複数ゾーン環境の構造

複数ゾーン環境は、1 つの大域ゾーン (デフォルトのオペレーティングシステム) と 1 つ以上の非大域ゾーンで構成されます。大域ゾーンには、大域 (ゾーン) 管理者が複数の非大域ゾーンに割り振ることのできるリソースが含まれます。非大域ゾーンには次の機能があります。

• セキュリティー。分散サービスを非大域ゾーンで実行すると、セキュリティー違反が発生した場合の損害を抑えることができます。あるゾーンでソフトウェアのセキュリティーの欠陥を突いて侵入に成功したとしても、侵入はそのゾーンに限られます。非大域ゾーン内で使用できる特権は、大域ゾーンで使用できる特権の一部のみです。

• ランタイムの分離。複数のアプリケーションに異なるレベルのセキュリティー、大域リソースへの排他アクセス、または個別の設定が必要となる場合でも、非大域ゾーンを使用することで、それらのアプリケーションを同じコンピュータ上に配備することが可能となります。たとえば、異なるゾーンで実行中の複数のアプリケーションは、各非大域ゾーンに関連付けられている別個の IP アドレスを使用することで、同じネットワークポートにバインドできます。これにより、アプリケーションが互いのネットワークトラフィック、ファイルシステムデータ、プロセスの活動などを監視したり妨害したりすることが防止されます。

• 管理の独立。オペレーティングシステム環境を仮想化することで、非大域ゾーンをそれぞれ個別に管理できます。大域管理者ではなくゾーン管理者が非大域ゾーンで行う、ユーザーアカウントの作成、ソフトウェアのインストールと設定、プロセスの管理などのアクションは他のゾーンに影響しません。

非大域ゾーンには、完全ルートゾーンと疎ルートゾーンの 2 種類があります。

• 完全ルートゾーン: 大域ゾーン上に存在するファイルシステムの読み取り/書き込みコピーがあります。完全ルートゾーンが作成されると、大域ゾーン上にインストールされているすべてのパッケージは完全ルートゾーンで使用可能になります。パッケージデータベースを作成すると、ゾーンを専用かつ単独で使用するために、すべてのファイルが完全ルートゾーンにコピーされます。

• 疎ルートゾーン: 大域ゾーンに存在するファイルシステムの一部の読み取り/書き込みコピーのみがあり (そのために疎ルートという名前で呼ばれる)、それ以外のファイルシステムは大域ゾーンから読み取り専用でループバック仮想ファイルシステムとしてマウントされます。大域管理者は、疎ルートゾーンの作成時に、この疎ルートゾーンとどのファイルシステムを共有するかを選択します。デフォルトでは、/usr、/lib、/sbin、および /platform が読み取り専用ファイルシステムとして共有されます。大域ゾーンにインストールされているすべてのパッケージが、疎ルートゾーンで利用できるようになります。パッケージデータベースが作成され、マウントされているファイルシステム内のすべてのファイルがゾーンで共有されます。