Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration Oracle Solaris : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources Oracle Solaris 11 Information Library (Français) |
Partie I Gestion des ressources Oracle Solaris
1. Introduction à la gestion des ressources
2. Projets et tâches (présentation)
3. Administration des projets et des tâches
4. Comptabilisation étendue (présentation)
5. Administration de la comptabilisation étendue (tâches)
6. Contrôles des ressources (présentation)
7. Administration des contrôles des ressources (tâches)
8. Ordonnanceur FSS (présentation)
9. Administration de l'ordonnanceur FSS (tâches)
10. Contrôle de la mémoire physique à l'aide du démon de limitation des ressources (présentation)
11. Administration du démon de limitation des ressources (tâches)
12. Pools de ressources (présentation)
13. Création et administration des pools de ressources (tâches)
14. Exemple de configuration de la gestion des ressources
Partie II Oracle Solaris Zones
15. Introduction à Oracle Solaris Zones
16. Configuration des zones non globales (présentation)
17. Planification et configuration de zones non globales (tâches)
20. Connexion à une zone non globale (présentation)
21. Connexion à une zone non globale (tâches)
22. A propos des migrations de zones et de l'outil zonep2vchk
23. Migration de systèmes Oracle Solaris et migration de zones non globales (tâches)
25. Administration d'Oracle Solaris Zones (présentation)
Accès et visibilité de la zone globale
Visibilité des identificateurs de processus dans les zones
Capacité d'observation du système dans les zones
Génération de rapports statistiques sur la zone active avec l'utilitaire zonestat
Nom de noeud dans une zone non globale
Exécution d'un serveur NFS dans une zone
Systèmes de fichiers et zones non globales
Montage de systèmes de fichiers dans les zones
Démontage des systèmes de fichiers dans les zones
Restrictions de sécurité et comportement du système de fichiers
Zones non globales en tant que clients NFS
Interdiction d'utiliser la commande mknod dans une zone
Parcours des systèmes de fichiers
Restriction d'accès à une zone non globale à partir de la zone globale
Mise en réseau dans des zones non globales en mode IP partagé
Partition de zone en mode IP partagé
Interfaces réseau en mode IP partagé
Trafic IP entre zones en mode IP partagé sur une même machine
Oracle Solaris IP Filter dans les zones en mode IP partagé
Multipathing sur réseau IP dans les zones en mode IP partagé
Mise en réseau dans des zones non globales en mode IP exclusif
Partitionnement de zone en mode IP exclusif
Interfaces de liaison de données en mode IP exclusif
Trafic IP entre zones en mode IP exclusif sur la même machine
Oracle Solaris IP Filter dans les zones en mode IP exclusif
Multipathing sur réseau IP dans les zones en mode IP exclusif
Utilisation de périphériques dans les zones non globales
Répertoire /dev et espace de nom /devices
Périphérique d'utilisation exclusive
Gestion de pilote de périphérique
Dysfonctionnement ou modification d'utilitaires dans les zones non globales
Dysfonctionnement d'utilitaires dans les zones non globales
SPARC : Modification d'utilitaire pour une application dans les zones non globales
Utilitaires autorisés avec des implications de sécurité
Exécution d'applications dans les zones non globales
Utilisation de contrôles de ressources dans les zones non globales
Ordonnanceur FSS sur un système doté de zones
Division de partage FSS dans une zone globale ou non globale
Equilibre de partages entre zones
Comptabilisation étendue sur un système doté de zones
Privilèges dans une zone non globale
Utilisation de l'architecture de sécurité IP dans les zones
Architecture de sécurité IP dans les zones en mode IP partagé
Architecture de sécurité IP dans les zones en mode IP exclusif
Utilisation de l'audit Oracle Solaris dans les zones
Exécution de DTrace dans une zone non globale
A propos de la sauvegarde d'un système Oracle Solaris doté de zones
Sauvegarde des répertoires du système de fichiers en loopback
Sauvegarde du système à partir de la zone globale
Sauvegarde individuelle de zones non globales sur le système
Création de sauvegardes Oracle Solaris ZFS
Identification des éléments à sauvegarder dans les zones non globales
Sauvegarde des données d'application uniquement
Opérations générales de sauvegarde de base de données
A propos de la restauration de zones non globales
Commandes utilisées dans un système doté de zones
26. Administration d'Oracle Solaris Zones (tâches)
27. Configuration et administration de zones immuables
28. Dépannage des problèmes liés à Oracle Solaris Zones
Partie III Oracle Solaris 10 Zones
29. Introduction à Oracle Solaris 10 Zones
30. Evaluation d'un système Oracle Solaris 10 et création d'une archive
32. Configuration de la zone marquée solaris10
33. Installation de la zone marquée solaris10
34. Initialisation d'une zone, connexion et migration de zone
Cette section contient les informations relatives aux problèmes liés aux systèmes de fichiers des systèmes Oracles Solaris dotés de zones. Chaque zone possède sa section de l'arborescence du système de fichiers, située dans le répertoire appelé la racine de zone. Les processus de la zone peuvent accéder uniquement aux fichiers de la partie de l'arborescence située sous la racine de zone. Vous pouvez employer l'utilitaire chroot au sein d'une zone, mais uniquement à des fins de restriction du processus à un chemin racine de la zone en question. Pour plus d'informations sur chroot, reportez-vous à la page de manuel chroot(1M).
L'option -o nosuid de l'utilitaire mount a la fonction suivante :
Les processus d'un binaire setuid résidant sur un système de fichiers monté à l'aide de l'option nosetuid ne s'exécutent pas avec les privilèges du binaire setuid. mais avec ceux de l'utilisateur qui exécute le binaire.
En d'autres termes, si un utilisateur exécute un binaire setuid appartenant à root, les processus s'exécutent avec les privilèges de l'utilisateur.
L'ouverture d'entrées spécifiques à un périphérique dans le système de fichiers n'est pas autorisée. Ce comportement équivaut à spécifier l'option nodevices.
Cette option spécifique au système de fichiers est disponible pour tous les systèmes de fichiers Oracle Solaris que vous pouvez monter à l'aide des utilitaires mount, comme décrit dans la page de manuel mount(1M). Dans ce manuel, ces systèmes de fichiers sont répertoriés à la section Montage de systèmes de fichiers dans les zones. Les capacités de montage y sont également décrites. Pour plus d'informations sur l'option -o nosuid reportez-vous à la section “Accès aux systèmes de fichiers réseau (Référence)” du manuel Administration d’Oracle Solaris : Services réseau.
L'option nodevices s'applique lors du montage des systèmes de fichiers au sein d'une zone. Par exemple, si une zone se voit accorder l'accès à un périphérique en mode bloc (/dev/dsk/c0t0d0s7 ) et à un périphérique brut (/dev/rdsk/c0t0d0s7) correspondant à un système de fichiers UFS, le système de fichiers est automatiquement monté avec l'option nodevices dans le cadre d'un montage au sein d'une zone. Cette règle ne s'applique pas aux montages spécifiés par le biais d'une configuration zonecfg.
Le tableau ci-dessous décrit les options de montage de systèmes de fichiers dans les zones non globales. Les procédures concernant ces options de montage sont fournies aux sections Configuration, vérification et validation d'une zone et Montage de systèmes de fichiers dans des zones non globales en cours d'exécution.
Les types de système de fichiers qui ne sont pas répertoriés dans le tableau peuvent être spécifiés dans la configuration s'ils présentent un binaire de montage dans /usr/lib/type fs/mount .
L'autorisation de montages de systèmes de fichiers autres que ceux par défaut peut compromettre le système.
|
Pour plus d'informations, reportez-vous aux sections Configuration d'une zone et Montage de systèmes de fichiers dans des zones non globales en cours d'exécution, ainsi qu'à la page de manuel mount(1M).
La possibilité de démonter un système de fichiers dépend de l'identité de l'utilisateur ayant réalisé le montage initial. Si le système de fichiers est spécifié dans la configuration de la zone à l'aide de la commande zonecfg, le montage appartient à la zone globale. Par conséquent, l'administrateur de la zone non globale ne peut pas démonter le système de fichiers. En revanche, si le système de fichiers est monté à l'intérieur de la zone non globale, par exemple, en spécifiant le montage dans le fichier /etc/vfstab de la zone, l'administrateur de la zone non globale est autorisé à le démonter.
Le montage de certains systèmes de fichiers au sein d'une zone est soumis à des restrictions de sécurité. et d'autres systèmes de fichiers ont un comportement particulier lorsqu'ils sont montés dans une zone. Les systèmes de fichiers modifiés sont répertoriés ci-dessous.
AutoFS est un service côté client qui monte automatiquement le système de fichiers adéquat. Lorsqu'un client essaie d'accéder à un système de fichiers non monté, le système de fichiers AutoFS intercepte la demande et appelle la commande automountd pour monter le répertoire spécifié. Les montages AutoFS établis au sein d'une zone sont locaux à cette zone. Ils ne sont pas accessibles à partir d'autres zones, pas même de la zone globale. Ils sont supprimés à l'arrêt ou à la réinitialisation de la zone. Pour plus d'informations sur AutoFS, reportez-vous à la section Fonctionnement d’Autofs du manuel Administration d’Oracle Solaris : Services réseau.
Chaque zone exécute sa copie de automountd. L'administrateur de zone contrôle les délais et les cartes automatiques. Vous ne pouvez pas déclencher un montage dans une autre zone en croisant un point de montage AutoFS pour une zone non globale à partir de la zone globale.
Certains montages AutoFS sont créés dans le noyau lors du déclenchement d'un autre montage. Ces montages ne peuvent pas être supprimés à l'aide de l'interface standard umount, car ils doivent être montés ou démontés en tant que groupe. Notez que cette fonctionnalité s'applique à l'arrêt de zone.
MNTFS est un système de fichiers virtuel fournissant au système local l'accès en lecture seule à la table des systèmes de fichiers montés. Le groupe de systèmes de fichiers qui s'affiche lorsque vous exécutez la commande mnttab à l'intérieur d'une zone non globale correspond au groupe de systèmes de fichiers figurant dans la zone, plus une entrée racine (/) . Dans le cas des points de montage dotés d'un périphérique spécial inaccessible à l'intérieur de la zone, tel que /dev/rdsk/c0t0d0s0, la configuration du périphérique est identique à celle du point de montage. Tous les montages du système s'affichent dans la table /etc/mnttab de la zone. Pour plus d'informations sur MNTFS, reportez-vous à la section Montage et démontage de systèmes de fichiers Oracle Solaris du manuel Administration d’Oracle Solaris : Périphériques et systèmes de fichiers.
Les montages NFS établis au sein d'une zone sont locaux à cette zone. Ils ne sont pas accessibles à partir d'autres zones, pas même de la zone globale. Ils sont supprimés à l'arrêt ou à la réinitialisation de la zone.
Au sein d'une zone, les montages NFS se comportent comme s'ils étaient montés à l'aide de l'option nodevices.
La sortie de commande nfsstat appartient uniquement à la zone dans laquelle la commande est exécutée. Par exemple, si la commande est exécutée dans la zone globale, seules les informations concernant la zone globale sont signalées. Pour plus d'informations sur la commande nfsstat, reportez-vous à la page de manuelnfsstat(1M).
Le système de fichiers /proc ou PROCFS fournit la visibilité de processus et les restrictions d'accès, ainsi que les informations concernant l'association de processus au niveau de la zone. Seuls les processus d'une même zone sont visibles par le biais de /proc.
Les processus de la zone globale peuvent observer les processus et les autres objets des zones non globales. Ils disposent ainsi d'une capacité d'observation au niveau de l'ensemble du système.
Au sein d'une zone, les montages, procfs se comportent comme s'ils étaient montés à l'aide de l'option nodevices. Pour plus d'informations sur la commande procfs, reportez-vous à la page de manuel proc(4).
La portée du montage par le biais de LOFS se limite à la partie du système de fichiers visible à la zone. Ainsi, aucune restriction ne s'applique aux montages LOFS dans une zone.
Lorsqu'il utilise la commande zonecfg pour configurer des systèmes de fichiers basés sur le stockage et dotés d'un binaire fsck, comme UFS, l'administrateur de zone doit spécifier un paramètre brut. Ce paramètre indique le périphérique brut (en mode caractère) tel que /dev/rdsk/c0t0d0s7. Le démon zoneadmd exécute automatiquement la commande fsck en mode de lissage (fsck -p), qui vérifie et corrige le système de fichiers de façon non interactive, avant de monter le système de fichiers. En cas d'échec de la commande fsck, la commande zoneadmd ne peut pas préparer la zone. Le chemin spécifié par le paramètre raw ne peut pas être relatif.
Indiquer un périphérique à la commande fsck pour un système de fichiers qui ne fournit pas de binaire fsck dans /usr/lib/fs fstype/fsck constitue une erreur. Ne pas indiquer un périphérique à la commande fsck si un binaire fsck existe pour ce fichier constitue également une erreur.
Pour plus d'informations, reportez-vous à la section Démon zoneadmd et à la page de manuel fsck(1M).
Outre le jeu de données par défaut décrit dans la section Systèmes de fichiers montés dans une zone, vous pouvez ajouter un jeu de données ZFS à une zone non globale à l'aide de la commande zonecfg avec la ressource add dataset. Le jeu de données est visible et monté dans la zone non globale et est également visible dans la zone globale. L'administrateur de zone peut créer et détruire les systèmes de fichiers à l'intérieur de ce jeu de données et modifier les propriétés de celui-ci.
L'attribut zoned de la commande zfs indique l'ajout d'un jeu de données à une zone non globale.
# zfs get zoned tank/sales NAME PROPERTY VALUE SOURCE tank/sales zoned on local
Chaque jeu de données délégué à une zone non globale par l'intermédiaire d'une ressource de jeu de données est associé à un alias. La disposition des jeux de données n'est pas visible dans la zone. Chaque jeu de données contenant l'alias s'affiche dans la zone de la même façon que s'il s'agissait d'un pool. L'alias par défaut d'un jeu de données est le dernier composant du nom du jeu de données. Par exemple, si l'alias par défaut est utilisé pour le jeu de données délégué tank/sales, un pool ZFS virtuel nommé sales est visible dans la zone. Vous pouvez personnaliser l'alias sur une valeur différente en définissant la propriété d'alias dans la ressource de jeu de données.
Un jeu de données nommé rpool existe au sein du jeu de données zonepath de chaque zone non globale. Pour toutes les zones non globales, le jeu de données rpool de cette zone est associé à l'alias rpool.
my-zone# zfs list -o name,zoned,mounted,mountpoint NAME ZONED MOUNTED MOUNTPOINT rpool on no /rpool rpool/ROOT on no legacy rpool/ROOT/solaris on yes / rpool/export on no /export rpool/export/home on no /export/home
Les alias de jeu de données sont soumis aux mêmes restrictions de nom que les pools ZFS. Ces restrictions sont documentées dans la page de manuel zpool(1M).
Si vous souhaitez partager un jeu de données de la zone globale, vous pouvez ajouter un système de fichiers ZFS monté en LOFS à l'aide de la commande zonecfg et de la sous-commande add fs. L'administrateur global ou un utilisateur disposant des autorisations appropriées est chargé de la configuration et du contrôle des propriétés du jeu de données.
Pour plus d'informations sur ZFS, reportez-vous au Chapitre 10, Rubriques avancées Oracle Solaris ZFS du manuel Administration d’Oracle Solaris : Systèmes de fichiers ZFS.
Les zones peuvent être des clients NFS. Les protocoles version 2, version 3 et version 4 sont pris en charge. Pour plus d'informations sur ces versions NFS, reportez-vous à la section Fonctions du service NFS du manuel Administration d’Oracle Solaris : Services réseau.
La version par défaut est NFS version 4. Vous pouvez activer d'autres versions NFS sur un client par l'une des méthodes suivantes :
Vous pouvez utiliser sharectl(1M) pour définir les propriétés. Définissez NFS_CLIENT_VERSMAX=numéro de sorte que la zone utilise la version spécifiée par défaut. Reportez-vous à la section Configuration des services NFS du manuel Administration d’Oracle Solaris : Services réseau. Utilisez la procédure Sélection de différentes versions de NFS sur un client du manuel Administration d’Oracle Solaris : Services réseau.
Vous pouvez créer manuellement un montage de version. Cette méthode écrase le paramètre sharectl. Reportez-vous à la section Configuration des services NFS du manuel Administration d’Oracle Solaris : Services réseau. Utilisez la procédure Sélection de différentes versions de NFS sur un client du manuel Administration d’Oracle Solaris : Services réseau.
Vous ne pouvez pas utiliser la commande mknod décrite dans la page de manuel mknod(1M) pour créer un fichier spécial dans une zone non globale.
L'espace de noms de système de fichiers d'une zone est un sous-ensemble de l'espace de noms accessible à partir de la zone globale. Pour empêcher les processus sans privilèges de la zone globale de parcourir l'arborescence de système de fichiers d'une zone non globale :
Spécifiez que le répertoire parent de la racine de zone appartient uniquement à la racine et que seule celle-ci peut l'exécuter et y accéder en lecture et en écriture.
Limitez l'accès aux répertoires exportés par /proc.
Toute tentative d'accès aux noeuds AutoFS montés pour une autre zone est vouée à l'échec. L'administrateur global ne doit pas avoir de mappages automatiques descendant dans d'autres zones.
Pour accéder directement à partir de la zone globale à une zone non globale installée, vous devez utiliser les utilitaires de sauvegarde du système. En outre, une zone non globale n'est plus sécurisée dès qu'elle est exposée à un environnement inconnu. Imaginons une zone placée sur un réseau public et courant le risque que le contenu de ses systèmes de fichiers soit modifié. S'il existe le moindre doute que la zone ait été exposée à un tel risque, l'administrateur système doit la traiter comme non sécurisée.
Toute commande acceptant une racine alternative via l'option -R ou - b (ou l'équivalent) ne doit pas être utilisée lorsque :
La commande est exécutée dans la zone globale.
La racine alternative renvoie à un chemin au sein d'une zone non globale, que le chemin soit relatif à la zone globale du système en cours d'exécution ou à la zone globale dans une racine alternative.
Tel est le cas, par exemple, de l'option -R root_path de l'utilitaire pkgadd exécuté à partir de la zone globale avec un chemin racine de zone non globale.
Les commandes, programmes et utilitaires utilisant l'option -R avec un chemin racine alternatif sont répertoriés ci-dessous.
auditreduce
bart
installf
localeadm
makeuuid
metaroot
pkg
prodreg
removef
routeadm
showrev
syseventadm
Les commandes et programmes utilisant l'option -b avec un chemin racine alternatif sont répertoriés ci-dessous.
add_drv
pprosetup
rem_drv
roleadd
update_drv
useradd