跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:Oracle Solaris Zones、Oracle Solaris 10 Zones 和资源管理 Oracle Solaris 11 Information Library (简体中文) |
19. 安装、引导、关闭、停止、卸载和克隆非全局区域(任务)
23. 迁移 Oracle Solaris 系统和迁移非全局区域(任务)
24. 关于安装了区域的 Oracle Solaris 11 系统上的自动安装和软件包
25. Oracle Solaris Zones 管理(概述)
26. 管理 Oracle Solaris Zones(任务)
28. 各种 Oracle Solaris Zones 问题的故障排除
29. Oracle Solaris 10 Zones 介绍
30. 评估 Oracle Solaris 10 系统和创建归档文件
31. (可选)将 Oracle Solaris 10 native 非全局区域迁移到 Oracle Solaris 10 Zones
一旦将进程放入全局区域之外的区域,此进程或其后续子进程便不能更改区域。
可以在区域中运行网络服务。通过在区域中运行网络服务,可限制出现安全违规时可能引起的损坏。如果入侵者成功利用了区域中运行的软件中的安全缺陷,则此入侵者只能在此区域中执行一部分可能的操作。区域中可用的特权是整个系统中可用特权的一部分。
使用区域,可以在同一计算机上部署多个应用程序,即使这些应用程序运行在不同的信任域中,需要独占访问全局资源或者全局配置出现问题也是如此。例如,使用与每个区域关联的特定 IP 地址或通配符地址,可以将同一系统的不同共享 IP 区域中运行的多个应用程序绑定到同一网络端口。应用程序还无法监视或拦截其他应用程序的网络流量、文件系统数据或进程活动。
区域在缺省情况下配置为专用 Ip 类型。在 IP 层,这些区域与全局区域隔离,并且相互隔离。出于运行和安全方面的原因而采用了这种隔离。可通过区域来合并必须使用其自己的 LAN 或 VLAN 在不同子网上通信的应用程序。每个区域还可以定义其自己的 IP 层安全规则。
区域提供了一个虚拟环境,此环境可以在应用程序中隐藏详细信息(例如物理设备、系统的主 IP 地址以及主机名)。可以在不同的物理计算机上维护同一应用程序环境。通过虚拟环境,可以单独管理每个区域。区域管理员在非全局区域中执行的操作不会影响系统的其余部分。
区域提供的隔离几乎可细化到任何程度。有关更多信息,请参见非全局区域特征。
区域不更改应用程序的执行环境,但为实现安全和隔离目标而必须更改的情况除外。区域不显示应用程序必须连接的新 API 或 ABI。相反,区域提供具有某些限制的标准 Oracle Solaris 接口和应用程序环境。这些限制主要影响尝试执行特权操作的应用程序。
无论是否配置其他区域,全局区域中的应用程序始终会运行而无需修改。