何謂區域?
區域是 Solaris 10 作業系統的一種應用程式與資源管理功能。此功能可讓作業系統以獨立且安全的虛擬作業系統環境 (區域) 形式呈現給應用程式。這些區域憑著某種程度的集中化資源管理提供作業系統獨立性優點。因此,透過在不同的區域內安裝和執行應用程式,便可將應用程式彼此區隔開來,同時還可以集中分配和管理特定的作業系統資源。
從支援多個區域的作業系統來看,作業系統資源包括諸如程序管理、記憶體、網路配置、檔案系統、套裝軟體登錄、使用者帳號、共用程式庫等資源,在某些情況下也包括已安裝的應用程式。
多區域環境的結構
多區域環境由一個全域區域 (預設作業系統) 和一個或多個非全域區域組成。全域區域包含可由全域 (區域) 管理員在多個非全域區域之間分配的資源。非全域區域提供下列功能:
-
安全性。藉由在非全域區域內執行分散式服務來侷限發生安全性違規時可能受到的損害。在一個區域內成功利用軟體安全性漏洞的入侵者,其活動範圍僅被限制在該區域內。在非全域區域內享有的權限為在全域區域內所享有權限的子集。
-
執行階段隔離。非全域區域允許在同一台電腦上部署多個應用程式,即使當這些應用程式需有不同的安全性層級、需對全域資源進行獨佔存取或是需要進行個別配置時,亦是如此。例如,可使用與每一個非全域區域相關的不同 IP 位址將多個在不同區域中執行的應用程式連結至同一個網路連接埠。這些應用程式不能監視或截取彼此的網路通訊、檔案系統資料或程序作業。
-
管理性隔離。虛擬化的作業系統環境允許對每一個非全域區域分開進行管理。區域管理員 (相對於全域管理員) 在非全域區域內所採取的動作 (如建立使用者帳號、安裝和配置軟體,以及管理程序) 不會影響其他區域。
非全域區域有兩種類型:整體根區域 (whole root zone) 和稀疏根區域 (sparse root zone):
-
整體根區域。包含全域區域上現有檔案系統的讀/寫副本。建立整體根區域後,便可在該整體根區域中使用全域區域上安裝的所有套裝軟體:系統會建立套裝軟體資料庫,並將所有檔案複製到整體根區域,以便以專屬和獨立的方式使用該區域。
-
稀疏根區域。僅包含全域區域上現有檔案系統一部份的讀/寫副本 (稀疏根即因此而得名),而其他檔案系統則是以唯讀方式從全域區域做為環迴虛擬檔案系統而掛載的。建立稀疏根區域後,全域管理員會選取要與稀疏根區域共用的檔案系統 (依預設,/usr、/lib、/sbin 與 /platform 目錄是做為唯讀的檔案系統來共用的)。將會使全域區域上安裝的所有套裝軟體皆可用於稀疏根區域:會建立一個套裝軟體資料庫並與該區域共用所掛載檔案系統中的所有檔案。
整體根區域與稀疏根區域
在使用整體根非全域區域還是稀疏根非全域區域之間做出選擇時,需在資源效率與管理控制之間進行權衡。整體根區域可讓您以犧牲記憶體和其他資源為代價來最大程度地提升管理控制 (獨立性與隔離),而稀疏根區域則是以犧牲管理獨立性為代價來使可執行檔及共用程式庫的有效共用最佳化 (同時大大減少所佔用的磁碟空間)。目前未對稀疏根區域相較於整體根區域的效能優勢進行衡量;這很可能要視具體軟體而定。
套裝軟體傳遞
在全域區域內安裝的套裝軟體 (依預設) 對所有非全域區域均可用:此程序即稱為套裝軟體傳遞。(若要進行傳遞,新建立的非全域區域必須完全啟動,亦即處於執行狀態。)傳遞可使全域區域內安裝的套裝軟體具有本機 (非全域) 可視性及可用性。傳遞允許全域管理員集中執行應用程式套裝軟體生命週期管理 (安裝、升級、解除安裝),而應用程式配置和執行階段管理則由 (非全域) 區域管理員執行。
對於整體根區域,傳遞是透過將所安裝的檔案從全域區域自動複製到整體根區域以及自動同步登錄資訊來完成的。對於稀疏根區域,傳遞則是透過全域區域與稀疏根區域之間共用的唯讀檔案系統以及自動同步登錄資訊來完成的。
套裝軟體到非全域區域的傳遞是使用內部套裝軟體屬性在套裝軟體層級進行控制的。對於這些屬性的某些值 (起碼是預設值),可在安裝時使用 pkgadd —G 選項來停用傳遞,該選項會覆寫這些屬性值。安裝後便無法修改套裝軟體的傳遞運作方式,此時只能透過解除安裝爾後重新安裝套裝軟體來進行修改。舉例來說,修補程式無法變更套裝軟體的傳遞運作方式;事實上,必須依照修補程式所要升級的套裝軟體的傳遞運作方式來套用修補程式。
- © 2010, Oracle Corporation and/or its affiliates