test

Oracle Solaris Trusted Extensions 구성 설명서

네트워크 인터페이스 추가 및 레이블이 있는 영역으로 경로 설정

다음 작업은 각 영역이 별도의 물리적 네트워크에 연결되어 있는 환경을 지원합니다.

작업 

설명 

수행 방법 

1a: 레이블이 있는 각 영역에 네트워크 인터페이스를 추가하고 전역 영역을 사용하여 외부 네트워크에 연결합니다. 

레이블이 있는 각 영역을 별도의 물리적 네트워크에 연결합니다. 레이블이 있는 영역이 전역 영역이 제공하는 네트워크 경로를 사용합니다. 

레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가

또는 1b: 기본 경로가 구성된 레이블이 있는 각 영역에 네트워크 인터페이스를 추가합니다. 

각 영역을 별도의 물리적 네트워크에 연결합니다. 레이블이 있는 영역이 경로 설정 시 전역 영역을 사용하지 않습니다.

레이블이 있는 기존 영역의 경로 설정을 위해 전역 영역을 사용하지 않는 네트워크 인터페이스 추가

2. 레이블이 있는 각 영역에 이름 서비스 캐시를 만듭니다. 

각 영역에 대해 이름 서비스 캐시 데몬을 구성합니다. 

레이블이 있는 각 영역에 이름 서비스 캐시 구성

Procedure레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가

이 절차에서는 레이블이 있는 기존 영역에 영역별 네트워크 인터페이스를 추가합니다. 이 구성은 레이블이 있는 각 영역이 별도의 물리적 네트워크에 연결되는 환경을 지원합니다. 레이블이 있는 영역이 전역 영역이 제공하는 네트워크 경로를 사용합니다.

주 –

전역 영역은 비전역 영역 주소를 구성한 모든 서브넷의 IP 주소를 구성해야 합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

모든 영역에 대해 레이블이 있는 영역 만들기의 작업을 완료했습니다.

  1. 전역 영역에서 추가 네트워크 인터페이스의 IP 주소와 호스트 이름을 /etc/hosts 파일에 입력합니다.

    호스트의 이름에 -zone-name 을 추가 하는것과 같은 표준 이름 지정 규약을 사용하십시오. 


    ## /etc/hosts in global zone
10.10.8.2   hostname-zone-name1
10.10.8.3   hostname-global-name1
10.10.9.2   hostname-zone-name2
10.10.9.3   hostname-global-name2

  2. 네트워크의 각 인터페이스에 대해 /etc/netmasks 파일에 항목을 추가합니다.


    ## /etc/netmasks in global zone
10.10.8.0 255.255.255.0
10.10.9.0 255.255.255.0

    자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

  3. 전역 영역에서 영역별 물리적 인터페이스를 연결합니다.

    1. 이미 연결한 물리적 인터페이스를 식별합니다.


      # ifconfig -a

    2. 각 인터페이스에 전역 영역 주소를 구성합니다.


      # ifconfig interface-nameN1 plumb
# ifconfig interface-nameN1 10.10.8.3 up
# ifconfig interface-nameN2 plumb
# ifconfig interface-nameN2 10.10.9.3 up

    3. 각 전역 영역 주소에 대해서 hostname. interface-nameN 파일을 만듭니다. 


      # /etc/hostname.interface-nameN1
10.10.8.3
# /etc/hostname.interface-nameN2
10.10.9.3

    전역 영역 주소는 시스템 시작에서 즉시 구성됩니다. 영역이 부트될 때 영역별 주소가 구성됩니다.

  4. 각 영역별 네트워크 인터페이스에 보안 템플리트를 할당합니다.

    네트워크에 대한 게이트웨이에 레이블이 구성되지 않은 경우 admin_low 보안 템플리트를 할당합니다. 네트워크에 대한 게이트웨이에 레이블이 구성된 경우 cipso 보안 템플리트를 할당합니다.

    모든 네트워크의 레이블을 반영하는 호스트 유형 cipso의 보안 템플리트를 구성할 수 있습니다. 템플리트를 만들어 할당하는 절차는 Oracle Solaris Trusted Extensions Administrator’s ProceduresConfiguring Trusted Network Databases (Task Map)를 참조하십시오.

  5. 영역별 인터페이스를 추가할 레이블이 있는 모든 영역을 정지합니다.


    # zoneadm -z zone-name halt

  6. Labeled Zone Manager(레이블이 있는 영역 관리자)를 시작합니다.


    # /usr/sbin/txzonemgr

  7. 영역별 인터페이스를 추가할 각 영역에 대해 다음을 수행합니다.

    1. 영역을 선택합니다.

    2. Add Network(네트워크 추가)를 선택합니다.

    3. 네트워크 인터페이스의 이름을 지정합니다.

    4. 인터페이스의 IP 주소를 입력합니다.

  8. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 완료된 모든 영역에 대해 Zone Console(영역 콘솔)을 선택합니다.

  9. Boot(부트)를 선택합니다.

  10. Zone Console(영역 콘솔)에서 인터페이스가 만들어졌는지 확인합니다.


    # ifconfig -a

  11. 영역에 서브넷에 대한 게이트웨이 경로가 있는지 확인합니다.


    # netstat -rn
일반 오류

영역 구성을 디버깅하려면 다음을 참조하십시오.

Procedure레이블이 있는 기존 영역의 경로 설정을 위해 전역 영역을 사용하지 않는 네트워크 인터페이스 추가

이 절차에서는 레이블이 있는 기존 영역에 영역별 기본 경로를 설정합니다. 이 구성에서는 레이블이 있는 영역이 경로 설정 시 전역 영역을 사용하지 않습니다.

영역을 부트하기 전에 레이블이 있는 영역이 전역 영역에 연결되어야 합니다. 그러나 레이블이 있는 영역을 전역 영역에서 격리하려면 영역을 부트할 때 인터페이스가 down 상태에 있어야 합니다. 자세한 내용은 System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones의 17 장, Non-Global Zone Configuration (Overview)

주 –

부트되는 모든 비전역 영역에 대해 고유 기본 경로가 구성되어야 합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다.

모든 영역에 대해 레이블이 있는 영역 만들기의 작업을 완료했습니다. vni0 인터페이스 또는 lo0 인터페이스 중 하나를 사용하여 레이블이 있는 영역을 전역 영역에 연결합니다.

  1. 모든 네트워크 인터페이스에 대해 IP 주소, 넷마스크 및 기본 라우터를 확인합니다.

    ifconfig -a 명령을 사용하여 IP 주소 및 넷마스크를 확인합니다. zonecfg -z zonename info net 명령을 사용하여 기본 라우터가 할당되어 있는지 확인합니다.

  2. 레이블이 있는 각 영역에 대해 비어 있는 /etc/hostname.interface 파일을 만듭니다.


    # touch /etc/hostname.interface
# touch /etc/hostname.interface:n

    자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

  3. 레이블이 있는 영역의 네트워크 인터페이스를 연결합니다.


    # ifconfig zone1-network-interface plumb
# ifconfig zone2-network-interface plumb

  4. 레이블이 있는 영역의 인터페이스가 down 상태에 있는지 확인합니다.


    # ifconfig -a
zone1-network-interface zone1-IP-address down
zone2-network-interface zone2-IP-address down

    영역이 부트될 때 영역별 주소가 구성됩니다.

  5. 네트워크의 각 인터페이스에 대해 /etc/netmasks 파일에 항목을 추가합니다.


    ## /etc/netmasks in global zone
192.168.2.0 255.255.255.0
192.168.3.0 255.255.255.0

    자세한 내용은 netmasks(4) 매뉴얼 페이지를 참조하십시오.

  6. 각 영역별 네트워크 인터페이스에 보안 템플리트를 할당합니다.

    모든 네트워크의 레이블을 반영하는 호스트 유형 cipso의 보안 템플리트를 만듭니다. 템플리트를 만들고 할당하려면 Oracle Solaris Trusted Extensions Administrator’s ProceduresConfiguring Trusted Network Databases (Task Map)를 참조하십시오.

  7. txzonemgr 스크립트를 실행하고 별도의 터미널 창을 엽니다.

    Labeled Zone Manager(레이블이 있는 영역 관리자)에서 레이블이 있는 영역에 대한 네트워크 인터페이스를 추가합니다. 터미널 창에서 영역에 대한 정보를 표시하고 기본 라우터를 설정합니다.

  8. 영역별 네트워크 인터페이스 및 라우터를 추가하려는 모든 영역에 대해 다음 단계를 완료합니다.

    1. 터미널 창에서 영역을 정지합니다.


      # zoneadm -z zone-name halt

    2. Labeled Zone Manager(레이블이 있는 영역 관리자)에서 다음을 수행합니다.

      1. 영역을 선택합니다.

      2. Add Network(네트워크 추가)를 선택합니다.

      3. 네트워크 인터페이스의 이름을 지정합니다.

      4. 인터페이스의 IP 주소를 입력합니다.

      5. 터미널 창에서 영역 구성을 확인합니다.


        # zonecfg -z zone-name info net
net:   address: IP-address
       physical: zone-network-interface
       defrouter not specified

    3. 터미널 창에서 레이블이 있는 영역의 네트워크에 대한 기본 라우터를 구성합니다.


      # zonecfg -z zone-name
zonecfg:zone-name > select net address=IP-address 
zonecfg:zone-name:net> set defrouter=router-address 
zonecfg:zone-name:net> end 
zonecfg:zone-name > verify 
zonecfg:zone-name > commit 
zonecfg:zone-name > exit 
#

      자세한 내용은 zonecfg(1M) 매뉴얼 페이지 및 System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris ZonesHow to Configure the Zone을 참조하십시오.

    4. 레이블이 있는 영역을 부트합니다.


      # zoneadm -z zone-name boot

    5. 전역 영역에서 레이블이 있는 영역에 서브넷의 게이트웨이에 대한 경로가 있는지 확인합니다.


      # netstat -rn

      라우팅 테이블이 표시됩니다. 레이블이 있는 영역의 대상 및 인터페이스는 전역 영역의 항목과 다릅니다.

  9. 기본 경로를 제거하려면 영역의 IP 주소를 선택한 다음 경로를 제거합니다.


    # zonecfg -z zone-name

zonecfg:zone-name > select net address=zone-IP-address
zonecfg:zone-name:net> remove net defrouter=zone-default-route
zonecfg:zone-name:net>  info net
net:
   address: zone-IP-address
   physical: zone-network-interface
   defrouter not specified
예 4–5 레이블이 있는 영역에 대한 기본 경로 설정

이 예에서는 관리자가 Secret 영역의 경로를 별도의 물리적 서브넷으로 설정합니다. Secret 영역에 대한 입출력 트래픽은 전역 영역을 통해 경로가 설정되지 않습니다. 관리자가 Labeled Zone Manager(레이블이 있는 영역 관리자) 및 zonecfg 명령을 사용한 다음 경로 설정이 제대로 작동하는지 확인합니다.

관리자는 qfe1qfe1:0이 현재 사용 중이 아닌지 확인하고 레이블이 있는 두 영역에 대한 매핑을 만듭니다. qfe1이 Secret 영역에 할당되는 인터페이스입니다.


Interface IP Address    Netmask        Default Router
qfe1     192.168.2.22 255.255.255.0 192.168.2.2
qfe1:0   192.168.3.33 255.255.255.0 192.168.3.3

먼저 관리자가 /etc/hostname.qfe1 파일을 만들고 /etc/netmasks 파일을 구성합니다.


# touch /etc/hostname.qfe1


# cat /etc/netmasks
## /etc/netmasks in global zone
192.168.2.0 255.255.255.0

그런 다음 관리자는 네트워크 인터페이스를 연결하고 인터페이스가 down(종료) 상태인지 확인합니다.


# ifconfig qfe1 plumb
# ifconfig -a

다음으로 Solaris Management Console에서 관리자가 Secret라는 단일 레이블을 가진 보안 템플리트를 만들고 템플리트에 인터페이스의 IP 주소를 할당합니다.

관리자가 영역을 정지합니다.


# zoneadm -z secret halt

관리자가 txzonemgr 스크립트를 실행하여 Labeled Zone Manager(레이블이 있는 영역 관리자)를 엽니다.


# /usr/sbin/txzonemgr

Labeled Zone Manager(레이블이 있는 영역 관리자)에서 관리자가 Secret 영역을 선택하고 Add Network(네트워크 추가)를 선택한 다음 네트워크 인터페이스를 선택합니다. 관리자가 Labeled Zone Manager(레이블이 있는 영역 관리자)를 닫습니다.

명령줄에서 관리자가 영역의 IP 주소를 선택한 다음 그 기본 경로를 설정합니다. 명령을 종료하기 전에 관리자가 경로를 확인하고 적용합니다.


# zonecfg -z secret
zonecfg: secret > select net address=192.168.6.22 
zonecfg: secret:net> set defrouter=192.168.6.2 
zonecfg: secret:net> end 
zonecfg: secret > verify 
zonecfg: secret > commit 
zonecfg: secret > info net 
  net:
     address: 192.168.6.22
     physical: qfe1
     defrouter: 192.168.6.2
zonecfg: secret > exit 
#

관리자가 영역을 부트합니다.


# zoneadm -z secret boot

전역 영역에 있는 별도의 터미널 창에서 관리자가 패킷 송신 및 수신을 확인합니다.


# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref     Use  Interface 
-------------------- -------------------- ----- ----- ------- --------- 
default              192.168.5.15         UG        1    2664 qfe0      
192.168.6.2          192.168.6.22         UG        1     240 qfe1      
192.168.3.3          192.168.3.33         U         1     183 qfe1:0    
127.0.0.1            127.0.0.1            UH        1     380 lo0       
...

Procedure레이블이 있는 각 영역에 이름 서비스 캐시 구성

이 절차를 통해 레이블이 있는 각 영역에 이름 서비스 데몬(nscd)을 개별적으로 구성할 수 있습니다. 이 구성에서는 각 영역이 해당 영역 레이블에서 실행되는 하위 네트워크에 연결되고 하위 네트워크에는 해당 레이블에 대한 고유 이름 서버가 있는 환경을 지원합니다.

주 –

이 구성은 평가 구성용 기준에 맞지는 않습니다. 평가 구성에서는 nscd 데몬이 전역 영역에서만 실행됩니다. 레이블이 있는 각 영역의 도어는 영역을 전역 nscd 데몬에 연결합니다.

시작하기 전에

사용자는 전역 영역의 수퍼유저입니다. root는 아직 역할이 아니어야 합니다. 레이블이 있는 기존 영역의 경로 설정을 위해 네트워크 인터페이스 추가의 절차를 성공적으로 완료했습니다.

이 구성을 사용하려면 사용자에게 고급 네트워크 기술이 있어야 합니다. LDAP가 이름 지정 서비스인 경우 사용자가 레이블이 있는 각 영역에 대한 LDAP 클라이언트 연결을 설정해야 합니다. nscd 데몬은 이름 서비스 정보를 캐시하지만 라우팅하지는 않습니다.

  1. LDAP를 사용하는 경우 레이블이 있는 영역에서 LDAP 서버에 대한 경로를 확인합니다.

    레이블이 있는 모든 영역의 터미널 창에서 다음 명령을 실행합니다.


    zone-name # netstat -rn

  2. 전역 영역에서 Labeled Zone Manager(레이블이 있는 영역 관리자)를 시작합니다.


    # /usr/sbin/txzonemgr

  3. Configure per-zone name service(영역당 이름 서비스 구성)를 선택하고 OK(확인)를 누릅니다.

    이 옵션은 초기 시스템 구성 중 한 번 사용됩니다.

  4. 각 영역의 nscd 서비스를 구성합니다.

    자세한 내용은 nscd(1M)nscd.conf(4) 매뉴얼 페이지를 참조하십시오.

  5. 시스템을 다시 부트합니다.

  6. 모든 영역에 대해 경로와 이름 서비스 데몬을 확인합니다.

    1. Zone Console(영역 콘솔)에서 nscd 서비스를 나열합니다.


      zone-name # svcs -x name-service-cache
svc:/system/name-service-cache:default (name service cache)
 State: online since October 10, 2010  10:10:10 AM PDT
   See: nscd(1M)
   See: /etc/svc/volatile/system-name-service-cache:default.log
Impact: None.

    2. 하위 네트워크에 대한 경로를 확인합니다.


      zone-name # netstat -rn

  7. 영역별 이름 서비스 데몬을 제거하려면 전역 영역에서 다음을 수행합니다.

    1. Labeled Zone Manager(레이블이 있는 영역 관리자)를 엽니다.

    2. Unconfigure per-zone name service(영역당 이름 서비스 구성 해제)를 선택하고 OK(확인)를 누릅니다.

      이렇게 하면 레이블이 있는 모든 영역에서 nscd 데몬이 제거됩니다.

    3. 시스템을 다시 부트합니다.