레이블이 있는 기존 영역의 경로 설정을 위해 전역 영역을 사용하지 않는 네트워크 인터페이스 추가

이 절차에서는 레이블이 있는 기존 영역에 영역별 기본 경로를 설정합니다. 이 구성에서는 레이블이 있는 영역이 경로 설정 시 전역 영역을 사용하지 않습니다.

영역을 부트하기 전에 레이블이 있는 영역이 전역 영역에 연결되어야 합니다. 그러나 레이블이 있는 영역을 전역 영역에서 격리하려면 영역을 부트할 때 인터페이스가 down 상태에 있어야 합니다. 자세한 내용은 System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones의 17 장, Non-Global Zone Configuration (Overview)

부트되는 모든 비전역 영역에 대해 고유 기본 경로가 구성되어야 합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

모든 영역에 대해 레이블이 있는 영역 만들기의 작업을 완료했습니다. vni0 인터페이스 또는 lo0 인터페이스 중 하나를 사용하여 레이블이 있는 영역을 전역 영역에 연결합니다.

1. 모든 네트워크 인터페이스에 대해 IP 주소, 넷마스크 및 기본 라우터를 확인합니다.

   ifconfig -a 명령을 사용하여 IP 주소 및 넷마스크를 확인합니다. zonecfg -z zonename info net 명령을 사용하여 기본 라우터가 할당되어 있는지 확인합니다.

2. 레이블이 있는 각 영역에 대해 비어 있는 /etc/hostname.interface 파일을 만듭니다.

   # touch /etc/hostname.interface # touch /etc/hostname.interface:n

   자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

3. 레이블이 있는 영역의 네트워크 인터페이스를 연결합니다.

   # ifconfig zone1-network-interface plumb # ifconfig zone2-network-interface plumb

4. 레이블이 있는 영역의 인터페이스가 down 상태에 있는지 확인합니다.

   # ifconfig -a zone1-network-interface zone1-IP-address down zone2-network-interface zone2-IP-address down

   영역이 부트될 때 영역별 주소가 구성됩니다.

5. 네트워크의 각 인터페이스에 대해 /etc/netmasks 파일에 항목을 추가합니다.

   ## /etc/netmasks in global zone 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0

   자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

6. 각 영역별 네트워크 인터페이스에 보안 템플리트를 할당합니다.

   모든 네트워크의 레이블을 반영하는 호스트 유형 cipso의 보안 템플리트를 만듭니다. 템플리트를 만들고 할당하려면 Oracle Solaris Trusted Extensions Administrator’s Procedures의 Configuring Trusted Network Databases (Task Map)를 참조하십시오.

7. txzonemgr 스크립트를 실행하고 별도의 터미널 창을 엽니다.

   Labeled Zone Manager(레이블이 있는 영역 관리자)에서 레이블이 있는 영역에 대한 네트워크 인터페이스를 추가합니다. 터미널 창에서 영역에 대한 정보를 표시하고 기본 라우터를 설정합니다.

8. 영역별 네트워크 인터페이스 및 라우터를 추가하려는 모든 영역에 대해 다음 단계를 완료합니다.

   1. 터미널 창에서 영역을 정지합니다.

      # zoneadm -z zone-name halt

   2. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 다음을 수행합니다.

      1. 영역을 선택합니다.

      2. Add Network(네트워크 추가)를 선택합니다.

      3. 네트워크 인터페이스의 이름을 지정합니다.

      4. 인터페이스의 IP 주소를 입력합니다.

      5. 터미널 창에서 영역 구성을 확인합니다.

         # zonecfg -z zone-name info net net: address: IP-address physical: zone-network-interface defrouter not specified

   3. 터미널 창에서 레이블이 있는 영역의 네트워크에 대한 기본 라우터를 구성합니다.

      # zonecfg -z zone-name zonecfg:zone-name > select net address=IP-address zonecfg:zone-name:net> set defrouter=router-address zonecfg:zone-name:net> end zonecfg:zone-name > verify zonecfg:zone-name > commit zonecfg:zone-name > exit #

      자세한 내용은 zonecfg(1M) 매뉴얼 페이지 및 System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones의 How to Configure the Zone을 참조하십시오.

   4. 레이블이 있는 영역을 부트합니다.

      # zoneadm -z zone-name boot

   5. 전역 영역에서 레이블이 있는 영역에 서브넷의 게이트웨이에 대한 경로가 있는지 확인합니다.

      # netstat -rn

      라우팅 테이블이 표시됩니다. 레이블이 있는 영역의 대상 및 인터페이스는 전역 영역의 항목과 다릅니다.

9. 기본 경로를 제거하려면 영역의 IP 주소를 선택한 다음 경로를 제거합니다.

   # zonecfg -z zone-name zonecfg:zone-name > select net address=zone-IP-address zonecfg:zone-name:net> remove net defrouter=zone-default-route zonecfg:zone-name:net> info net net: address: zone-IP-address physical: zone-network-interface defrouter not specified

예 4–5 레이블이 있는 영역에 대한 기본 경로 설정

이 예에서는 관리자가 Secret 영역의 경로를 별도의 물리적 서브넷으로 설정합니다. Secret 영역에 대한 입출력 트래픽은 전역 영역을 통해 경로가 설정되지 않습니다. 관리자가 Labeled Zone Manager(레이블이 있는 영역 관리자) 및 zonecfg 명령을 사용한 다음 경로 설정이 제대로 작동하는지 확인합니다.

관리자는 qfe1 및 qfe1:0이 현재 사용 중이 아닌지 확인하고 레이블이 있는 두 영역에 대한 매핑을 만듭니다. qfe1이 Secret 영역에 할당되는 인터페이스입니다.

Interface IP Address    Netmask        Default Router
qfe1     192.168.2.22 255.255.255.0 192.168.2.2
qfe1:0   192.168.3.33 255.255.255.0 192.168.3.3

먼저 관리자가 /etc/hostname.qfe1 파일을 만들고 /etc/netmasks 파일을 구성합니다.

# touch /etc/hostname.qfe1

# cat /etc/netmasks
## /etc/netmasks in global zone
192.168.2.0 255.255.255.0

그런 다음 관리자는 네트워크 인터페이스를 연결하고 인터페이스가 down(종료) 상태인지 확인합니다.

# ifconfig qfe1 plumb
# ifconfig -a

다음으로 Solaris Management Console에서 관리자가 Secret라는 단일 레이블을 가진 보안 템플리트를 만들고 템플리트에 인터페이스의 IP 주소를 할당합니다.

관리자가 영역을 정지합니다.

# zoneadm -z secret halt

관리자가 txzonemgr 스크립트를 실행하여 Labeled Zone Manager(레이블이 있는 영역 관리자)를 엽니다.

# /usr/sbin/txzonemgr

Labeled Zone Manager(레이블이 있는 영역 관리자)에서 관리자가 Secret 영역을 선택하고 Add Network(네트워크 추가)를 선택한 다음 네트워크 인터페이스를 선택합니다. 관리자가 Labeled Zone Manager(레이블이 있는 영역 관리자)를 닫습니다.

명령줄에서 관리자가 영역의 IP 주소를 선택한 다음 그 기본 경로를 설정합니다. 명령을 종료하기 전에 관리자가 경로를 확인하고 적용합니다.

# zonecfg -z secret
zonecfg: secret > select net address=192.168.6.22 
zonecfg: secret:net> set defrouter=192.168.6.2 
zonecfg: secret:net> end 
zonecfg: secret > verify 
zonecfg: secret > commit 
zonecfg: secret > info net 
  net:
     address: 192.168.6.22
     physical: qfe1
     defrouter: 192.168.6.2
zonecfg: secret > exit 
#

관리자가 영역을 부트합니다.

# zoneadm -z secret boot

전역 영역에 있는 별도의 터미널 창에서 관리자가 패킷 송신 및 수신을 확인합니다.

# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref     Use  Interface 
-------------------- -------------------- ----- ----- ------- --------- 
default              192.168.5.15         UG        1    2664 qfe0      
192.168.6.2          192.168.6.22         UG        1     240 qfe1      
192.168.3.3          192.168.3.33         U         1     183 qfe1:0    
127.0.0.1            127.0.0.1            UH        1     380 lo0       
...