多区域环境的结构

多区域环境包括一个全局区域（默认操作系统）以及一个或多个非全局区域。全局区域包含可由全局（区域）管理员在非全局区域之间分配的资源。非全局区域具有以下特性：

• 安全性。通过在非全局区域中运行分布式服务，可在发生安全违规时减少可能的损失。在某一区域内成功地利用了软件安全性缺陷的入侵者将被限定于该区域。在非全局区域内可用的权限是全局区域内可用权限的一部分。

• 运行时隔离。非全局区域允许将多个应用程序部署在同一台计算机上，即使这些应用程序要求不同等级的安全性、要求以独占方式访问全局资源或是要求个性化配置。例如，通过使用与各个非全局区域相关联的不同 IP 地址，可将运行在不同区域中的多个应用程序绑定到同一网络端口。这样，可防止应用程序监视或截取彼此的网络通信流量、文件系统数据或进程活动。

• 管理隔离。在虚拟化操作系统环境中，可以对每个非全局区域进行单独管理。区域管理员（区别于全局管理员）在非全局区域中执行的操作（如创建用户帐户、安装和配置软件以及管理进程）不会影响到其他区域。

有以下两种类型的非全局区域：完全根区域 (whole root zone) 和稀疏根区域 (sparse root zone)：

• 完全根区域。包含全局区域中现有文件系统的读/写副本。创建一个完全根区域后，安装在全局区域中的所有软件包便全部可供该完全根区域使用：系统会创建一个软件包数据库，并将所有文件复制到该完全根区域中，专供该区域独立使用。

• 稀疏根区域。仅包含全局区域中部分文件系统的读/写副本（由此得名为稀疏根），而其他文件系统则是作为回送虚拟文件系统从全局区域以只读方式进行挂载的。创建稀疏根区域后，全局管理员会选择与稀疏根区域共享的文件系统（默认情况下，将 /usr、/lib、/sbin 和 /platform 目录作为只读文件系统进行共享）。系统会将全局区域中安装的所有软件包提供给稀疏根区域使用：系统会创建一个软件包数据库，并将已挂载文件系统中的所有文件与该区域共享。