des zones non globales du système. Notez que init 0 n'émet pas d'avertissement aux utilisateurs locaux et distants pour qu'ils se déconnectent avant la fermeture du système.

Cette procédure permet la fermeture d'une zone en toute sécurité. Pour arrêter une zone sans exécuter de scripts d'arrêts, reportez-vous à la section Arrêt d'une zone.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Connectez-vous à la zone à arrêter, par exemple my-zone et spécifiez shutdown en tant que nom de l'utilitaire et init 0 en tant qu'état.

   global# zlogin my-zone shutdown -y -g0 -i 0

   Votre site peut disposer de son propre script d'arrêt, créé spécifiquement pour votre environnement.

Utilisation de shutdown en mode non interactif

Vous ne pouvez pas utiliser la commande shutdown en mode non interactif pour placer la zone en état monoutilisateur. Reportez-vous à CR 6214427 pour de plus amples informations.

Vous pouvez utiliser une connexion interactive telle que décrit dans la section Utilisation du mode interactif pour l'accès à une zone.

Commutation de la zone non globale à une configuration de services réseau différente

Cette zone a été installée avec la configuration réseau ouverte décrite dans le Chapitre 19, Managing Services (Tasks) du System Administration Guide: Basic Administration. Il est possible de commuter la zone à la configuration réseau limitée ou d'activer et désactiver des services spécifiques dans la zone.

Basculement de la zone vers la configuration de service réseau limitée

1. Connectez-vous à la zone, par exemple my-zone, à partir de la zone globale.

   global# zlogin my-zone

2. Exécutez la commande netservices pour faire basculer la zone vers la configuration réseau limitée.

   my-zone# /usr/sbin/netservices limited

   Un message similaire à celui figurant ci-dessous s'affiche : Répondez y à l'invite de redémarrage de dtlogin.

   restarting syslogd restarting sendmail dtlogin needs to be restarted. Restart now? [Y] y restarting dtlogin

Activation d'un service spécifique dans une zone

1. Connectez-vous à la zone, par exemple my-zone, à partir de la zone globale.

   global# zlogin my-zone

2. Exécutez la commande svcadm pour permettre au contrôle de la mémoire physique d'utiliser le démon d'allocation restrictive.

   my-zone# svcadm enable svc:/system/rcap:default

3. Affichez la liste des services pour vérifier que rcapd est bien activé.

   my-zone# svcs -a . . . online 14:04:21 svc:/system/rcap:default . . .

Impression du nom de la zone actuelle

La commande zonename décrite dans la page de manuel zonename(1) affiche le nom de la zone actuelle. L'exemple suivant illustre la sortie obtenue en cas d'exécution de la commande zonename dans la zone globale.

# zonename
global

Chapitre 23 Déplacement et migration de zones non globales (tâches)

Ce chapitre est nouveau pour la version Solaris 10 11/06. Des fonctions supplémentaires ont été ajoutées dans les versions ultérieures.

Ce chapitre décrit comment :

• déplacer une zone non globale vers un nouvel emplacement d'une même machine ;

• valider les événements potentiels en cas de migration de zone non globale avant de réaliser la migration réelle ;

• migrer une zone non globale vers une nouvelle machine.

• Utilisez les commandes zoneadm detach et zoneadm attach afin de mettre à jour une zone ayant un niveau de patch inférieur au niveau d'une zone globale se trouvant à un niveau de patch supérieur.

À partir de la version 10 10/08 de Solaris, lorsqu'un nouvel hôte dispose de la même version ou d'une version plus récente des packages dépendants de zones et des patchs associés, la commande zoneadm attach avec l'option -u permet de mettre à jour le jeu de packages minimum de la zone pour qu'il corresponde à celui du nouvel hôte. Si le nouvel hôte dispose à la fois de patchs plus anciens et plus récents que les patchs de l'hôte source, aucune mise à jour n'est autorisée au cours du rattachement.

La commande zoneadm attach avec l'option -u permet également migrer des données entre les classes de machine, notamment de la classe sun4u vers la classe sun4v.

À partir de la version Solaris 10 9/10, l'utilisation de la commande zoneadm attach avec l'option -u permet de mettre à jour tous les packages pour la zone, de sorte que ces packages correspondent à ceux qui seront affichés avec une nouvelle zone non globale installée sur cet hôte. Tout package installé à l'intérieur de la zone, mais qui n'est pas installé dans la zone globale n'est pas pris en compte et laissé en l'état. Cette option permet également d'effectuer une migration automatique d'une classe de machine vers une autre, notamment de sun4u vers sun4v.

Au lieu d'effectuer une mise à jour normale, les zones peuvent être retirées pendant la mise à jour de la zone globale, puis reconnectées avec l'option -u pour correspondre au niveau de patch de la zone globale.

Pour plus d'informations sur le déplacement et la migration de zones marquées lx, reportez-vous au Chapitre 37Déplacement et migration de zones marquées lx (tâches).

Solaris 10 11/06 : déplacement d'une zone non globale

Cette procédure permet de déplacer la zone vers un nouvel emplacement sur le même système en modifiant le zonepath. La zone doit être arrêtée. Le nouveau zonepath doit se trouver dans un système de fichiers local. Les critères de zonepath normaux décrits dans Types de ressources et de propriétés s'appliquent.

Déplacement d'une zone

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Arrêtez la zone à déplacer, ici db-zone.

   global# zoneadm -z db-zone halt

3. Utilisez la commande zoneadm avec la sous-commande move pour déplacer la zone vers un nouveau zonepath, /export/zones/db-zone .

   global# zoneadm -z db-zone move /export/zones/db-zone

4. Vérifiez le chemin.

   ID NAME STATUS PATH BRAND IP 0 global running / native shared - my-zone installed /export/home/my-zone native shared - db-zone installed /export/zones/db-zone native shared

Solaris 10 11/06 : migration d'une zone non globale vers une autre machine

La version Solaris 10 5/08 vous permet d'effectuer un essai de migration de zone avant de déplacer réellement la zone vers une machine différente. Pour plus d'informations, reportez-vous à la section Solaris 10 5/08 : à propos de la validation d'une zone avant la migration.

À propos de la migration d'une zone

Des informations supplémentaires ont été ajoutées à cette section depuis la version Solaris 10 11/06.

Vous pouvez utiliser les commandes zonecfg et zoneadm afin de migrer une zone non globale d'un système vers un autre. La zone est arrêtée et séparée de son hôte actuel. Le zonepath est déplacé vers l'hôte cible où il est attaché.

Les restrictions suivantes s'appliquent à la migration de zone :

• La zone globale dans le système cible doit exécuter la même version de Solaris que l'hôte d'origine.

• Afin d'assurer une exécution correcte de la zone, le système cible doit disposer des mêmes versions de packages système et de patchs système requis que ceux qui sont installés sur l'hôte d'origine. Ils sont décrits ci-dessous.

  • packages délivrant les fichiers avec une ressource inherit-pkg-dir

  • packages où SUNW_PKG_ALLZONES=true

  Pour les autres packages et patchs comme ceux des produits tiers, ils peuvent être différents.

• Solaris 10 10/08 : si le nouvel hôte dispose d'une version plus récente des packages dépendants de la zone et des patchs associés, la commande zoneadm attach avec l'option -u met à jour les packages dans la zone afin qu'ils correspondent à ceux du nouvel hôte. Le logiciel de mise à jour lors du rattachement examine la zone à faire migrer et détermine les packages à mettre à jour pour les faire correspondre à ceux du nouvel hôte. Seuls ces packages sont mis à jour. Les autres packages, ainsi que les patchs qui leur sont associés, peuvent varier d'une zone à l'autre. Cette option permet également d'effectuer une migration automatique d'une classe de machine vers une autre, notamment de sun4u vers sun4v.

  Solaris 10 9/10 : si le nouvel hôte dispose d'une version plus récente des packages et des patchs associés, la commande zoneadm attach avec l'option -U permet de mettre à jour ces packages dans la zone pour qu'ils correspondent aux données de l'installation d'une nouvelle zone non globale sur cet hôte. Tout package installé à l'intérieur de la zone, mais qui n'est pas installé dans la zone globale n'est pas pris en compte et laissé en l'état. Cette option permet également d'effectuer une migration automatique d'une classe de machine vers une autre, notamment de sun4u vers sun4v.

  Solaris 10 5/09 : l'option -b peut être utilisée pour spécifier les patchs à désinstaller de la zone avant la mise à jour.

• Les systèmes hôte et cible doivent avoir la même architecture machine à moins que l'option -u (utilisée pour les migrations entre les classes de machine sun4u et sun4v) ne soit utilisée.

• Solaris 10 5/09 : l'option -b peut être utilisée pour spécifier les patchs, officiels ou Interim Diagnostics/Relief (IDR), devant être désinstallés de la zone pendant le rattachement. Vous pouvez spécifier plusieurs options -b. Si l'un des patchs ne peut pas être désinstallé pour quelque raison que ce soit, la commande attach échouera et aucun des patchs ne sera désinstallé.

  Cette option s'applique uniquement aux marques de zone utilisant le package SVr4.

Pour vérifier la version Solaris et l'architecture machine, tapez :

#uname -m

Le processus zoneadm detach permet la création des informations nécessaires au rattachement de la zone à un système différent. Le processus zoneadm attach vérifie que la configuration de la machine cible est adaptée à la zone.

Il existe plusieurs manières de rendre le zonepath disponible sur le nouvel hôte. C'est pour cela que le passage réel du zonepath d'un système vers un autre est un processus manuel qui est réalisé par l'administrateur global.

Une fois jointe au nouveau système, la zone est à l'état Installé.

Migration d'une zone non globale

Vous devez vous connecter en tant qu'administrateur global de la zone globale pour effectuer cette procédure.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Arrêtez la zone à migrer, ici my-zone.

   host1# zoneadm -z my-zone halt

3. Détachez la zone.

   host1# zoneadm -z my-zone detach

   La zone détachée est maintenant en état configuré.

4. Déplacez le zonepath de my-zone vers le nouvel hôte.

   Pour plus d'informations, reportez-vous à la section Déplacement du zonepath vers un nouvel hôte.

5. Dans le nouvel hôte, configurez la zone.

   host2# zonecfg -z my-zone

   Le message système suivant s'affiche :

   my-zone: No such zone configured Use 'create' to begin configuring a new zone.

6. Pour créer la zone my-zone dans le nouvel hôte, utilisez la commande zonecfg en spécifiant l'option -a et le zonepath sur le nouvel hôte.

   zonecfg:my-zone> create -a /export/zones/my-zone

7. (Facultatif) Affichez la configuration.

   zonecfg:my-zone> info zonename: my-zone zonepath: /export/zones/my-zone autoboot: false pool: inherit-pkg-dir: dir: /lib inherit-pkg-dir: dir: /platform inherit-pkg-dir: dir: /sbin inherit-pkg-dir: dir: /usr net: address: 192.168.0.90 physical: bge0

8. Effectuez toute modification nécessaire à la configuration.

   Par exemple, le périphérique physique du réseau est différent sur le nouvel hôte, ou les périphériques faisant partie de la configuration ont des noms différents sur le nouvel hôte.

   zonecfg:my-zone> select net physical=bge0 zonecfg:my-zone:net> set physical=e1000g0 zonecfg:my-zone:net> end

9. Validez la configuration et quittez-la.

   zonecfg:my-zone> commit zonecfg:my-zone> exit

10. Rattachez la zone au nouvel hôte à l'aide d'une des méthodes suivantes.

    • Rattachez la zone avec une coche de validation.

      host2# zoneadm -z my-zone attach

      L'administrateur système est notifié des actions requises à effectuer si une des deux ou les deux conditions suivantes sont présentes :

      • Les packages et patchs requis ne se trouvent pas sur la nouvelle machine.

      • Les machines ne disposent pas des mêmes niveaux de logiciel.

    • Solaris 10 10/08 : rattachez la zone avec une coche de validation et mettez-la à jour afin de la faire correspondre à un hôte exécutant des versions plus récentes des packages dépendants ou disposant d'une classe de machine différente lors du rattachement.

      host2# zoneadm -z my-zone attach -u

      ---

      Astuce –

      Solaris 10 10/08 : si le système source exécute une version antérieure du système Solaris, il risque de ne pas générer la liste de packages correcte lors du détachement de la zone. Pour vous assurer que la liste de packages correcte est générée sur le système cible, vous pouvez supprimer le fichier SUNWdetached.xml du zonepath. La suppression de ce fichier entraîne la génération d'une nouvelle liste de packages par le système cible.

      Cela n'est pas nécessaire avec la version Solaris 10 5/09 et les versions ultérieures.

      ---

    • Solaris 10 9/10 : rattachez la zone en cochant la case de validation correspondante et mettez à jour tous les packages de la zone pour que ces derniers correspondent pour qu'ils correspondent aux données de l'installation d'une nouvelle zone non globale sur cet hôte. Tout package installé à l'intérieur de la zone, mais qui n'est pas installé dans la zone globale n'est pas pris en compte et laissé en l'état.

      host2# zoneadm -z my-zone attach -U

    • Solaris 10 5/09 et versions ultérieures : utilisez également l'option -b pour désinstaller les patchs spécifiés, officiels ou IDR, au cours du rattachement.

      host2# zoneadm -z my-zone attach -u -b IDR246802-01 -b 123456-08

      Vous pouvez utiliser l'option -b indépendamment des options -u ou -U.

    • Forcez l'opération de rattachement sans effectuer de validation.

      host2# zoneadm -z my-zone attach -F

      ---

      Attention –

      L'option -F permet de forcer le rattachement attach sans effectuer de validation. Cela peut s'avérer utile dans certains cas, comme par exemple dans celui d'un environnement en cluster ou pour les opérations de sauvegarde et de restauration, mais le système doit être correctement configuré pour héberger la zone. Une configuration incorrecte peut entraîner un comportement indéfini ultérieurement.

      ---

Déplacement du zonepath vers un nouvel hôte

Il existe de nombreuses méthodes de création d'une archive du zonepath. Vous pouvez par exemple utiliser les commandes cpio ou pax décrites dans les pages de manuel cpio(1)) et pax(1) man pages.

Il existe également de nombreuses méthodes pour le transfert des archives vers le nouvel hôte. Le mécanisme utilisé pour le transfert du zonepath à partir de l'hôte source vers sa destination dépend de la configuration locale. Dans certains cas, comme celui d'un SAN, les données de zonepath pourraient ne pas se déplacer. Il suffit de reconfigurer le SAN pour que le zonepath soit visible dans le nouvel hôte. Dans d'autres cas, le zonepath peut être écrit sur une bande, laquelle est ensuite envoyée à un autre site.

C'est pour cela que cette étape n'est pas automatisée. L'administrateur système doit sélectionner la technique la plus adaptée pour le déplacement du zonepath vers le nouvel hôte.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Déplacez le zonepath vers le nouvel hôte. Utilisez soit la méthode décrite dans cette procédure, soit une autre méthode.

Exemple 23–1 Archivage et déplacement du zonepath à l'aide de la commande tar

1. Créez un fichier tar pour le zonepath sur host1 et transférez-le vers host2 à l'aide de la commande sftp.

   host1# cd /export/zones host1# tar cf my-zone.tar my-zone host1# sftp host2 Connecting to host2... Password: sftp> cd /export/zones sftp> put my-zone.tar Uploading my-zone.tar to /export/zones/my-zone.tar sftp> quit

2. Dans host2, décompressez le fichier tar.

   host2# cd /export/zones host2# tar xf my-zone.tar

Pour de plus amples informations, reportez-vous aux pages de manuel sftp(1) et tar(1).

Erreurs fréquentes

Consultez la section Résolution de problèmes via l'opération zoneadm attach pour obtenir des informations relatives à la résolution des problèmes suivants :

• les patchs et les packages ne sont pas synchronisés ;

• les versions de système d'exploitation ne correspondent pas.

Étapes suivantes

Si vous avez copié les données (au lieu de reconfigurer un SAN), les données zonepath restent visibles sur l'hôte source alors même que la zone se trouve à présent en état Configuré. Vous pouvez supprimer le zonepath de l'hôte source manuellement une fois les données déplacées vers le nouvel hôte ou, reconnecter la zone à l'hôte source et utiliser la commande zoneadm uninstall pour supprimer le zonepath.

Solaris 10 5/08 : à propos de la validation d'une zone avant la migration

Avant de déplacer une zone vers une nouvelle machine, vous pouvez simuler sa migration grâce à l'option "no execute" -n.

La sous-commande zoneadm detach utilisée avec l'option -n génère un fichier manifest sur une zone en cours d'exécution sans séparer réellement cette dernière du système d'origine. L'état de la zone sur ce système demeure donc inchangé. Le fichier manifest de la zone est envoyé à stdout. L'administrateur global peut diriger cette sortie vers un fichier ou l'envoyer dans une commande distante en vue de sa validation immédiate sur l'hôte cible. La sous-commande zoneadm attach utilisée avec l'option -n interprète le fichier manifest et s'assure que la configuration de la machine cible permet effectivement d'héberger la zone sans procéder à un rattachement.

Il n'est pas nécessaire de configurer la zone du système cible sur le nouvel hôte avant de simuler un rattachement.

Solaris 10 5/08 : méthode de validation d'une migration de zone avant la migration réelle

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

   Pour savoir comment créer le rôle et l'assigner à un utilisateur, reportez-vous à la section Using the Solaris Management Tools With RBAC (Task Map) du System Administration Guide: Basic Administration.

2. Choisissez l'une des méthodes suivantes.

   • Générez le fichier manifest sur l'hôte source pour my-zone et envoyez la sortie dans une commande distante en vue de sa validation immédiate sur l'hôte cible :

     global# zoneadm -z my-zone detach -n | ssh remotehost zoneadm attach -n -

     Le trait d'union (—) figurant en fin de ligne spécifie la stdin pour le chemin.

     La validation est dirigée en sortie vers l'écran de l'hôte source, c'est-à-dire stdout.

   • Générez le fichier manifest sur l'hôte source pour my-zone et dirigez la sortie vers un fichier :

     global# zoneadm -z my-zone detach -n > filename

     Copiez le fichier manifest sur le nouveau système hôte, comme indiqué à la section Déplacement du zonepath vers un nouvel hôte, puis procédez à la validation :

     global# zoneadm attach -n path_to_manifest

     Le chemin peut contenir un trait d'union — spécifiant la stdin.

Migration d'une zone à partir d'une machine inutilisable

Une machine hébergeant une zone Solaris native peut se trouver inutilisable. Toutefois, si l'espace de stockage dans lequel réside la zone (un SAN, par exemple) est utilisable, il reste possible de migrer la zone vers un autre hôte. Vous pouvez déplacer le zonepath de la zone vers le nouvel hôte. Dans certains cas, comme celui d'un SAN, les données de zonepath pourraient ne pas se déplacer. Il suffit de reconfigurer le SAN pour que le zonepath soit visible dans le nouvel hôte. Comme la zone n'a pas été correctement séparée, vous devrez d'abord créer la zone sur le nouvel hôte à l'aide de la commande zonecfg. Ensuite, connectez la zone sur le nouvel hôte. Le nouvel hôte indique que la zone n'a pas été correctement séparée, mais le système tente tout de même la connexion.

La procédure à suivre pour réaliser cette tâche correspond aux étapes 4 à 8 de la section Migration d'une zone non globale. Reportez-vous également à la section Déplacement du zonepath vers un nouvel hôte.

Utilisation de la mise à jour lors du rattachement en tant que solution d'application de patch

Le processus de mise à jour lors du rattachement développé pour la migration de zones vers un autre système peut également être utilisé pour l'application de patch aux zones. Cette méthode permet de mettre à disposition la zone globale plus rapidement. L'administrateur système peut contrôler les zones mises à jour en premier et exécuter ces zones avant que des zones moins importantes soient mises à jour et initialisées.

Le processus suivant met à jour tous les patchs de sorte que la zone ressemble à une zone récemment installée sur le système :

1. Avant d'appliquer un ensemble de patchs à la zone globale, détachez toutes les zones non globales.

2. Appliquez l'ensemble de patchs à la zone globale.

3. Une fois l'ensemble appliqué et le système réinitialisé, utilisez la commande zoneadm attach avec l'option -u pour que les zones non globales soient au même niveau de patch que celui de la zone globale.

Tout package installé à l'intérieur de la zone, mais qui n'est pas installé dans la zone globale n'est pas pris en compte et laissé en l'état.

Reportez-vous à la section Solaris 10 10/09 : Application de patchs en parallèle pour réduire le temps d'application de patchs pour une solution d'application de patch rapide exploitant l'utilitaire patchadd.

Chapitre 24 Solaris 10 9/10 : migration d'un système physique Solaris dans une zone (tâches)

Une fonctionnalité de conversion physique en virtuel (P2V) est utilisée pour migrer directement un système Solaris existant vers une zone native d'un système cible.

Évaluation du système à migrer

Selon les services exécutés par le système d'origine, l'administrateur global peut avoir besoin de personnaliser manuellement la zone après son installation. Par exemple, vous pouvez être amené à modifier les privilèges assignés à la zone. Cette opération ne se fait pas automatiquement. En outre, étant donné que tous les services système ne fonctionnent pas à l'intérieur des zones, tous les systèmes physiques ne sont pas forcément adaptés à la migration dans une zone.

Si l'image système à installer par le biais d'une conversion P2V est plus récente que la version du système d'exploitation de l'hôte cible, l'installation échouera.

Procédure de collecte des informations système

Collectez les informations requises à partir du système source.

1. Obtenez la propriété hostname :

   # hostname

2. Obtenez la propriété hostid :

   # hostid

   Voir également la section Émulation de l'ID de l'hôte.

3. Entrez le mot de passe root.

4. Affichez le logiciel exécuté sur le système :

   # ps -eaf

5. Vérifiez la configuration de réseau sur le système :

   # ifconfig -a

6. Affichez le stockage utilisé en affichant le contenu de /etc/vfstab, par exemple.

7. Affichez l'espace de stockage utilisée sur le disque local déterminant la taille de l'archive :

   # df -k

8. Déterminez les packages et les patchs se trouvant sur le système. Pour plus d'informations, reportez-vous à la section pkginfo(1).

9. Vérifiez le contenu du fichier /etc/system.

Création de l'image utilisée pour migrer directement un système Solaris dans une zone

Vous pouvez utiliser les outils d'archivage Flash pour créer une image d'un système installé pouvant être migrée dans une zone.

Le système peut être entièrement configuré avec tous les logiciels qui seront exécutés dans la zone avant la création de l'image. Cette image est ensuite utilisée par le programme d'installation lors de l'installation de la zone.

Si vous créez une archive Flash Solaris ou flar d'un système Solaris 10 disposant d'une racine ZFS, l'archive flar représentera par défaut un flux d'envoi ZFS pouvant être utilisé pour recréer le pool racine. Cette image ne peut être utilisée pour installer une zone. Vous devez créer l'archive flar avec une archive cpio ou pax explicite lorsque le système dispose d'une racine ZFS.

Utilisez la commande flarcreate avec l'option -L archiver en spécifiant cpio ou pax comme méthode d'archivage des fichiers. Reportez-vous à l'étape 4 de la procédure suivante.

Utilisation de la commande flarcreate pour créer l'image

Utilisez la commande flarcreate décrite dans la page de manuel flarcreate(1M) pour créer l'image système. Cet exemple de procédure utilise le système NFS pour déplacer l'archive flash vers le système Solaris cible. Cependant, vous pouvez le déplacer de la façon que vous voulez.

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

2. Connectez-vous au système source à archiver.

3. Remplacez les répertoires par le répertoire root.

   # cd /

4. Utilisez la commande flarcreate pour créer un fichier image d'archive portant le nom s10-system sur le système source et déposez-le sur le système cible :

   source-system # flarcreate -S -n s10-system -L cpio /net/target/export/s10-system.flar Determining which filesystems will be included in the archive... Creating the archive... cpio: File size of "etc/mnttab" has increased by 435 2068650 blocks 1 error(s) Archive creation complete.

   La machine cible nécessite un accès en écriture root sur le système de fichiers /export. Selon la taille du système de fichiers sur le système hôte, la taille de l'archive peut atteindre plusieurs gigaoctets ; vous devez donc disposer de suffisamment d'espace dans le système de fichiers cible.

   ---

   Astuce –

   Dans certains cas, la commande flarcreate peut afficher les erreurs de la commande cpio. En général, ce sont des messages tels que File size of etc/mnttab has increased by 435 (la taille du fichier etc/mnttab a augmenté de 435). Si ces messages s'appliquent aux fichiers journaux ou aux fichiers renvoyant l'état du système, vous pouvez les ignorer. Assurez-vous de vérifier tous les messages d'erreur.

   ---

Autres méthodes de création d'archives

Vous pouvez utiliser d'autres méthodes pour créer l'archive. Le programme d'installation prend en charge les formats d'archives suivants :

• Archives cpio

• Archives cpio compressées au format gzip

• Archives cpio compressées au format bzip2

• Archives pax créées au format -x xustar (XUSTAR)

• Sauvegardes de niveau zéro (complètes) ufsdump

Le programme d'installation peut uniquement accepter un répertoire de fichiers créé à l'aide d'un utilitaire d'archivage qui enregistre et restaure les droits d'accès à un fichier, les propriétés et les liens.

Pour plus d'informations, reportez-vous aux pages de manuel cpio(1), pax(1), bzip2 (1), gzip(1) et ufsdump(1M).

Si vous utilisez une autre méthode que l'archivage flash pour créer une archive P2V, vous devez démonter la bibliothèque de capacités matérielles (hwcap) lofs libc.so.1 dépendante du processeur sur le système source avant de créer l'archive. Dans le cas contraire, la zone installée avec l'archive risque de ne pas s'initialiser sur le système cible. Après la création de l'archive, vous pouvez remonter la bibliothèque de capacités matérielles correspondante avec le fichier /lib/libc.so.1 à l'aide de l'option lofs et de l'option de montage -O.

source-system# unmount /lib/libc.so.1
source-system# mount -O -F lofs /lib/libc.so.1 

Émulation de l'ID de l'hôte

Lorsque des applications sont migrés depuis un système physique Solaris dans une zone sur un nouveau système, la propriété hostid est modifiée pour correspondre à la propriété hostid de la nouvelle machine.

Dans certains cas, les applications dépendent de la propriété hostid d'origine. De plus, vous ne pouvez pas mettre à jour la configuration de l'application. Dans ce cas, vous pouvez configurer la zone pour utiliser la propriété hostid du système d'origine. Pour ce faire, vous devez définir une propriété zonecfg pour spécifier la propriété hostid, comme décrit dans la section Configuration d'une zone. La valeur utilisée doit être le résultat de la commande hostid, telle qu'exécutée sur le système d'origine. Pour afficher les propriétés hostid d'une zone installée, utilisez également la commande hostid.

Pour plus d'informations sur les ID hôte, reportez-vous à la page de manuel hostid(1).

Configuration de la zone

Créez la configuration de la nouvelle zone sur le système cible à l'aide de la procédure Configuration d'une zone.

Si vous compter installer des applications dans la nouvelle zone à partir de CD ou de DVD, utilisez la commande add fs pour pouvoir accéder en lecture seule au CD ou DVD dans la zone globale lors de la configuration initiale de la zone marquée. Un CD ou DVD permet alors d'installer un produit dans la zone marquée. Pour plus d'informations, reportez-vous à la section Ajout de l'accès aux CD ou DVD au sein d'une zone non globale.

Installation de la zone

La commande zoneadm décrite dans la Partie II, Zones et dans la page de manuel zoneadm(1M) est le principal outil d'installation et d'administration de zones non globales. Les opérations utilisant la commande zoneadm doivent être effectuées à partir de la zone globale sur le système cible.

En plus de la décompression des fichiers de l'archive, le processus d'installation exécute des contrôles, des opérations de post-traitement requises et d'autres fonctions afin de garantir que la zone est optimisée pour être exécutée sur l'hôte.

Vous pouvez utiliser une image d'un système Solaris qui a été entièrement configuré avec tous les logiciels qui seront exécutés dans la zone. Reportez-vous à la section Création de l'image utilisée pour migrer directement un système Solaris dans une zone.

Si vous avez créé une archive de système Solaris à partir d'un système existant et que vous utilisez l'option -p (preserve sysidcfg) lors de l'installation de la zone, la zone aura la même identité que le système utilisé pour créer l'image.

Si vous utilisez l'option -u (sys-unconfig) lors de l'installation de la zone sur la cible, la zone créée ne contiendra aucun nom d'hôte ou de service de noms configuré.

Vous devez spécifier l'option -p ou -u, sinon une erreur se produira.

Options du programme d´installation

Les options -a et -d s'excluent mutuellement. Les options -p, -s, -u et -v ne sont permises que lorsque l'option -a ou -d est fournie.

Installation d'une zone

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

2. Installez la zone configurée s-zone à l'aide de la commande zoneadm avec l'option install -a et le chemin pointant vers l'archive.

   global# zoneadm -z s-zone install -u -a /net/machine_name/s-system.flar

   Plusieurs messages s'afficheront pendant l'installation. Cette opération peut prendre un certain temps.

   Lorsque l'installation est terminée, exécutez la sous-commande list avec les options -i et -v pour afficher la liste des zones installées et vérifier leur état.

Erreurs fréquentes

En cas d'échec d'une installation, vérifiez le fichier journal. Si l'installation aboutit, le fichier journal se trouve sous /var/log dans la zone. En cas d'échec total, le fichier journal se trouve sous /var/tmp dans la zone globale.

En cas d'échec ou d'interruption de l'installation, la zone affiche un état Incomplet. Exécutez uninstall -F pour la redéfinir dans l'état Configuré.

Initialisation de la zone

Procédure d'initialisation d'une zone

Pour exécuter la procédure ci-dessous, vous devez être administrateur global.

Si vous avez sélectionné l'option -u, vous devez également appliquer la commande zlogin à la console de zone et effectuer une configuration du système, telle que décrit à la section Configuration de la zone interne initiale.

1. Devenez superutilisateur ou assumez le rôle d'administrateur principal.

2. Exécutez la commande zoneadm avec l'option - z, le nom de la zone (s-zone) et la sous-commande boot pour initialiser la zone.

   global# zoneadm -z s-zone boot

3. Une fois l'initialisation terminée, exécutez la sous-commande list avec l'option -v pour vérifier l'état de la zone.

   global# zoneadm list -v

Chapitre 25 À propos des packages et des patchs pour les systèmes Solaris comportant des zones installées (présentation)

Solaris 10 1/06 : ce chapitre a été entièrement revu.

Ce chapitre traite de la maintenance du système d'exploitation Solaris lorsque des zones y sont installées. Il fournit également des informations concernant l'ajout de packages et de patchs à la zone globale et à toutes les zones non globales installées, et contient des informations sur la suppression de ces packages et de ces patchs. Le contenu de ce chapitre remplace la documentation existante relative à l'installation et aux patchs Solaris. Pour plus d'informations, reportez-vous à Solaris 10 Release and Installation Collection et au System Administration Guide: Basic Administration.

Ce chapitre comprend les sections suivantes :

• Nouveautés en matière de packages et de patchs dans les zones installées

• Présentation des outils de gestion des packages et des patchs

• À propos des packages et des zones

• Synchronisation des zones

• À propos de l'ajout de packages à des zones

• À propos de la suppression des packages des zones

• Informations sur les paramètres des packages

• Demande d'informations sur les packages

• À propos de l'ajout de patchs aux zones

• Application de patchs sur un système Solaris comportant des zones installées

• Suppression de patchs sur un système Solaris comportant des zones installées

• Base de données de produits

Nouveautés en matière de packages et de patchs dans les zones installées

Solaris 10 1/06 : ce chapitre a été réécrit depuis Solaris 10 afin de documenter le comportement actuel des commandes de packages et de patchs pour les systèmes sur lesquels des zones non globales sont installées.

Solaris 10 6/06 : les informations concernant les paramètres SUNW_PKG_ALLZONES, SUNW_PKG_HOLLOW et SUNW_PKG_THISZONE des packages ont été revues. Reportez-vous aux sections Présentation des outils de gestion des packages et des patchs et Informations sur les paramètres des packages.

Solaris 10 6/06 et versions ultérieures : pour savoir comment enregistrer votre système ou comment utiliser Sun Connection (anciennement Sun Update Connection) pour gérer vos mises à jour logicielles, reportez-vous à la section Sun Connection hub on BigAdmin (en anglais).

Solaris 10 8/07 et versions ultérieures :

• Lorsque la commande patchadd est utilisée pour ajouter un patch à un package installé à l'aide de la commande pkgadd et l'option -G, l'option -G de patchadd devient superflue.

• Un tableau décrivant ce qui se produit lorsque les commandes pkgadd, pkgrm, patchadd et patchrm sont exécutées sur un système comportant des zones non globales dans différents états a été ajouté. Reportez-vous à la section Impact de l'état des zones sur les opérations sur les patchs et les packages.

• Des éclaircissements concernant l'interaction entre patchadd -G et la variable pkginfo ont été ajoutés. Reportez-vous à la section Interaction de patchadd -G et de la variable pkginfo sur un système comportant des zones.

• Des informations sur l'application de patchs à activation différée ont été ajoutées. Reportez-vous à la section Solaris 10 8/07 : application de patchs à activation différée.

• Des informations concernant l'option -G de la commande pkgrm ont été supprimées.

Solaris 10 5/08 et mises à jour de version ultérieures : EOF de PatchPro. Depuis septembre 2007, PatchPro, qui utilise la base de données et les outils de gestion de patchs afin de corriger des logiciels installés dans les zones globales et non globales, n'est plus pris en charge. Pour obtenir des informations sur le processus actuel, consultez le site Sun xVM Ops Center.

Solaris 10 5/08 : bien qu'elles aient été ajoutées dans la version Solaris 10 5/08, ces informations s'appliquent à tous les systèmes Solaris 10.

Pour enregistrer votre système Solaris, allez à la page https://inventory.sun.com/inventory/. Pour de plus amples informations sur l'utilisation de Sun Inventory pour enregistrer votre matériel, vos logiciels et vos systèmes d'exploitation, consultez le centre d'informations Sun Inventory.

Si vous utilisez Sun xVM Ops Center pour créer, mettre à jour et gérer les systèmes de votre centre de données, reportez-vous au centre d'informations Sun xVM pour obtenir des informations relatives à l'enregistrement de votre logiciel par le biais du Sun xVM Ops Center.

Solaris 10 10/09 : l'application de patchs en parallèle à des zones est une amélioration apportée aux utilitaires de patch standard de Solaris 10. Pour les versions antérieures à Solaris 10 10/09, le patch est fourni dans les correctifs des utilitaires de patch, 119254-66 ou révision ultérieure (SPARC) et 119255-66 ou révision ultérieure (x86). Reportez-vous aux sections Solaris 10 10/09 : Application de patchs en parallèle pour réduire le temps d'application de patchs et Solaris 10 10/09: How to Patch Non-Global Zones in Parallel. Pour savoir comment mettre à jour rapidement les patchs sur un système comportant des zones, reportez-vous également à la section Utilisation de la mise à jour lors du rattachement en tant que solution d'application de patch.

Vous trouverez une liste complète des nouvelles fonctionnalités de Solaris 10 et la description des différentes versions de Solaris dans le guide Nouveautés apportées à Oracle Solaris 10 9/10.

Présentation des outils de gestion des packages et des patchs

Les outils de gestion de packages Solaris permettent d'administrer l'environnement des zones. La mise à niveau d'un système vers une nouvelle version de Solaris entraîne la mise à jour de la zone globale et des zones non globales. Cette mise à niveau est effectuée par l'administrateur global.

Pour mettre à niveau un système incluant des zones non globales, vous avez le choix entre le programme d'installation interactif standard Solaris Live Upgrade et le programme d'installation personnalisé JumpStart. Les restrictions suivantes s'appliquent à un zonepath résidant sur un ZFS :

• La prise en charge de Solaris Live Upgrade sur les systèmes dont zonepath réside sur un ZFS est disponible à partir de la version Solaris 10 10/08.

• Seul Solaris Live Upgrade peut être utilisé pour mettre le système de fichiers à niveau.

Pour plus d'informations, reportez-vous à la section Utilisation d’Oracle Solaris Live Upgrade pour migrer ou mettre à jour un système comportant des zones (Solaris 10 10/08) du Guide d’administration Oracle Solaris ZFS.

L'administrateur de zone peut employer les outils de gestion de packages pour administrer tout logiciel installé dans une zone non globale, dans les limites décrites dans ce document.

Les principes généraux suivants s'appliquent lorsque des zones sont installées :

• L'administrateur global peut administrer les logiciels dans toute zone du système.

• Le système de fichiers racine d'une zone non globale peut être administré depuis la zone globale grâce aux outils de gestion de packages et de patchs Solaris. Les outils de gestion de packages et de patchs Solaris sont pris en charge à l'intérieur des zones non globales pour administrer les produits intégrés (fournis en standard), les produits autonomes (non fournis en standard) et les produits tiers.

• Les outils de gestion de packages et de patchs fonctionnent dans un environnement compatible avec les zones. Grâce à ces outils, les packages ou patchs installés dans une zone globale peuvent également être installés dans une zone non globale.

• Le paramètre SUNW_PKG_ALLZONES définit la portée du package en termes de zone. Il détermine le type de zone dans lequel un package peut être installé. Pour plus d'informations sur ce paramètre, reportez-vous à la section Paramètre de package SUNW_PKG_ALLZONES.

• Le paramètre SUNW_PKG_HOLLOW définit la visibilité de tout package devant être installé et être identique dans toutes les zones. Pour plus d'informations sur ce paramètre, reportez-vous à la section Paramètre de package SUNW_PKG_HOLLOW.

• Le paramètre SUNW_PKG_THISZONE détermine si un package doit être installé dans la zone actuelle uniquement. Pour plus d'informations sur ce paramètre, reportez-vous à la section Paramètre de package SUNW_PKG_THISZONE.

• La valeur par défaut des packages ne définissant pas de valeur pour les paramètres de package de zone est false.

• Les informations relatives aux packages visibles à l'intérieur d'une zone non globale sont cohérentes avec les fichiers qui ont été installés dans cette zone à l'aide des outils de gestion de packages et de patchs Solaris. Ces informations sont synchronisées avec les répertoires inherit-pkg-dir.

• Toute modification, par exemple l'ajout d'un patch ou d'un package à la zone globale, peut être étendue à toutes les zones. Cette fonctionnalité garantit la cohérence entre la zone globale et les zones non globales.

• Les commandes applicables aux packages permettent d'ajouter, de supprimer et d'interroger les packages. Les commandes applicables aux patchs permettent d'ajouter et de supprimer des patchs.

Lors de l'exécution de certaines opérations concernant les packages et les patchs, les zones sont temporairement verrouillées à d'autres opérations du même type. Dans certains cas, le système demande également confirmation auprès de l'administrateur avant d'exécuter l'opération requise.

À propos des packages et des zones

Seul un sous-ensemble des packages Solaris installés dans la zone globale est entièrement répliqué lors de l'installation d'une zone non globale. Par exemple, bon nombre des packages contenant le noyau Solaris ne sont pas nécessaires dans les zones non globales, qui partagent toutes implicitement le même noyau Solaris dans la zone globale. Toutefois, même si les données d'un package ne sont pas nécessaires ou utiles dans une zone non globale, il peut s'avérer indispensable de savoir s'il est installé dans la zone globale. Cela permet de résoudre correctement les dépendances des packages des zones non globales avec la zone globale.

Les packages possèdent des paramètres qui contrôlent la distribution et la visibilité de leur contenu sur un système comportant des zones non globales. SUNW_PKG_ALLZONES , SUNW_PKG_HOLLOW et SUNW_PKG_THISZONE définissent les caractéristiques des packages d'un système sur lequel des zones sont installées. Au besoin, l'administrateur système peut vérifier la configuration de ces paramètres pour s'assurer que les packages sont applicables lors de leur installation ou de leur suppression dans un environnement de zone. La commande pkgparam permet d'afficher les valeurs de ces paramètres. Pour plus d'informations sur les paramètres, reportez-vous à la section Informations sur les paramètres des packages. Pour en savoir plus sur leur utilisation, reportez-vous à la section Vérification de la configuration des paramètres des packages sur un système comportant des zones installées.

Pour plus de détails sur les caractéristiques et les paramètres des packages, reportez-vous à la page de manuel pkginfo(4) Pour plus d'informations sur l'affichage des valeurs des paramètres de packages, reportez-vous à la page de manuel pkgparam(1).

Patchs générés pour des packages

Lorsqu'un patch est généré pour un package, les paramètres doivent être définis sur les mêmes valeurs que pour le package d'origine.

Packages interactifs

Tout package destiné à être interactif, c'est-à-dire possédant un script de requête, est uniquement ajouté à la zone en cours. Il n'est pas propagé à d'autres zones. Tout package interactif ajouté à la zone globale est traité comme s'il avait été ajouté à l'aide de la commande pkgadd et de l'option -G. Pour plus d'informations sur cette option, reportez-vous à la section À propos de l'ajout de packages à des zones.

Synchronisation des zones

Il est recommandé de conserver les logiciels installés dans les zones non globales aussi synchronisés que possible avec ceux qui sont installés dans la zone globale. Cela facilite l'administration des systèmes comportant de nombreuses zones installées.

Pour atteindre cet objectif, les outils de gestion des packages mettent en oeuvre les règles suivantes lors de l'ajout et de la suppression de packages d'une zone globale.

Opérations sur les packages dans une zone globale

Si le package n'est actuellement installé ni dans la zone globale, ni dans les zones non globales, il peut être installé :

• uniquement dans la zone globale si SUNW_PKG_ALLZONES=false ;

• uniquement dans la zone (globale) actuelle si SUNW_PKG_THISZONE=true ;

• dans la zone globale et toutes les zones non globales.

Si le package est déjà installé dans la zone globale :

• Il peut être installé dans toutes les zones non globales.

• Il peut être supprimé de la zone globale.

Si le package est déjà installé dans la zone globale et dans un sous-ensemble des zones non globales :

• SUNW_PKG_ALLZONES doit être défini sur false.

• Il peut être installé dans toutes les zones non globales. Les instances présentes dans toute zone non globale sont mises à jour vers la révision en cours d'installation.

• Il peut être supprimé de la zone globale.

• Le package peut être supprimé de la zone globale et de toutes les zones non globales.

Si le package est déjà installé dans la zone globale et dans toutes les zones non globales, il peut être supprimé de la zone globale et de toutes les zones non globales.

Ces règles garantissent que :

• Les packages installés dans la zone globale sont soit uniquement installés dans celle-ci, soit installée dans celle-ci et dans toutes les zones non globales.

• Les packages installés dans la zone globale et dans toute zone non globale sont identiques.

Opérations sur les packages dans une zone non globale

Les opérations possibles dans toute zone non globale sont les suivantes :

• Tout package non installé dans la zone non globale ne peut l'être que si SUNW_PKG_ALLZONES=false.

• Tout package peut être installé dans la zone (non globale) actuelle si SUNW_PKG_THISZONE=true.

• Si le package est déjà installé dans la zone non globale :

  • Il ne peut être installé sur l'instance existante que si SUNW_PKG_ALLZONES=false.

  • Il ne peut être supprimé d'une zone non globale que si SUNW_PKG_ALLZONES=false.

Impact de l'état des zones sur les opérations sur les patchs et les packages

Le tableau ci-dessous décrit ce qui se produit lorsque les commandes pkgadd, pkgrm, patchadd et patchrm sont exécutées sur un système comportant des zones non globales dans différents états.

Notez que la description de l'état installé a été révisée dans le tableau pour la version Solaris 10 5/08.

À propos de l'ajout de packages à des zones

L'utilitaire système pkgadd décrit dans la page de manuel pkgadd(1M) s'emploie pour ajouter des packages à un système Solaris comportant des zones installées.

Exécution de pkgadd dans la zone globale

Utilisé avec l'option -G dans la zone globale, pkgadd permet de n'ajouter un package qu'à cette zone, sans qu'il soit propagé à d'autres zones. Notez que si SUNW_PKG_THISZONE=true, il n'est pas nécessaire que vous utilisiez l'option -G. Si SUNW_PKG_THISZONE=false, l'option -G l'ignore.

Lorsque vous exécutez l'utilitaire pkgadd dans la zone globale :

• pkgadd peut ajouter un package :

  • uniquement à la zone globale, excepté si SUNW_PKG_ALLZONES=true ;

  • à la zone globale et à toutes les zones non globales ;

  • uniquement aux zones non globales si le package est déjà installé dans la zone globale ;

  • uniquement à la zone actuelle si SUNW_PKG_THISZONE=true.

• L'utilitaire pkgadd ne peut ajouter de package :

  • à un sous-ensemble de zones non globales ;

  • à toutes les zones non globales, excepté s'il est déjà installé dans la zone globale.

• Si l'utilitaire pkgadd est exécuté sans l'option - G et si SUNW_PKG_THISZONE=false , le package spécifié est ajouté à toutes les zones par défaut. Il n'est pas marqué comme installé dans la zone globale uniquement.

• Si l'utilitaire pkgadd est exécuté sans l'option -G et si SUNW_PKG_THISZONE=true, le package spécifié est ajouté à la zone (globale) actuelle par défaut. Il est marqué comme installé dans la zone globale uniquement.

• Si l'option -G est spécifiée, pkgadd ajoute le package indiqué uniquement à la zone globale. Il est marqué comme installé dans la zone globale uniquement. Il n'est pas installé si une zone non globale l'est.

Ajout d'un package à la zone globale et à toutes les zones non globales

Pour ajouter un package à la zone globale et à toutes les zones non globales, exécutez l'utilitaire pkgadd dans la zone globale. Exécutez pkgadd sans l'option -G en tant qu'administrateur global.

Un package peut être ajouté à la zone globale et à toutes les zones non globales, indépendamment de la portion de zone affectée par le package.

L'utilitaire pkgadd exécute les actions suivantes :

• Les dépendances du package sont contrôlées dans la zone globale et dans toutes les zones non globales. Si les packages requis ne sont pas installés dans chacune des zones, le contrôle de dépendance échoue. Le système prévient l'administrateur global, qui doit confirmer s'il souhaite continuer.

• Le package est ajouté à la zone globale.

• La base de données de packages de la zone globale est mise à jour.

• Le package est ajouté à chaque zone non globale et la base de données de la zone globale est mise à jour.

• La base de données de packages de chaque zone non globale est mise à jour.

Ajout d'un package uniquement à la zone globale

Pour ajouter un package uniquement à la zone globale, exécutez l'utilitaire pkgadd avec l'option -G en tant qu'administrateur global dans la zone globale.

Un package peut être ajouté à la zone globale s'il répond aux exigences suivantes :

• Son contenu n'affecte aucune portion de zone globale partagée avec une zone non globale.

• Le paramètre SUNW_PKG_ALLZONES=false.

L'utilitaire pkgadd exécute les actions suivantes :

• Si le contenu du package affecte une portion quelconque de zone globale partagée avec une zone non globale ou si SUNW_PKG_ALLZONES=true, pkgadd échoue. Le message d'erreur indique que le package doit être ajouté à la zone globale et à toutes les zones non globales.

• Les dépendances du package sont uniquement contrôlées dans la zone globale. Si les packages requis ne sont pas installés, le contrôle de dépendance échoue. Le système prévient l'administrateur global, qui doit confirmer s'il souhaite continuer.

• Le package est ajouté à la zone globale.

• La base de données de packages de la zone globale est mise à jour.

• Les informations concernant le package sont annotées pour indiquer qu'il est uniquement installé dans la zone globale. En cas d'installation ultérieure d'une zone non globale, ce package n'y est pas installé.

Ajout d'un package installé dans la zone globale à toutes les zones non globales

Pour ajouter un package déjà installé dans la zone globale à toutes les zones non globales, vous devez le supprimer de la zone globale et le réinstaller dans toutes les zones.

Procédez de la manière suivante :

1. Exécutez pkgrm dans la zone globale pour supprimer le package.

2. Ajoutez le package sans utiliser l'option -G.

Utilisation de pkgadd dans une zone non globale

Pour ajouter un package à une zone non globale donnée, exécutez l'utilitaire pkgadd sans option en tant qu'administrateur de zone. Les conditions suivantes s'appliquent :

• L'utilitaire pkgadd peut uniquement ajouter des packages à la zone non globale dans laquelle il est exécuté.

• Le package n'affecte aucune portion de zone partagée avec la zone globale.

• Le paramètre SUNW_PKG_ALLZONES=false.

L'utilitaire pkgadd exécute les actions suivantes :

• Avant que le package soit ajouté, ses dépendances sont contrôlées dans la base de données des zones non globales. Si les packages requis ne sont pas installés, le contrôle de dépendance échoue. Le système prévient l'administrateur de la zone non globale, qui doit confirmer s'il souhaite continuer. Le contrôle échoue si l'une des conditions suivantes est vraie.

  • L'un des composants du package affecte une portion quelconque de la zone partagée avec la zone globale.

  • Le paramètre SUNW_PKG_ALLZONES=true.

• Le package est ajouté à la zone.

• La base de données de packages de la zone est mise à jour.

À propos de la suppression des packages des zones

L'utilitaire pkgrm décrit dans la page de manuel pkgrm(1M) prend en charge la suppression des packages sur les systèmes Solaris comportant des zones installées.

Utilisation de pkgrm dans la zone globale

Lorsque vous exécutez l'utilitaire pkgrm dans la zone globale :

• pkgrm peut supprimer un package de la zone globale et de toutes les zones non globales ou, de la zone globale seulement lorsque le package est uniquement installé dans la zone globale.

• pkgrm ne peut ni supprimer un package uniquement de la zone globale si ce package est également installé dans une zone non globale, ni supprimer un package de tout sous-ensemble des zones non globales.

Notez qu'un package peut uniquement être supprimé d'une zone non globale par un administrateur de zone travaillant dans cette zone si :

• Le package n'affecte aucune portion de zone non globale partagée avec la zone globale.

• Le paramètre SUNW_PKG_ALLZONES=false.

Suppression d'un package de la zone globale et de toutes les zones non globales

Pour supprimer un package de la zone globale et de toutes les zones non globales, exécutez l'utilitaire pkgrm dans la zone globale en tant qu'administrateur global.

Un package peut être supprimé de la zone globale et de toutes les zones non globales, indépendamment de la portion de zone affectée par le package.

L'utilitaire pkgrm exécute les actions suivantes :

• Les dépendances du package sont contrôlées dans la zone globale et dans toutes les zones non globales. Si le contrôle de dépendances échoue, pkgrm échoue aussi. Le système prévient l'administrateur global, qui doit confirmer s'il souhaite continuer.

• Le package est supprimé de chaque zone non globale.

• La base de données de packages de chaque zone non globale est mise à jour.

• Le package est supprimé de la zone globale.

• La base de données de packages de la zone globale est mise à jour.

Utilisation de pkgrm dans une zone non globale

Pour supprimer un package dans une zone non globale, utilisez pkgrm. Les limitations suivantes s'appliquent :

• pkgrm peut uniquement supprimer des packages de la zone non globale.

• Le package n'affecte aucune portion de zone partagée avec la zone globale.

• Le paramètre SUNW_PKG_ALLZONES=false.

L'utilitaire pkgrm exécute les actions suivantes :

• Les dépendances sont contrôlées dans la base de données de packages de la zone non globale. Si le contrôle des dépendances échoue, pkgrm échoue aussi et l'administrateur de zone est prévenu. Le contrôle échoue si l'une des conditions suivantes est vraie.

  • L'un des composants du package affecte une portion quelconque de la zone partagée avec la zone globale.

  • Le paramètre SUNW_PKG_ALLZONES=true.

• Le package est supprimé de la zone.

• La base de données de packages de la zone est mise à jour.

Informations sur les paramètres des packages

Configuration des paramètres des packages pour les zones

SUNW_PKG_ALLZONES , SUNW_PKG_HOLLOW et SUNW_PKG_THISZONE définissent les caractéristiques des packages d'un système sur lequel des zones sont installées. Vous devez configurer ces paramètres pour permettre l'administration de ces packages dans un système comportant des zones non globales installées.

Le tableau suivant répertorie les quatre combinaisons valides de configuration des paramètres des packages. Si vous choisissez d'autres combinaisons que celles mentionnées, ces paramètres ne sont pas valides et l'installation du package échoue.

Veillez à configurer les trois paramètres des packages. Vous pouvez également n'en définir aucun. Les outils de gestion des packages interprètent l'absence d'un paramètre de package de zone comme une valeur false, mais il est vivement conseillé de régler les paramètres. En définissant les trois paramètres de package, vous indiquez aux outils le comportement à adopter lors de l'installation ou de la suppression du package.

Paramètre de package SUNW_PKG_ALLZONES

Le paramètre optionnel SUNW_PKG_ALLZONES décrit la portée d'un package en termes de zone. Ce paramètre indique :

• si le package doit être installé dans toutes les zones ;

• si le package doit être identique dans toutes les zones.

Le paramètre SUNW_PKG_ALLZONES peut prendre deux valeurs, true et false. La valeur par défaut est false. S'il n'est pas défini ou s'il a été défini sur une valeur autre que true ou false, il est considéré comme possédant la valeur false.

Pour les packages dont la version et le niveau de révision de patchs doivent être identiques dans toutes les zones, le paramètre SUNW_PKG_ALLZONES doit être défini sur true. Pour tout package dont la fonctionnalité dépend d'un noyau Solaris particulier, par exemple Solaris 10, ce paramètre doit être défini sur true. Pour tout patch de package, le paramètre SUNW_PKG_ALLZONES doit être défini sur la même valeur que dans le package installé pour lequel l'application de patch est en cours. Le niveau de révision de patch de tout package pour lequel ce paramètre est défini sur true doit être identique dans toutes les zones.