Guia de administração do sistema: gerenciamento de recursos Oracle Solaris Containers e Oracle Solaris Zones

Conexão à rede em regiões não globais com IP compartilhado

Em um sistema do Solaris com regiões instaladas, as regiões pode se comunicar entre si pela rede. Todas as regiões têm vinculações separadas, ou conexões, e todas as regiões podem executar seus próprios daemons de servidor. Esses daemons podem escutar no mesmo número de portas sem qualquer conflito. A pilhas de IP resolve conflitos ao considerar endereços IP para conexões de entrada. Os endereços IP identificam a região.

Partição de região com IP compartilhado

A pilha de IP em um sistema que oferece suporte a regiões implementa a separação do tráfego de rede entre regiões. Os aplicativos que recebem o tráfego IP podem somente receber tráfego enviado para a mesma região.

Cada interface lógica no sistema pertence a uma região específica, a região global por padrão. As interfaces lógicas de rede atribuídas a regiões através do utilitário zonecfg são usadas para a comunicação pela rede. Cada fluxo e cada conexão pertencem à região do processo que a abriu.

Vinculações entre fluxos de camada superior e interfaces lógicas são restritas. Um fluxo pode somente estabelecer vinculações a interfaces lógicas na mesma região. Da mesma forma, pacotes de uma interface lógica podem somente ser passados para grupos de camada superior na mesma região que a interface lógica.

Cada região tem seu próprio conjunto de vínculos. Cada região pode executar o mesmo aplicativo que escuta no mesmo número de portas sem falha de vínculos, porque o endereço já está em uso. Cada região pode executar sua própria versão dos seguintes serviços:

Daemon de serviços da Internet com um arquivo de configuração completo (consulte a página do manual inetd(1M))
sendmail (consulte a página do manual sendmail(1M))
apache (consulte a página do manual apache(1M))

Regiões que não sejam a região global têm acesso restrito à rede. As interfaces de soquete TCP e UDP padrão estão disponíveis, mas as interfaces de soquete SOCK_RAW são restritas ao Internet Control Message Protocol (ICMP). ICMP é necessário para detectar e relatar condições de erro de rede ou usar o comando ping.

Interfaces de rede com IP compartilhado

Cada região que requer conectividade de rede tem um ou mais endereços IP dedicados. Esses endereços são associados às interfaces lógicas de rede que podem ser colocadas em uma região usando-se o comando ifconfig. Interfaces de rede de região configuradas pelo comando zonecfg serão automaticamente definidas e colocadas na região quando esta for inicializada. O comando ifconfig pode ser usado para adicionar ou remover interfaces lógicas quando a região está em execução. Somente o administrador global pode modificar a configuração da interface e as rotas de rede.

Dentro de uma região global, somente as interfaces de região estarão visíveis para ifconfig.

Para obter mais informações, consulte as páginas do manual ifconfig(1M) e if_tcp(7P).

Tráfego IP entre regiões com IP compartilhado na mesma máquina

Entre duas regiões na mesma máquina, a entrega de pacote é somente permitida se houver uma “rota correspondente”para o destino e a região na tabela de reenvio.

As informações correspondentes são implementadas como a seguir:

O endereço de origem para os pacotes é selecionado na interface de saída especificada pela rota correspondente.
Por padrão, o tráfego é permitido entre duas regiões que têm endereços na mesma sub-rede. A rota correspondente neste caso é a rota de interface para a sub-rede.
Se houver uma rota padrão para uma dada região, em que o gateway está em uma das sub-redes da região, o tráfego desse região para outras regiões será permitido. A rota correspondente neste caso é a rota padrão.

Se houver uma rota correspondente com o sinalizador RTF_REJECT, os pacotes acionam uma mensagem de ICMP inatingível. Se houver uma rota correspondente com o sinalizador RTF_BLACKHOLE, os pacotes serão descartados. O administrador global pode usar as opções do comando route descritas na tabela abaixo para criar rotas com estes sinalizadores.

Modificador	Sinalizador	Descrição
`-reject`	`RTF_REJECT`	Emite uma mensagem de ICMP inatingível quando não correspondente.
`-blackhole`	`RTF_BLACKHOLE`	Descarta pacotes silenciosamente durante atualizações.

Para obter mais informações, consulte route(1M)

Filtro de IP do Solaris em regiões com IP compartilhado

O filtro de IP do Solaris fornece filtragem de pacotes e conversão de endereços de rede (NAT). Um filtro de pacote com informações de estado pode monitorar o estado de conexões ativas e usar as informações obtidas para determinar quais pacotes de rede terão permissão através do firewall. O filtro de IP do Solaris também inclui filtragem de pacotes sem informações de estado e a capacidade de criar e gerenciar grupos de endereços. Para mais informações adicionais, consulte o Capítulo 25, Oracle Solaris IP Filter (Overview), no System Administration Guide: IP Services.

O filtro de IP do Solaris pode ser ativado em regiões não globais através da ativação da filtragem de autorretornos, como descrito no Capítulo 26, Oracle Solaris IP Filter (Tasks), no System Administration Guide: IP Services.

O filtro de IP do Solaris é derivado do software de filtro de IP de código aberto.

Vários caminhos de rede IP em regiões com IP compartilhado

O recurso de vários caminhos de rede IP (IPMP) oferece detecção de falha de interface física e falha de acesso de rede transparente para um sistema com várias interfaces no mesmo link de IP. IPMP também oferece propagação de carga de pacotes para sistemas com várias interfaces.

Toda a configuração de rede é feita na região global. Você pode configurar IPMP na região global e, em seguida, estender a funcionalidade para regiões não globais. A funcionalidade é estendida colocando-se o endereço da região em um grupo IPMP ao configurar a região. Em seguida, se uma das interfaces na região global falhar, os endereços da região não global migrarão para outra placa de interface de rede. Uma região de IP compartilhado pode possuir vários endereços IP, que podem ser parte de vários grupos IPMP e um determinado grupo IPMP pode ser utilizado por várias zonas de IP compartilhado.

Em uma dada região não global, somente as interfaces associadas à região são visíveis através do comando ifconfig.

Consulte Como estender a funcionalidade de vários caminhos de rede IP para regiões não globais com IP compartilhado. O procedimento de configuração de regiões é tratado em Como configurar a região. Para obter informações sobre recursos, componentes e uso de IPMP, consulte Capítulo 30, Introducing IPMP (Overview), no System Administration Guide: IP Services .