Adición de interfaces de red y rutas a zonas con etiquetas

Las siguientes tareas se pueden realizar en entornos en los que cada zona está conectada a una red física independiente.

Adición de una interfaz de red para enrutar una zona con etiquetas existente

Este procedimiento agrega interfaces de red específicas de la zona a las zonas con etiquetas existentes. Esta configuración se puede realizar en entornos en los que cada zona con etiquetas está conectada a una red física independiente. Las zonas con etiquetas utilizan la ruta de red que proporciona la zona global.

Antes de empezar

Debe ser superusuario de la zona global.

Para cada zona, debe haber completado las tareas de la sección Creación de zonas con etiquetas.

1. En la zona global, escriba las direcciones IP y los nombres de host para las interfaces de red adicionales en el archivo /etc/hosts.

   Utilice una convención de denominación estándar, como la adición de nombre_zona al nombre del host.

   ## /etc/hosts in global zone
   10.10.8.2   hostname-zone-name1
   10.10.8.3   hostname-global-name1
   10.10.9.2   hostname-zone-name2
   10.10.9.3   hostname-global-name2

2. Para la red para cada interfaz, agregue entradas al archivo /etc/netmasks.

   ## /etc/netmasks in global zone
   10.10.8.0 255.255.255.0
   10.10.9.0 255.255.255.0

   Para obtener más información, consulte la página del comando man netmasks(4).

3. En la zona global, conecte las interfaces físicas específicas de la zona.
   1. Identifique las interfaces físicas que ya están conectadas.

      # ifconfig -a

   2. Configure las direcciones de la zona global en cada interfaz.

      # ifconfig interface-nameN1 plumb
      # ifconfig interface-nameN1 10.10.8.3 up
      # ifconfig interface-nameN2 plumb
      # ifconfig interface-nameN2 10.10.9.3 up

   3. Para cada dirección de zona global, cree un archivo hostname.nombre_interfazN.

      # /etc/hostname.interface-nameN1
      10.10.8.3
      # /etc/hostname.interface-nameN2
      10.10.9.3

   Las direcciones de la zona global se configuran inmediatamente cuando se inicia el sistema. Las direcciones específicas de la zona se configuran cuando se inicia la zona.

4. Asigne una plantilla de seguridad a cada interfaz de red específica de la zona.

   Si la puerta de enlace a la red no está configurada con etiquetas, asigne la plantilla de seguridad admin_low. Si la puerta de enlace a la red tiene etiquetas, asigne una plantilla de seguridad cipso.

   Puede crear plantillas de seguridad de tipo de host cipso que reflejen la etiqueta de cada red. Para ver los procedimientos para crear y asignar plantillas, consulte Configuración de bases de datos de red de confianza (mapa de tareas) de Procedimientos de administradores de Oracle Solaris Trusted Extensions.

5. Detenga todas las zonas con etiquetas a las que desea agregar una interfaz específica de la zona.

   # zoneadm -z zone-name halt

6. Inicie Labeled Zone Manager.

   # /usr/sbin/txzonemgr

7. Para cada zona a la que desea agregar una interfaz específica de zona, realice las siguientes acciones:
   1. Seleccione la zona.
   2. Seleccione Add Network.
   3. Asigne un nombre a la interfaz de red.
   4. Escriba la dirección IP de la interfaz.
8. En el cuadro de diálogo Labeled Zone Manager de cada zona completada, seleccione Zone Console.
9. Seleccione Boot.
10. En la consola de zona, verifique que se hayan creado las interfaces.

    # ifconfig -a

11. Verifique que la zona tenga una ruta a la puerta de enlace para la subred.

    # netstat -rn

Errores más frecuentes

Para depurar la configuración de la zona, consulte lo siguiente:

• El Capítulo 30, Troubleshooting Miscellaneous Solaris Zones Problems de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones

• Resolución de los problemas de configuración de Trusted Extensions

• Resolución de problemas de la red de confianza (mapa de tareas) de Procedimientos de administradores de Oracle Solaris Trusted Extensions

Adición de una interfaz de red que no utiliza la zona global para enrutar una zona con etiquetas existente

Este procedimiento establece rutas predeterminadas específicas de la zona para las zonas con etiquetas existentes. En esta configuración, las zonas con etiquetas no utilizan la zona global para el enrutamiento.

La zona con etiquetas debe estar conectada a la zona global antes de que se inicie la zona. Sin embargo, para aislar la zona con etiquetas de la zona global, cuando se inicie la zona, la interfaz debe estar en el estado down. Para obtener más información, véase el Capítulo 17, Non-Global Zone Configuration (Overview) de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.

Antes de empezar

Debe ser superusuario de la zona global.

Para cada zona, debe haber completado las tareas de la sección Creación de zonas con etiquetas. Está utilizando la interfaz vni0 o la interfaz lo0 para conectar las zonas con etiquetas a la zona global.

1. Para cada interfaz de red, determine la dirección IP, la máscara de red y el enrutador predeterminado.

   Utilice el comando ifconfig -a para determinar la dirección IP y la máscara de red. Utilice el comando zonecfg -z zonename info net para determinar si se ha asignado un enrutador predeterminado.

2. Cree un archivo /etc/hostname.interfaz vacío para cada zona con etiquetas.

   # touch /etc/hostname.interface
   # touch /etc/hostname.interface:n

   Para obtener más información, consulte la página del comando man netmasks(4).

3. Conecte las interfaces de red de las zonas con etiquetas.

   # ifconfig zone1-network-interface plumb
   # ifconfig zone2-network-interface plumb

4. Verifique que las interfaces de la zona con etiquetas tengan el estado down.

   # ifconfig -a
   zone1-network-interface zone1-IP-address down
   zone2-network-interface zone2-IP-address down

   Las direcciones específicas de la zona se configuran cuando se inicia la zona.

5. Para la red para cada interfaz, agregue entradas al archivo /etc/netmasks.

   ## /etc/netmasks in global zone
   192.168.2.0 255.255.255.0
   192.168.3.0 255.255.255.0

   Para obtener más información, consulte la página del comando man netmasks(4).

6. Asigne una plantilla de seguridad a cada interfaz de red específica de la zona.

   Cree plantillas de seguridad de tipo de host cipso que reflejen la etiqueta de cada red. Para crear y asignar plantillas, consulte Configuración de bases de datos de red de confianza (mapa de tareas) de Procedimientos de administradores de Oracle Solaris Trusted Extensions.

7. Ejecute la secuencia de comandos txzonemgr y abra una ventana de terminal independiente.

   En Labeled Zone Manager, agregará las interfaces de red para las zonas con etiquetas. En la ventana de terminal, visualizará la información de la zona y definirá el enrutador predeterminado.

8. Para cada zona a la que va a agregar una interfaz de red específica de la zona y un enrutador, realice los siguientes pasos:
   1. En la ventana de terminal, detenga la zona.

      # zoneadm -z zone-name halt

   2. En Labeled Zone Manager, realice las siguientes acciones:
      1. Seleccione la zona.
      2. Seleccione Add Network.
      3. Asigne un nombre a la interfaz de red.
      4. Escriba la dirección IP de la interfaz.
      5. En la ventana de terminal, verifique la configuración de la zona.

         # zonecfg -z zone-name info net
         net:   address: IP-address
                physical: zone-network-interface
                defrouter not specified

   3. En la ventana de terminal, configure el enrutador predeterminado para la red de la zona con etiquetas.

      # zonecfg -z zone-name
      zonecfg:zone-name > select net address=IP-address 
      zonecfg:zone-name:net> set defrouter=router-address 
      zonecfg:zone-name:net> end 
      zonecfg:zone-name > verify 
      zonecfg:zone-name > commit 
      zonecfg:zone-name > exit 
      #

      Para obtener más información, consulte la página del comando man zonecfg(1M) y How to Configure the Zone de System Administration Guide: Oracle Solaris Containers-Resource Management and Oracle Solaris Zones.

   4. Inicie la zona con etiquetas.

      # zoneadm -z zone-name boot

   5. En la zona global, verifique que la zona con etiquetas tenga una ruta a la puerta de enlace para la subred.

      # netstat -rn

      Aparece una tabla de enrutamiento. El destino y la interfaz para la zona con etiquetas es diferente de la entrada para la zona global.

9. Para eliminar la ruta predeterminada, seleccione la dirección IP de la zona y, a continuación, elimine la ruta.

   # zonecfg -z zone-name
   
   zonecfg:zone-name > select net address=zone-IP-address
   zonecfg:zone-name:net> remove net defrouter=zone-default-route
   zonecfg:zone-name:net>  info net
   net:
      address: zone-IP-address
      physical: zone-network-interface
      defrouter not specified

Ejemplo 4-5 Definición de una ruta predeterminada para una zona con etiquetas

En este ejemplo, el administrador enruta la zona Secret a una subred física independiente. El tráfico desde y hacia la zona Secret no se enruta por medio de la zona global. El administrador utiliza Labeled Zone Manager y el comando zonecfg, y, a continuación, verifica que el enrutamiento funcione.

El administrador determina que qfe1 y qfe1:0 actualmente no están en uso, y crea una asignación para dos zonas con etiquetas. qfe1 es la interfaz designada para la zona Secret.

Interface IP Address    Netmask        Default Router
qfe1     192.168.2.22 255.255.255.0 192.168.2.2
qfe1:0   192.168.3.33 255.255.255.0 192.168.3.3

En primer lugar, el administrador crea el archivo /etc/hostname.qfe1 y configura el archivo /etc/netmasks.

# touch /etc/hostname.qfe1

# cat /etc/netmasks
## /etc/netmasks in global zone
192.168.2.0 255.255.255.0

A continuación, el administrador conecta la interfaz de red y verifica que la interfaz esté inactiva.

# ifconfig qfe1 plumb
# ifconfig -a

A continuación, en Solaris Management Console, el administrador crea una plantilla de seguridad con una única etiqueta, Secret, y asigna la dirección IP de la interfaz a la plantilla.

El administrador detiene la zona.

# zoneadm -z secret halt

El administrador ejecuta la secuencia de comandos txzonemgr para abrir Labeled Zone Manager.

# /usr/sbin/txzonemgr

En Labeled Zone Manager, el administrador selecciona la zona Secret, luego, Add Network y, por último, una interfaz de red. El administrador cierra Labeled Zone Manager.

En la línea de comandos, el administrador selecciona la dirección IP de la zona y, a continuación, define la ruta predeterminada. Antes de salir del comando, el administrador verifica la ruta y la confirma.

# zonecfg -z secret
zonecfg: secret > select net address=192.168.6.22 
zonecfg: secret:net> set defrouter=192.168.6.2 
zonecfg: secret:net> end 
zonecfg: secret > verify 
zonecfg: secret > commit 
zonecfg: secret > info net 
  net:
     address: 192.168.6.22
     physical: qfe1
     defrouter: 192.168.6.2
zonecfg: secret > exit 
#

El administrador inicia la zona.

# zoneadm -z secret boot

En una ventana de terminal independiente, en la zona global, el administrador verifica el envío y la recepción de paquetes.

# netstat -rn
Routing Table: IPv4
  Destination           Gateway           Flags  Ref     Use  Interface 
-------------------- -------------------- ----- ----- ------- --------- 
default              192.168.5.15         UG        1    2664 qfe0      
192.168.6.2          192.168.6.22         UG        1     240 qfe1      
192.168.3.3          192.168.3.33         U         1     183 qfe1:0    
127.0.0.1            127.0.0.1            UH        1     380 lo0       
...

Configuración de una antememoria de servicio de nombres en cada zona con etiquetas

Este procedimiento permite configurar por separado un daemon de servicio de nombres (nscd) en cada zona con etiquetas. Esta configuración admite entornos en los que cada zona se conecta a una subred que se ejecuta en la etiqueta de la zona y la subred dispone de su propio servidor de nombres para esa etiqueta.

Antes de empezar

Debe ser superusuario de la zona global. El usuario root todavía no debe ser un rol. Debe haber completado satisfactoriamente la sección Adición de una interfaz de red para enrutar una zona con etiquetas existente.

Para utilizar esta configuración, es necesario tener conocimientos avanzados sobre redes. Si tiene el servicio de nombres LDAP, debe establecer la conexión de cliente LDAP a cada zona con etiquetas. El daemon nscd almacena la información del servicio de nombres en la antememoria, pero no la envía.

1. Si está utilizando LDAP, verifique una ruta al servidor LDAP desde la zona con etiquetas.

   En una ventana de terminal de cada zona con etiquetas, ejecute el siguiente comando:

   zone-name # netstat -rn

2. En la zona global, inicie Labeled Zone Manager.

   # /usr/sbin/txzonemgr

3. Seleccione la opción Configure per-zone name service y haga clic en OK.

   Esta opción está diseñada que ser utilizada una vez, durante configuración inicial del sistema.

4. Configure el servicio nscd de cada zona.

   Para obtener ayuda, consulte las páginas del comando man nscd(1M) y nscd.conf(4).

5. Reinicie el sistema.
6. Para cada zona, verifique la ruta y el daemon de servicio de nombres.
   1. En la consola de zona, muestre el servicio nscd.

      zone-name # svcs -x name-service-cache
      svc:/system/name-service-cache:default (name service cache)
       State: online since October 10, 2010  10:10:10 AM PDT
         See: nscd(1M)
         See: /etc/svc/volatile/system-name-service-cache:default.log
      Impact: None.

   2. Verifique la ruta a la subred.

      zone-name # netstat -rn

7. Para eliminar los daemons de servicio de nombres específicos de la zona, realice las siguientes acciones en la zona global:
   1. Abra Labeled Zone Manager.
   2. Seleccione la opción Unconfigure per-zone name service y haga clic en OK.

      Esta selección elimina el daemon nscd de cada zona con etiquetas.

   3. Reinicie el sistema.