多區域環境的結構

多區域環境由一個全域區域 (預設作業系統) 和一個或多個非全域區域組成。全域區域包含可由全域 (區域) 管理員在多個非全域區域之間分配的資源。非全域區域提供下列功能：

• 安全性。藉由在非全域區域內執行分散式服務來侷限發生安全性違規時可能受到的損害。在一個區域內成功利用軟體安全性漏洞的入侵者，其活動範圍僅被限制在該區域內。在非全域區域內享有的權限為在全域區域內所享有權限的子集。

• 執行階段隔離。非全域區域允許在同一台電腦上部署多個應用程式，即使當這些應用程式需有不同的安全性層級、需對全域資源進行獨佔存取或是需要進行個別配置時，亦是如此。例如，可使用與每一個非全域區域相關的不同 IP 位址將多個在不同區域中執行的應用程式連結至同一個網路連接埠。這些應用程式不能監視或截取彼此的網路通訊、檔案系統資料或程序作業。

• 管理性隔離。虛擬化的作業系統環境允許對每一個非全域區域分開進行管理。區域管理員 (相對於全域管理員) 在非全域區域內所採取的動作 (如建立使用者帳號、安裝和配置軟體，以及管理程序) 不會影響其他區域。

非全域區域有兩種類型：整體根區域 (whole root zone) 和稀疏根區域 (sparse root zone)：

• 整體根區域。包含全域區域上現有檔案系統的讀/寫副本。建立整體根區域後，便可在該整體根區域中使用全域區域上安裝的所有套裝軟體：系統會建立套裝軟體資料庫，並將所有檔案複製到整體根區域，以便以專屬和獨立的方式使用該區域。

• 稀疏根區域。僅包含全域區域上現有檔案系統一部份的讀/寫副本 (稀疏根即因此而得名)，而其他檔案系統則是以唯讀方式從全域區域做為環迴虛擬檔案系統而掛載的。建立稀疏根區域後，全域管理員會選取要與稀疏根區域共用的檔案系統 (依預設，/usr、/lib、/sbin 與 /platform 目錄是做為唯讀的檔案系統來共用的)。將會使全域區域上安裝的所有套裝軟體皆可用於稀疏根區域：會建立一個套裝軟體資料庫並與該區域共用所掛載檔案系統中的所有檔案。