| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 11 소프트웨어 패키지 추가 및 업데이트 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 11 소프트웨어 패키지 추가 및 업데이트 Oracle Solaris 11 Information Library (한국어) |
이미지 정책을 구현하려면 이미지 등록 정보를 설정하면 됩니다. 이 절에서는 이미지 및 게시자 등록 정보와 이러한 등록 정보를 설정하는 방법에 대해 설명합니다. 이미지 등록 정보에 대한 설명은 pkg(1) 매뉴얼 페이지에서 "Image Properties"를 참조하십시오.
이미지는 IPS 패키지를 설치할 수 있으며 다른 IPS 작업을 수행할 수 있는 위치입니다.
BE(부트 환경)는 이미지의 부트 가능한 인스턴스입니다. 시스템에서 여러 BE를 유지 관리할 수 있으며 각 BE에 서로 다른 소프트웨어 버전을 설치할 수 있습니다. 시스템을 부트할 때 시스템에 있는 BE 중 하나로 부트하는 옵션이 제공됩니다. 패키지 작업의 결과로 새 BE가 자동으로 생성될 수 있습니다. 새 BE를 명시적으로 만들 수도 있습니다. 새 BE가 생성되는지 여부는 이 절에 설명된 대로 이미지 정책에 따라 달라집니다.
기본적으로 다음 작업 중 하나를 수행하면 새 BE가 자동으로 생성됩니다.
일부 드라이버 및 기타 커널 구성 요소 같은 특정한 주요 시스템 패키지를 업데이트하는 경우 이와 같은 작업은 변형을 설치, 제거, 업데이트, 변경하거나 페이싯을 변경할 때 수행될 수 있습니다.
대개 새 BE는 업데이트가 있는 모든 패키지를 업데이트하기 위해 pkg update 명령을 실행할 때 생성됩니다.
--be-name, - -require-new-be, --backup-be-name, --require-backup-be 등의 옵션을 지정하는 경우
be-policy 이미지 정책을 always-new 로 설정하는 경우. 이 정책에서는 모든 패키지 작업이 다음 부트 시 활성화되는 새 BE에서 수행됩니다.
새 BE가 생성되면 시스템에서 다음 단계를 수행합니다.
현재 BE의 복제본을 만듭니다.
복제 BE에는 원본 BE의 주 루트 데이터 집합 아래에 있는 계층 구조 내 모든 항목이 포함됩니다. 공유된 파일 시스템은 루트 데이터 집합 아래에 없으므로 복제되지 않습니다. 대신 새 BE에서는 원래 공유 파일 시스템에 액세스합니다.
복제본 BE에서 패키지를 업데이트하되, 현재 BE의 패키지는 업데이트하지 않습니다.
현재 BE에 비전역 영역이 구성되어 있는 경우 새 BE에서 이러한 기존 영역이 구성됩니다.
--no-be-activate를 지정하지 않을 경우 다음에 시스템을 부트할 때 새 BE를 기본 부트 옵션으로 설정합니다. 현재 BE는 대체 부트 옵션으로 유지됩니다.
새 BE가 필요하지만 새 BE를 만드는 데 필요한 공간이 부족하면 필요 없는 기존 BE를 삭제하면 됩니다. BE에 대한 자세한 내용은 Oracle Solaris 11 부트 환경 만들기 및 관리를 참조하십시오.
아래에 설명된 이미지 등록 정보 설정에 대한 자세한 내용은 이미지 등록 정보 설정을 참조하십시오.
패키지 작업 중 부트 환경이 생성되는 시점을 지정합니다. 사용할 수 있는 값은 다음과 같습니다.
기본 BE 생성 정책(create-backup)을 적용합니다.
모든 패키지 작업을 다음 부트 시 활성화되는 새 BE에서 수행하므로 재부트가 필요합니다. 백업 BE는 명시적으로 요청하지 않으면 생성되지 않습니다.
이 정책은 가장 안전하지만 재부트하지 않으면 패키지를 추가할 수 없기 때문에 대부분의 사이트 요구 사항에 비해 다소 엄격합니다.
재부트가 필요한 패키지 작업의 경우 이 정책은 다음 부트 시 활성화되는 새 BE를 만듭니다. 패키지가 수정되거나 커널에 영향을 줄 수 있는 컨텐츠가 설치되고 작업이 라이브 BE에 영향을 주게 되면 백업 BE가 생성되지만 활성 BE로 설정되지는 않습니다. 백업 BE를 명시적으로 요청할 수도 있습니다.
이 정책은 새로 설치한 소프트웨어가 시스템 불안정을 야기하는 경우에 한해 위험을 가져올 수 있습니다. 이와 같은 경우는 거의 발생하지 않지만 가능성은 있습니다.
재부트가 필요한 패키지 작업의 경우 이 정책은 다음 부트 시 활성화되는 새 BE를 만듭니다. 백업 BE는 명시적으로 요청하지 않으면 생성되지 않습니다.
이 정책은 많은 위험을 야기할 수 있습니다. 패키징 작업으로 인해 라이브 BE가 변경되어 추가 변경이 불가능하게 되었는데 최신 폴백 BE가 존재하지 않을 수도 있기 때문입니다.
서명된 패키지를 설치하는 경우 이 절에 설명된 이미지 등록 정보 및 게시자 등록 정보를 설정하여 패키지 서명을 확인합니다.
서명된 패키지를 사용하려면 다음 이미지 등록 정보를 구성합니다.
이 등록 정보 값은 이미지에 패키지를 설치 및 업데이트하거나 이미지의 패키지를 수정 또는 확인할 때 매니페스트에 대해 수행될 검사를 결정합니다. 패키지에 적용되는 최종 정책은 이미지 정책과 게시자 정책의 조합에 따라 달라집니다. 두 정책을 조합할 경우 수준은 둘 중 더 엄격한 정책을 적용했을 때와 같습니다. 기본적으로 패키지 클라이언트는 인증서가 취소되었는지 여부를 확인하지 않습니다. 이러한 검사를 사용으로 설정하려면 check-certificate-revocation 이미지 등록 정보를 true로 설정합니다. 이 경우 클라이언트가 외부 웹 사이트에 연결해야 할 수도 있습니다. 사용할 수 있는 값은 다음과 같습니다.
모든 매니페스트에 대해 서명을 무시합니다.
서명이 있는 모든 매니페스트가 유효하게 서명되었는지 확인하지만 설치된 모든 패키지에 대해 서명을 요구하지는 않습니다.
이것이 기본값입니다.
새로 설치된 모든 패키지가 유효한 서명을 적어도 하나 이상 포함하도록 요구합니다. 또한 pkg fix 및 pkg verify 명령은 설치된 패키지에 유효한 서명이 없을 경우 경고 메시지를 표시합니다.
require-signatures와 동일한 요구 사항을 따르지만 signature-required-names 이미지 등록 정보에 나열되는 문자열이 서명의 트러스트 체인을 확인하는 데 사용되는 인증서의 공통 이름으로 나타나도록 요구합니다.
이 등록 정보의 값은 패키지 서명을 검증하는 동안 인증서의 공통 이름으로 나타나야 할 이름 목록입니다.
이 등록 정보의 값은 이미지의 트러스트 앵커가 포함된 디렉토리의 경로 이름입니다. 이 경로는 이미지의 상대 경로입니다.
기본값은 ignore입니다.
특정 게시자의 서명된 패키지를 사용하려면 다음 게시자 등록 정보를 구성합니다.
이 등록 정보는 지정한 게시자의 패키지에만 적용되는 점을 제외하면 signature-policy 이미지 등록 정보와 기능이 같습니다.
이 등록 정보는 지정한 게시자의 패키지에만 적용되는 점을 제외하면 signature-required-names 이미지 등록 정보와 기능이 같습니다.
이 이미지에 대해 패키지 서명 등록 정보를 구성하려면 set-property, add-property-value, remove-property-value 및 unset-property 하위 명령을 사용합니다.
set-publisher 하위 명령의 --set-property, --add-property-value, --remove-property-value 및 --unset-property 옵션을 사용하여 서명 정책과 특정 게시자에 필요한 이름을 지정할 수 있습니다.
다음 예에서는 모든 패키지에 서명을 요구하도록 이 이미지를 구성합니다. 또한 이 예에서는 "oracle.com"이라는 문자열이 트러스트 체인의 인증서 중 하나에 대해 공통 이름으로 나타나도록 요구합니다.
# pkg set-property signature-policy require-names oracle.com
다음 예에서는 서명된 모든 패키지를 확인하도록 이 이미지를 구성합니다.
# pkg set-property signature-policy verify
다음 예에서는 example.com이라는 게시자에서 설치된 모든 패키지에 대해 서명을 요구하도록 이 이미지를 구성합니다.
# pkg set-publisher --set-property signature-policy=require-signatures example.com
다음 예에서는 필요한 서명 이름을 추가합니다. 이 예에서는 서명의 트러스트 체인에서 유효한 것으로 나타나야 할 이미지의 공통 이름 목록에 trustedname이라는 문자열을 추가합니다.
# pkg add-property-value signature-require-names trustedname
다음 예에서는 필요한 서명 이름을 제거합니다. 이 예에서는 서명의 트러스트 체인에서 유효한 것으로 나타나야 할 이미지의 공통 이름 목록에서 trustedname이라는 문자열을 제거합니다.
# pkg remove-property-value signature-require-names trustedname
다음 예에서는 지정한 게시자에 대해 필요한 서명 이름을 추가합니다. 이 예에서는 서명의 트러스트 체인에서 유효한 것으로 나타나야 example.com 게시자의 공통 이름 목록에 trustedname이라는 문자열을 추가합니다.
# pkg set-publisher --add-property-value \ signature-require-names=trustedname example.com
SSL 작업을 위해 CA 인증서가 보관된 디렉토리를 가리키는 경로 이름을 지정합니다. 이 디렉토리의 형식은 기본 SSL 구현에 따라 다릅니다. 인증된 CA 인증서를 보관하는 데 다른 위치를 사용하려면 다른 디렉토리를 가리키도록 이 값을 변경합니다. CA 디렉토리 요구 사항에 대한 자세한 내용은 SSL_CTX_load_verify_locations(3openssl)의 CApath 부분을 참조하십시오.
기본값은 /etc/openssl/certs입니다.
이 등록 정보가 True로 설정되면 패키지 클라이언트는 인증서 발급 후 인증서가 취소되었는지 확인하기 위해 서명 확인에 사용되는 인증서의 CRL 배포 지점에 연결합니다.
기본값은 False입니다.
이 등록 정보가 True로 설정되면 패키지 클라이언트는 설치 또는 업데이트 작업이 완료될 때 해당 컨텐츠 캐시에서 파일을 제거합니다. 업데이트 작업의 경우 소스 BE에서만 컨텐츠가 제거됩니다. 이 옵션을 변경하지 않을 경우 다음에 대상 BE에서 패키징 작업이 수행될 때 패키지 클라이언트는 해당 컨텐츠 캐시를 비웁니다.
이 등록 정보는 디스크 공간이 제한된 시스템에서 컨텐츠 캐시 크기를 작게 유지하는 데 사용할 수 있습니다. 이 등록 정보는 작업이 완료되는 데 걸리는 시간을 늘릴 수 있습니다.
기본값은 True입니다.
이 등록 정보는 mDNS 및 DNS-SD를 사용하여 링크-로컬 컨텐츠 미러를 검색하도록 클라이언트에 알려줍니다. 이 등록 정보가 True로 설정되면 클라이언트는 동적으로 검색하는 미러에서 패키지 컨텐츠를 다운로드합니다. mDNS를 통해 컨텐츠를 보급하는 미러를 실행하려면 pkg.depotd(1m)을 참조하십시오.
기본값은 False입니다.
네트워크 작업을 수행할 때 이미지의 UUID(Universally Unique Identifier)를 보냅니다. 사용자가 이 옵션을 사용 안함으로 설정할 수는 있지만 일부 네트워크 저장소의 경우 UUID를 제공하지 않는 클라이언트와의 통신을 거부할 수도 있습니다.
기본값은 True입니다.
이 등록 정보는 이미지가 이미지 및 게시자 구성의 소스로, 그리고 제공된 게시자와의 통신을 위한 프록시로 시스템 저장소를 사용해야 하는지 여부를 나타냅니다. 시스템 저장소에 대한 자세한 내용은 pkg.sysrepo(1m)을 참조하십시오.
기본값은 ignore입니다.
이 이미지의 등록 정보를 구성하려면 set-property, add-property-value, remove-property-value 및 unset-property 하위 명령을 사용합니다.
/usr/bin/pkg property [-H] [propname ...] /usr/bin/pkg set-property propname propvalue /usr/bin/pkg add-property-value propname propvalue /usr/bin/pkg remove-property-value propname propvalue /usr/bin/pkg unset-property propname ...
pkg property 명령을 사용하여 이미지 등록 정보를 볼 수 있습니다.
$ pkg property PROPERTY VALUE be-policy default ca-path /etc/openssl/certs check-certificate-revocation False display-copyrights True flush-content-cache-on-success False mirror-discovery False preferred-authority solaris publisher-search-order ['solaris', 'opensolaris.org', 'extra'] pursue-latest True send-uuid True signature-policy verify signature-required-names [] trust-anchor-directory etc/certs/CA use-system-repo False
preferred-authority 및 publisher-search-order 등록 정보는 pkg set-publisher 명령 옵션을 사용하여 설정할 수 있습니다. 패키지 게시자 추가, 수정 또는 제거를 참조하십시오.
pkg set-property 명령을 사용하여 이미지 등록 정보 값을 설정하거나 등록 정보를 추가 및 설정할 수 있습니다.
다음 예에서는 mirror-discovery 등록 정보의 값을 설정합니다.
# pkg set-property mirror-discovery True # pkg property -H mirror-discovery mirror-discovery True
pkg unset-property 명령을 사용하여 지정한 등록 정보의 값을 기본값으로 재설정할 수 있습니다.
# pkg unset-property mirror-discovery $ pkg property -H mirror-discovery mirror-discovery False
|