Estructura de un entorno de varias zonas

Los entornos de varias zonas consisten en una zona global (el sistema operativo predeterminado) y una o más zonas no globales. La zona global contiene recursos que un administrador global (de zonas) puede asignar a zonas no globales. Las zonas no globales proporcionan las características siguientes:

• Security (Seguridad). Al ejecutar servicios distribuidos en zonas no globales, se pueden limitar los daños posibles en caso de una violación de la seguridad. Un intruso que se aproveche de un defecto de seguridad dentro de una zona estará limitado a dicha zona. Los privilegios disponibles dentro de una zona no global son un subconjunto de los disponibles en una zona global.

• Aislamiento durante el tiempo de ejecución. Las zonas no globales permiten la implementación de varias aplicaciones en un mismo equipo, incluso si dichas aplicaciones requieren distintos niveles de seguridad, acceso exclusivo a recursos globales o una configuración personalizada. Por ejemplo, varias aplicaciones que se están ejecutando en diferentes zonas pueden utilizar el mismo puerto de la red mediante direcciones IP diferentes asociadas con cada zona no global. Las aplicaciones no pueden ver ni interceptar el tráfico de red, datos de sistema de archivos o de los procesos de las otras aplicaciones.

• Aislamiento de la gestión. El entorno del sistema operativo virtualizado permite separar la gestión de cada zona no global. Las acciones llevadas a cabo por un administrador de zona (los que no son administradores globales) en una zona no global, tal como crear cuentas de usuario, instalar y configurar software y gestionar procesos no afectan las demás zonas.

Existen dos tipos de zonas no globales: zonas de raíz completa y zonas de poca raíz:

• Zonas de raíz completa. Contienen una copia de lectura/escritura del sistema de archivos que existe en la zona global. Cuando se crea una zona de raíz completa, todos los paquetes que se instalan en la zona global están a disposición de la zona de raíz completa: se crea una base de datos de paquete y se copian todos los archivos en la zona raíz entera para el uso dedicado e independente de la zona.

• Zonas de poca raíz. Contienen una copia de lectura/escritura de sólo una parte del sistema de archivos existente en la zona global (por esto se llaman de poca raíz) mientras otros sistemas de archivos están montados de forma de sólo escritura desde la zona global como sistemas de archivo virtuales loop-back. Cuando se crea una zona de poca raíz, el administrador global selecciona los sistemas de archivos para compartir la zona de poca raíz (de manera predeterminada, los directorios /usr, /lib, /sbin y /platform se comparten como sistemas de archivos de sólo lectura). Todos los paquetes instalados en la zona global se encuentran disponibles en la zona de poca raíz: se crea una base de datos de paquetes y todos los archivos del sistema de archivos montado se comparten con la zona.