| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리 Oracle Solaris 11 Information Library (한국어) |
8. FSS(Fair Share Scheduler)(개요)
9. FSS(Fair Share Scheduler) 관리(작업)
10. 리소스 상한값 지원 데몬을 사용한 물리적 메모리 제어(개요)
18. 비전역 영역, 설치, 종료, 정지 및 복제 정보(개요)
19. 비전역 영역 설치, 부트, 종료, 정지, 제거 및 복제(작업)
22. 영역 마이그레이션 및 zonep2vchk 도구 정보
23. Oracle Solaris 시스템 마이그레이션 및 비전역 영역(작업) 마이그레이션
24. 영역이 설치된 Oracle Solaris 11 시스템의 자동 설치 및 패키지 정보
zonestat 유틸리티를 사용하여 활성 영역 통계 보고
공유 IP 영역의 Oracle Solaris IP 필터
공유 IP 영역의 IP Network Multipathing
배타적 IP 영역의 Oracle Solaris IP 필터
배타적 IP 영역의 IP Network Multipathing
SPARC: 비전역 영역에서 사용하기 위해 수정되는 유틸리티
영역이 설치된 시스템의 FSS(Fair Share Scheduler)
영역에서 Oracle Solaris Auditing 사용
영역이 설치된 Oracle Solaris 시스템 백업 정보
26. Oracle Solaris Zones 관리(작업)
28. 그 밖의 기타 Oracle Solaris Zones 문제 해결
29. Oracle Solaris 10 Zones 소개
30. Oracle Solaris 10 시스템 액세스 및 아카이브 만들기
이 절에서는 영역이 설치된 Oracle Solaris 시스템의 파일 시스템 문제에 대해 설명합니다. 각 영역에는 영역 root라고 하는 디렉토리에 루트 지정된 자체 파일 시스템 계층 섹션이 있습니다. 영역의 프로세스에서는 영역 루트 아래에 있는 계층에 포함된 파일에만 액세스할 수 있습니다. chroot 유틸리티는 영역에서 프로세스를 영역 내의 루트 경로로 제한하는 데에만 사용할 수 있습니다. chroot에 대한 자세한 내용은 chroot(1M)을 참조하십시오.
mount 유틸리티에 대한 -o nosuid 옵션은 다음과 같은 기능이 있습니다.
nosetuid 옵션을 사용하여 마운트되는 파일 시스템에 있는 setuid 이진의 프로세스는 setuid 이진 권한으로 실행되지 않습니다. 프로세스는 이진을 실행하는 사용자의 권한으로 실행됩니다.
예를 들어 사용자가 root에서 소유한 setuid 이진을 실행하는 경우 프로세스는 사용자 권한으로 실행됩니다.
파일 시스템에서 장치 특정 항목을 열 수 없습니다. 이 동작은 nodevices 옵션을 지정하는 것과 같습니다.
mount(1M) 매뉴얼 페이지에서 설명한 대로 이 파일 시스템 특정 옵션은 mount 유틸리티를 사용하여 마운트할 수 있는 모든 Oracle Solaris 파일 시스템에서 사용할 수 있습니다. 이 설명서에서 이 파일 시스템은 영역에 파일 시스템 마운트에 나열되어 있습니다. 또한 마운트 기능이 설명되어 있습니다. -o nosuid 옵션에 대한 자세한 내용은 Oracle Solaris 관리: 네트워크 서비스의 “네트워크 파일 시스템 액세스(참조)”를 참조하십시오.
파일 시스템을 영역에서 마운트할 때 nodevices 옵션이 적용됩니다. 예를 들어 영역에 UFS 파일 시스템에 해당하는 블록 장치(/dev/dsk/c0t0d0s7 ) 및 원시 장치(/dev/rdsk/c0t0d0s7)에 대한 액세스 권한이 부여되는 경우 파일 시스템은 영역에서 마운트할 때 nodevices에 자동으로 마운트됩니다. 이 규칙은 zonecfg 구성을 통해 지정되는 마운트에는 적용되지 않습니다.
비전역 영역에서 파일 시스템을 마운트하는 데 사용되는 옵션에 대해서는 다음 표에 설명되어 있습니다. 이러한 대체 마운트 절차는 영역 구성, 확인 및 커밋 및 실행 중인 비전역 영역에서 파일 시스템 마운트를 참조하십시오.
표에 나열되지 않은 파일 시스템 유형은 /usr/lib/fstype/mount 에 마운트 이진이 있는 경우 구성에서 지정할 수 있습니다.
영역 관리자가 기본값이 아닌 다른 파일 시스템 마운트를 허용하면 파일 시스템이 손상될 수 있습니다.
|
자세한 내용은 영역 구성 방법, 실행 중인 비전역 영역에서 파일 시스템 마운트 및 mount(1M) 매뉴얼 페이지를 참조하십시오.
파일 시스템을 마운트 해제하는 기능은 초기 마운트를 수행한 사람에 따라 다릅니다. zonecfg 명령을 사용하여 파일 시스템을 영역 구성의 일부로 지정한 경우 전역 영역에서 이 마운트를 소유하고 비전역 영역 관리자는 파일 시스템을 마운트 해제할 수 없습니다. 예를 들어 영역의 /etc/vfstab 파일에서 마운트를 지정하여 비전역 영역에서 파일 시스템을 마운트한 경우 비전역 영역 관리자는 파일 시스템을 마운트 해제할 수 없습니다.
영역에서 특정 파일 시스템을 마운트하는 경우 보안 제한이 있습니다. 영역에서 다른 파일 시스템이 마운트될 경우 특정 동작을 나타냅니다. 마운트된 파일 시스템의 목록은 다음과 같습니다.
Autofs는 적절한 파일 시스템을 자동으로 마운트하는 클라이언트측 서비스입니다. 클라이언트가 현재 마운트되지 않은 파일 시스템에 액세스하려고 하면 AutoFS 파일 시스템이 요청을 인터셉트하고 automountd를 호출하여 요청된 디렉토리를 마운트합니다. 영역 내에서 설정된 AutoFS 마운트는 해당 영역에 로컬입니다. 전역 영역을 포함하여 다른 영역에서 마운트를 액세스할 수 없습니다. 영역이 정지되거나 재부트되면 마운트는 제거됩니다. AutoFS에 대한 자세한 내용은 Oracle Solaris 관리: 네트워크 서비스의 autofs의 작동 방식을 참조하십시오.
각 영역에서는 automountd의 자체 복사본을 실행합니다. 자동 맵 및 시간 초과는 영역 관리자에 의해 제어됩니다. 전역 영역에서 비전역 영역에 대한 AutoFS 마운트 지점을 교차하여 다른 영역에서 마운트를 트리거할 수 없습니다.
다른 마운트가 트리거되면 특정 AutoFS 마운트가 커널에 만들어집니다. 그런 마운트는 그룹으로 마운트되거나 마운트 해제해야 하므로 일반 umount 인터페이스를 사용하여 제거할 수 없습니다. 이 기능은 영역 종료를 위해 제공됩니다.
MNTFS는 로컬 시스템의 마운트된 파일 시스템 테이블에 대한 읽기 전용 액세스를 제공하는 가상 파일 시스템입니다. 비전역 영역에서 mnttab를 사용하여 표시하는 파일 시스템 집합은 영역에 마운트된 파일 시스템 집합과 루트(/)에 대한 항목입니다. 영역에서 액세스할 수 없는 특수 장치(예: /dev/rdsk/c0t0d0s0)가 있는 마운트 지점에는 마운트 지점과 동일한 특수 장치 세트가 있습니다. 시스템의 모든 마운트는 전역 영역의 /etc/mnttab 테이블에서 확인할 수 있습니다. MNTFS에 대한 자세한 내용은 Oracle Solaris 관리: 장치 및 파일 시스템의 Oracle Solaris 파일 시스템 마운트 및 마운트 해제를 참조하십시오.
영역 내에서 설정된 NFS 마운트는 해당 영역에 로컬입니다. 전역 영역을 포함하여 다른 영역에서 마운트를 액세스할 수 없습니다. 영역이 정지되거나 재부트되면 마운트는 제거됩니다.
영역 내에서 NFS 마운트는 nodevices 옵션을 사용하여 마운트된 것처럼 동작합니다.
nfsstat 명령 출력은 명령이 실행되는 영역하고만 관련이 있습니다. 예를 들어 명령이 전역 영역에서 실행되는 경우 전역 영역에 대한 정보만 보고됩니다. nfsstat 명령에 대한 자세한 내용은 nfsstat(1M)을 참조하십시오.
/proc 파일 시스템(PROCFS)은 프로세스 표시 여부 및 액세스 제한을 제공하고 프로세스의 영역 연관에 대한 정보를 제공합니다. 동일한 영역에 있는 프로세스만 /proc를 통해 표시할 수 있습니다.
전역 영역의 프로세스에서 비전역 영역의 프로세스와 다른 객체를 관찰할 수 있습니다. 그러면 그런 프로세스에서 시스템을 전체적으로 확인할 수 있습니다.
영역 내에서 procfs 마운트는 nodevices 옵션을 사용하여 마운트된 것처럼 동작합니다. procfs에 대한 자세한 내용은 proc(4) 매뉴얼 페이지를 참조하십시오.
LOFS를 통해 마운트될 수 있는 범위는 영역에 표시할 수 있는 파일 시스템 부분으로 제한됩니다. 따라서, 영역 내에서 LOFS 마운트에 대한 제한 사항은 없습니다.
zonecfg 명령을 사용하여 fsck 이진이 있는 저장소 기반 파일 시스템(예: UFS)을 구성하는 경우 영역 관리자가 raw 매개 변수를 지정해야 합니다. 이 매개 변수는 원시(문자) 장치(예: /dev/rdsk/c0t0d0s7)를 나타냅니다. zoneadmd 데몬은 preen 모드(fsck -p)에서 fsck 명령을 자동으로 실행하여 파일 시스템을 마운트하기 전에 파일 시스템을 비대화식으로 확인하여 수정합니다. fsck가 실패하면 zoneadmd가 영역을 준비 상태로 전환할 수 없습니다. raw에 의해 지정되는 경로는 상대 경로가 아닙니다.
/usr/lib/fs/ fstype/fsck에 fsck 이진을 제공하지 않는 파일 시스템에 대해 fsck에 장치를 지정하면 오류가 발생합니다. 또한 해당 파일 시스템에 대해 fsck 이진이 존재하지만 fsck에 장치를 지정하지 않은 경우에도 오류가 발생합니다.
자세한 내용은 zoneadmd 데몬 및 fsck(1M) 명령을 참조하십시오.
영역에서 마운트된 파일 시스템에서 설명한 기본 데이터 집합 이외에 zonecfg 명령을 add dataset 리소스와 함께 사용하여 비전역 영역에 ZFS 데이터 집합을 추가할 수 있습니다. 데이터 세트는 비전역 영역에 표시 및 마운트되고 전역 영역에도 표시됩니다. 영역 관리자는 해당 데이터 집합 내에서 파일 시스템을 만들거나 삭제하고 데이터 집합의 등록 정보를 수정할 수 있습니다.
zfs의 zoned 속성은 데이터 집합이 비전역 영역에 추가되었는지 여부를 나타냅니다.
# zfs get zoned tank/sales NAME PROPERTY VALUE SOURCE tank/sales zoned on local
데이터 집합 리소스를 통해 비전역 영역에 위임되는 각 데이터 집합에 별칭이 지정됩니다. 데이터 집합 레이아웃은 영역에 표시되지 않습니다. 각 가칭된 데이터 집합은 풀처럼 영역에 표시됩니다. 데이터 집합의 기본 별칭은 데이터 집합 이름의 마지막 구성 요소입니다. 예를 들어 위임된 데이터 집합 tank/sales에 대해 기본 별칭이 사용된 경우 영역에 가상 ZFS 풀이 sales로 표시됩니다. 데이터 집합 리소스에서 별칭 등록 정보를 설정하여 별칭을 다른 값으로 사용자 정의할 수 있습니다.
rpool 데이터 세트는 각 비전역 영역의 zonepath 데이터 세트에 있습니다. 모든 비전역 영역에 대해 이 영역 rpool 데이터 세트는 rpool로 가칭됩니다.
my-zone# zfs list -o name,zoned,mounted,mountpoint NAME ZONED MOUNTED MOUNTPOINT rpool on no /rpool rpool/ROOT on no legacy rpool/ROOT/solaris on yes / rpool/export on no /export rpool/export/home on no /export/home
데이터 세트 별칭은 ZFS 풀과 동일한 이름 제한이 적용됩니다. 이러한 제한에 대한 자세한 내용은 zpool(1M) 매뉴얼 페이지를 참조하십시오.
전역 영역에서 데이터 세트를 공유하려면 zonecfg 명령을 add fs 하위 명령과 함께 사용하여 LOFS 마운트 ZFS 파일 시스템을 추가할 수 있습니다. 전역 관리자 또는 해당 권한이 부여된 사용자는 데이터 세트의 등록 정보를 설정 및 제어할 수 있습니다.
ZFS에 대한 자세한 내용은 Oracle Solaris 관리: ZFS 파일 시스템의 10 장, Oracle Solaris ZFS 고급 주제을 참조하십시오.
영역은 NFS 클라이언트일 수 있습니다. 버전 2, 버전 3 및 버전 4 프로토콜이 지원됩니다. 이 NFS 버전에 대한 자세한 내용은 Oracle Solaris 관리: 네트워크 서비스의 NFS 서비스의 기능을 참조하십시오.
기본 버전은 NFS 버전 4입니다. 다음 방법 중 하나를 사용하여 클라이언트에서 다른 NFS 버전을 사용하도록 설정할 수 있습니다.
sharectl(1M)을 사용하여 등록 정보를 설정할 수 있습니다. 영역에서 기본적으로 지정된 버전을 사용하도록 NFS_CLIENT_VERSMAX=number를 설정합니다. Oracle Solaris 관리: 네트워크 서비스의 NFS 서비스 설정을 참조하십시오. Oracle Solaris 관리: 네트워크 서비스의 클라이언트에서 다른 NFS 버전을 선택하는 방법 절차를 사용합니다.
버전 마운트를 수동으로 만들 수 있습니다. 이 방법은 sharectl 설정을 대체합니다. Oracle Solaris 관리: 네트워크 서비스의 NFS 서비스 설정을 참조하십시오. Oracle Solaris 관리: 네트워크 서비스의 클라이언트에서 다른 NFS 버전을 선택하는 방법 절차를 사용합니다.
mknod(1M) 매뉴얼 페이지에 설명된 mknod 명령을 사용하여 비전역 영역에서 특수 파일을 만들 수 없습니다.
영역의 파일 시스템 이름 공간은 전역 영역에서 액세스할 수 있는 이름 공간의 일부입니다. 전역 영역에서 권한이 없는 프로세스에서는 다음과 같은 방법으로 비전역 영역의 파일 시스템 계층을 탐색할 수 없습니다.
영역 루트의 상위 디렉토리를 루트에서만 소유하고, 읽기, 쓰기 및 실행할 수 있도록 지정
/proc를 사용하여 내보내는 디렉토리에 대한 액세스 제한
다른 영역에 대해 마운트된 AutoFS 노드에 액세스되지 않습니다. 전역 관리자는 자동 맵이 다른 영역에 종속되지 않도록 해야 합니다.
비전역 영역이 설치된 후에 시스템 백업 유틸리티 이외의 명령을 사용하여 전역 영역에서 비전역 영역을 직접 액세스해서는 안 됩니다. 또한, 비전역 영역이 알 수 없는 환경에 노출된 후에는 더 이상 안전한 영역으로 간주할 수 없습니다. 예를 들어 공개적으로 액세스할 수 있는 네트워크에 배치된 영역이 있습니다. 이 영역은 손상되거나 파일 시스템의 내용이 변경될 수 있습니다. 손상이 발생했을 가능성이 있는 경우 전역 관리자는 해당 영역을 신뢰할 수 없는 영역으로 간주해야 합니다.
다음과 같은 경우에는 -R 또는 - b 옵션이나 이와 유사한 옵션을 사용하여 대체 루트를 수락하는 모든 명령을 사용해서는 안 됩니다.
명령이 전역 영역에서 실행되는 경우
현재 실행 중인 시스템의 전역 영역에 대한 상대 경로인지 대체 루트의 전역 영역에 대한 상대 경로인지 여부에 상관없이 대체 루트가 비전역 영역 내의 경로를 참조하는 경우.
예를 들어 비전역 영역 루트 경로를 사용하여 전역 영역에서 실행되는 pkgadd 유틸리티에 -R root_path 옵션을 사용할 수 있습니다.
대체 루트 경로에서 -R을 사용하는 명령, 프로그램 및 유틸리티 목록은 다음과 같습니다.
auditreduce
bart
installf
localeadm
makeuuid
metaroot
pkg
prodreg
removef
routeadm
showrev
syseventadm
대체 루트 경로에서 -b를 사용하는 명령 및 프로그램 목록은 다음과 같습니다.
add_drv
pprosetup
rem_drv
roleadd
update_drv
useradd
|