| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources Oracle Solaris 11.1 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources Oracle Solaris 11.1 Information Library (Français) |
Partie I Gestion des ressources Oracle Solaris
1. Introduction à la gestion des ressources
2. Projets et tâches (présentation)
3. Administration des projets et des tâches
4. Comptabilisation étendue (présentation)
5. Administration de la comptabilisation étendue (tâches)
6. Contrôles de ressources (présentation)
7. Administration des contrôles des ressources (tâches)
8. Ordonnanceur FSS (présentation)
9. Administration de l'ordonnanceur FSS (tâches)
10. Contrôle de la mémoire physique à l'aide du démon de limitation des ressources (présentation)
11. Administration du démon de limitation des ressources (tâches)
12. Pools de ressources (présentation)
13. Création et administration des pools de ressources (tâches)
14. Exemple de configuration de la gestion des ressources
Partie II Oracle Solaris Zones
15. Introduction à Oracle Solaris Zones
16. Configuration des zones non globales (présentation)
A propos des ressources dans les zones
Utilisation des profils de droits et des rôles dans l'administration de zone
Configuration avant installation
Initialisation automatique (autoboot) d'une zone
Propriété file-mac-profile pour une zone avec root en lecture seule
Contrôle de la mémoire physique et ressource capped-memory
Ajout d'une ressource zpool automatiquement
A propos des liaisons de données
Zones non globales en mode IP partagé
Zones non globales en mode IP exclusif
Prise en charge RDS (Reliable Datagram Sockets) dans les zones non globales
Différences entre les zones non globales en modes IP partagé et IP exclusif en matière de sécurité
Utilisation simultanée de zones non globales en modes IP partagé et IP exclusif
Systèmes de fichiers montés dans une zone
Montages et mise à jour du système de fichiers
Système de fichiers /dev dans les zones non globales
Périphérique lofi amovible dans les zones non globales
Prise en charge des formats de disque dans les zones non globales
Association de pools de ressources
Paramétrage des contrôles de ressources à l'échelle de la zone
Ajout d'un commentaire à une zone
Utilisation de la commande zonecfg
Mode d'exécution interactif de zonecfg
Mode d'exécution fichier de commandes de zonecfg
Exemple de configurations de zone
Bibliothèque d'édition de ligne de commande Tecla
17. Planification et configuration de zones non globales (tâches)
20. Connexion à une zone non globale (présentation)
21. Connexion à une zone non globale (tâches)
22. A propos des migrations de zones et de l'outil zonep2vchk
23. Migration de systèmes Oracle Solaris et migration de zones non globales (tâches)
25. Administration d'Oracle Solaris Zones (présentation)
26. Administration d'Oracle Solaris Zones (tâches)
27. Configuration et administration de zones immuables
28. Dépannage des problèmes liés à Oracle Solaris Zones
Partie III Oracle Solaris 10 Zones
29. Introduction à Oracle Solaris 10 Zones
30. Evaluation d'un système Oracle Solaris 10 et création d'une archive
32. Configuration de la zone marquée solaris10
33. Installation de la zone marquée solaris10
34. Initialisation d'une zone, connexion et migration de zone
Les données de configuration de zone sont constituées de deux types d'entités : les ressources et les propriétés. Les ressources sont classées par type et chacune d'entre elles possède une propriété ou un jeu de propriétés. Ces propriétés ont un nom et possèdent des valeurs. Le jeu de propriétés dépend du type de ressource.
Les seules propriétés requises sont zonename et zonepath .
Les types de ressources et de propriétés sont décrits comme suit :
Nom de la zone. Les règles suivantes s'appliquent aux noms de zones :
Chaque zone doit posséder un nom unique.
Les noms de zones sont sensibles à la casse.
Ils doivent commencer par un caractère alphanumérique.
Ils peuvent contenir des caractères alphanumériques, des traits de soulignement (_), des traits d'union (-) et des points (.)
Les noms de zones ne doivent pas comporter plus de 63 caractères.
Le nom global et tous les noms commençant par SYS ne peuvent être utilisés, car ils sont réservés.
La propriété zonepath spécifie le chemin d'installation de la zone. Le chemin du répertoire root de chaque zone est lié au répertoire root de la zone globale. Lors de l'installation, le répertoire de la zone globale est requis pour bénéficier d'une visibilité limitée. Le répertoire des zones doit appartenir à root et être en mode 700. Si le chemin de la zone n'existe pas, il est automatiquement créé pendant l'installation. Si les autorisations sont incorrectes, elles seront automatiquement corrigées.
Le chemin du répertoire root des zones non globales se trouve un niveau en dessous. Le propriétaire et les droits d'accès du répertoire root de ces zones sont identiques à ceux du répertoire root (/) de la zone globale. Le répertoire des zones doit appartenir à root et être en mode 755. Cette hiérarchie permet d'éviter que les utilisateurs ne possédant pas de privilèges dans la zone globale puissent traverser le système de fichiers d'une zone non globale.
La zone doit résider sur un jeu de données ZFS. Le jeu de données ZFS est automatiquement créé lorsque la zone est installée ou jointe. Si un jeu de données ZFS ne peut pas être créé, l'installation ou la jonction de la zone est impossible.
|
Pour plus d'informations, reportez-vous à la section Parcours des systèmes de fichiers.
Remarque - Vous pouvez déplacer une zone vers un autre emplacement du même système en spécifiant un nouveau chemin complet zonepath à l'aide de la sous-commande move de zoneadm. Pour plus d'informations, reportez-vous à la section Déplacement d'une zone non globale.
Si cette propriété est définie sur true, l'initialisation de la zone globale entraîne automatiquement celle de la zone. Elle est définie sur false par défaut. Notez cependant que, quelle que soit la valeur de cette propriété, la zone ne s'initialise pas automatiquement si le service svc:/system/zones:default des zones est désactivé. Vous pouvez l'activer à l'aide de la commande svcadm, décrite dans la page de manuel svcadm(1M) :
global# svcadm enable zones
Reportez-vous à la section Présentation de l'empaquetage des zones pour plus d'informations sur ce paramétrage pendant la mise à jour de pkg.
Cette propriété permet de définir un argument d'initialisation pour la zone. Cet argument est appliqué, excepté s'il est ignoré par les commandes reboot, zoneadm boot ou zoneadm reboot. Reportez-vous à la section Arguments d'initialisation d'une zone.
Cette propriété permet de spécifier un masque de privilège autre que celui par défaut. Reportez-vous à la section Privilèges dans une zone non globale.
Pour ajouter un privilège, spécifiez son nom en le faisant précéder ou non de priv_. Pour exclure un privilège, faites précéder son nom d'un tiret (-) ou d'un point d'exclamation (!). Les valeurs des privilèges doivent être séparées par des virgules et placées entre guillemets (").
Comme décrit dans la page de manuel priv_str_to_set(3C), les jeux spéciaux de privilèges none, all et basic s'étendent à leur définition normale. Le jeu spécial de privilèges zone ne peut pas être utilisé, car la configuration des zones a lieu dans la zone globale. Etant donné qu'il est courant de modifier le jeu de privilèges par défaut en ajoutant ou en supprimant certains privilèges, le jeu spécial default est mappé avec le jeu de privilèges par défaut. Lorsque default figure au début de la propriété limitpriv, celle-ci s'applique au jeu par défaut.
L'entrée ci-dessous ajoute la capacité à utiliser des programmes DTrace requérant uniquement les privilèges dtrace_proc et dtrace_user dans la zone :
global# zonecfg -z userzone zonecfg:userzone> set limitpriv="default,dtrace_proc,dtrace_user"
Si le jeu de privilèges de la zone contient un privilège annulé ou inconnu, ou s'il lui manque un privilège, toute tentative de vérification, de préparation ou d'initialisation de la zone échoue et un message d'erreur s'affiche.
Cette propriété définit la classe de programmation de la zone. Pour obtenir informations et conseils, reportez-vous à la section Classe de programmation.
Cette propriété doit être obligatoirement définie pour toutes les zones non globales. Reportez-vous aux sections Zones non globales en mode IP exclusif, Zones non globales en mode IP partagé et Configuration d'une zone.
Cette ressource consacre un sous-ensemble des processeurs du système à la zone tant qu'elle est en cours d'exécution. La ressource dedicated-cpu définit les limites de ncpus et éventuellement d'importance . Pour plus d'informations, reportez-vous à la section Ressource dedicated-cpu.
Cette ressource définit une limite pour la quantité de ressources CPU que la zone peut consommer lors de son exécution. La ressource capped-cpu fournit une limite pour ncpus. Pour plus d'informations, reportez-vous à la section Ressource capped-cpu.
Cette ressource regroupe les propriétés utilisées lors de la limitation de la mémoire de la zone. La ressource capped-memory définit les limites de la mémoire physical, swap, et locked. Vous devez spécifier au moins une de ces propriétés. Pour utiliser la ressource capped-memory, le package service/resource-cap doit être installé dans la zone globale.
La ressource anet crée automatiquement une interface VNIC temporaire pour la zone en mode IP exclusif lors de l'initialisation de la zone et la supprime lorsque la zone s'arrête.
La ressource net affecte une interface réseau de la zone globale à la zone non globale. La ressource de l'interface réseau est le nom de l'interface. Chaque zone peut posséder des interfaces réseau. Elles sont paramétrées lorsque la zone passe de l'état installé à l'état prêt.
Jeu de données est un terme générique désignant un système de fichiers, un volume ou un instantané. L'ajout d'une ressource de jeu de données ZFS permet la délégation de l'administration du stockage à une zone non globale. Si le jeu de données délégué est un système de fichiers, l'administrateur de zone peut créer et détruire des systèmes de fichiers au sein de ce jeu de données et modifier les propriétés de l'ensemble de données. L'administrateur de zone peut créer des instantanés, des systèmes de fichiers et volumes enfant, ainsi que des clones de ses descendants. Si le jeu de données délégué est un volume, l'administrateur de zone peut en définir les propriétés et créer des instantanés. Il ne peut cependant ni affecter de jeux de données non ajoutés à la zone, ni dépasser les quotas de niveau maximum définis dans le jeu de données assigné à la zone. Après la délégation d'un jeu de données à une zone non globale, la propriété zoned est automatiquement définie. Un système de fichiers zoned ne peut pas être monté dans la zone globale car l'administrateur de zone peut être amené à définir le point de montage sur une valeur inacceptable.
Pour ajouter des jeux de données ZFS à une zone, vous pouvez procéder de l'une des manières suivantes :
Comme pour un système de fichiers lofs monté, si le seul but recherché est de partager de l'espace avec la zone globale.
Comme pour un jeu de données délégué
Reportez-vous au Chapitre 9, Rubriques avancées Oracle Solaris ZFS du manuel Administration d’Oracle Solaris 11.1 : Systèmes de fichiers ZFS, Systèmes de fichiers et zones non globales et à la page de manuel datasets(5).
Pour plus d'informations sur les questions relatives aux jeux de données, consultez également le Chapitre 28, Dépannage des problèmes liés à Oracle Solaris Zones.
Toute zone peut posséder plusieurs systèmes de fichiers. Ils sont montés quand la zone passe de l'état installé à l'état prêt. La ressource du système de fichiers spécifie le chemin du point de montage du système de fichiers. Pour plus d'informations sur l'utilisation des systèmes de fichiers dans les zones, reportez-vous à la section Systèmes de fichiers et zones non globales.
Remarque - Pour utiliser les systèmes de fichiers UFS dans une zone non globale à l'aide de la ressource fs, le package system/file-system/ufs doit être installé dans la zone après l'installation ou par l'intermédiaire du script manifeste AI.
La commande quota documentée dans la page de manuel quota(1M) ne permet pas de récupérer les informations sur les quotas des systèmes de fichiers UFS ajoutés à l'aide de la ressource fs.
La définition de cette propriété donne à l'administrateur de zone la possibilité de monter un système de fichiers de ce type, soit créé par l'administrateur de zone, soit importé à l'aide de NFS, et d'administrer ce système de fichiers. Les autorisations de montage des systèmes de fichiers dans une zone en cours d'exécution sont également restreintes par la propriété fs-allowed. Par défaut, seuls les montages de systèmes de fichiershsfs et de systèmes de fichiers réseau, tels que NFS, sont autorisés au sein d'une zone.
La propriété peut être utilisée avec un périphérique en mode bloc ou un périphérique ZVOL délégué à la zone .
La propriété fs-allowed accepte une liste séparée par des virgules des autres systèmes de fichiers qui peuvent être montés au sein d'une zone, par exemple, ufs,pcfs.
zonecfg:my-zone> set fs-allowed=ufs,pcfs
Cette propriété n'a pas d'incidence sur les montages de zone gérés par la zone globale à l'aide des propriétés add fs ou add dataset.
Pour plus d'informations sur la sécurité, reportez-vous aux sections Systèmes de fichiers et zones non globales et Utilisation de périphériques dans les zones non globales.
La ressource périphérique est le spécificateur correspondant au périphérique. Chaque zone peut présenter des périphériques qui doivent être configurés quand la zone passe de l'état installé à l'état prêt.
Remarque - Pour utiliser les systèmes de fichiers UFS dans une zone non globale à l'aide de la ressource device, le package system/file-system/ufs doit être installé dans la zone après l'installation ou par l'intermédiaire du script manifeste AI.
Cette propriété permet d'associer la zone à un pool de ressources sur le système. Plusieurs zones peuvent partager les ressources d'un pool. Reportez-vous également à la section Ressource dedicated-cpu.
La ressource rctl est dédiée aux contrôles de ressources à l'échelle de la zone. Ces contrôles sont activés lorsque la zone passe de l'état installé à l'état prêt.
Pour plus d'informations, reportez-vous à la section Paramétrage des contrôles de ressources à l'échelle de la zone.
Remarque - Pour configurer les contrôles à l'échelle de la zone à l'aide de la sous-commande set Nom_propriété_global de zonefig au lieu de la ressource rctl, reportez-vous à la section Configuration d'une zone.
Cet attribut générique peut être utilisé pour les commentaires utilisateur ou par d'autres sous-systèmes. La propriété name d'un attribut attr doit commencer par un caractère alphanumérique. La propriété name peut contenir des caractères alphanumériques, des traits d'union (-) et des points (.). Les noms d'attributs commençant par zone. sont réservés au système.
Les ressources ont elles aussi des propriétés qu'il convient de configurer. Vous trouverez ci-dessous la liste des propriétés associées aux différents types de ressources.
Définissez le nom d'utilisateur et les autorisations associées pour une zone donnée.
zonecfg:my-zone> add admin zonecfg:my-zone:admin> set user=zadmin zonecfg:my-zone:admin> set auths=login,manage zonecfg:my-zone:admin> end
Les valeurs suivantes peuvent être utilisées pour la propriété auths :
login (solaris.zone.login)
manage (solaris.zone.manage)
clone (solaris.zone.clonefrom)
Notez que ces valeurs auths ne permettent pas de créer une zone. Cette fonctionnalité est incluse dans le profil de sécurité de zone.
storage
Identifiez l'URI de l'objet de stockage afin de fournir un zpool ZFS dédié pour l'installation de la zone. Pour des informations sur les URI et les valeurs autorisées pour storage, reportez-vous à la section Ressource rootzpool. Durant l'installation de la zone, le zpool est créé automatiquement ou un zpool précréé est importé. Le nom my-zone_rpool est affecté.
zonecfg:my-zone> add rootzpool zonecfg:my-zone:rootzpool> add storage dev:dsk/c4t1d0 zonecfg:my-zone:rootzpool> end
Vous pouvez ajouter une propriété storage supplémentaire si vous créez une configuration en miroir :
add storage dev:dsk/c4t1d0 add storage dev:dsk/c4t3d0
Une seule ressource rootzpool peut être configurée par zone.
storage, name
Définissez un ou plusieurs URI d'objet de stockage pour déléguer un zpool à la zone. Pour des informations sur les URI et les valeurs autorisées pour la propriété storage, reportez-vous à la section Ressource rootzpool. Les valeurs autorisées pour la propriété name sont définies dans la page de manuel zpool(1M).
Dans cet exemple, une ressource de stockage zpool est déléguée à la zone. Le zpool est automatiquement créé ou un zpool déjà créé est importé durant l'installation. Le nom de zpool est my-zone_pool1.
zonecfg:my-zone> add zpool zonecfg:my-zone:zpool> set name=pool1 zonecfg:my-zone:zpool> add storage dev:dsk/c4t2d0 zonecfg:my-zone:zpool> add storage dev:dsk/c4t4d0 zonecfg:my-zone:zpool> end
Une configuration de zone peut contenir une ou plusieurs ressources zpool.
ncpus, importance
Spécifie le nombre de CPU et, éventuellement, l'importance relative du pool. L'exemple ci-dessous spécifie la plage de CPU utilisée par la zone ma-zone. L'importance est également définie.
zonecfg:my-zone> add dedicated-cpu zonecfg:my-zone:dedicated-cpu> set ncpus=1-3 zonecfg:my-zone:dedicated-cpu> set importance=2 zonecfg:my-zone:dedicated-cpu> end
ncpus
Définit le nombre de CPU. L'exemple ci-dessous spécifie une capacité de 3,5 CPU pour la zone my-zone.
zonecfg:my-zone> add capped-cpu zonecfg:my-zone:capped-cpu> set ncpus=3.5 zonecfg:my-zone:capped-cpu> end
physical, swap, locked
Spécifie les limites de mémoire pour la zone my-zone. Chaque limite est optionnelle, mais vous devez en définir au moins une.
zonecfg:my-zone> add capped-memory zonecfg:my-zone:capped-memory> set physical=50m zonecfg:my-zone:capped-memory> set swap=100m zonecfg:my-zone:capped-memory> set locked=30m zonecfg:my-zone:capped-memory> end
Pour utiliser la ressource capped-memory, le package resource-cap doit être installé dans la zone globale.
dir, special, raw, type, options
Les paramètres de la ressource fs indiquent les valeurs qui déterminent comment et où monter les systèmes de fichiers. Les paramètres fs se définissent comme suit :
Spécifie le point de montage du système de fichiers.
Spécifie le nom du périphérique spécial en mode bloc ou le répertoire de zone globale à monter.
Spécifie le périphérique brut sur lequel fsck doit être exécuté avant le montage du système de fichiers (ne s'applique pas à ZFS).
Spécifie le type de système de fichiers.
Spécifie les options de montage similaires à celles associées à la commande mount.
L'exemple ci-dessous spécifie que le jeu de données nommé pool1/fs1 dans la zone globale doit être monté en tant que /shared/fs1 dans une zone en cours de configuration. Le type de système de fichiers à utiliser est ZFS.
zonecfg:my-zone> add fs zonecfg:my-zone:fs> set dir=/shared/fs1 zonecfg:my-zone:fs> set special=pool1/fs1 zonecfg:my-zone:fs> set type=zfs zonecfg:my-zone:fs> end
Pour plus d'informations sur les paramètres, reportez-vous aux sections Option -o nosuid et Restrictions de sécurité et comportement du système de fichiers et aux pages de manuel fsck(1M) et mount(1M). Notez aussi que la section 1M des pages de manuel est disponible pour les options de montage spécifiques à un système de fichiers donné. Ces pages de manuel sont nommées de la manière suivante : mount_système de fichiers.
Remarque - La commande quota documentée dans la page de manuel quota(1M) ne permet pas de récupérer les informations sur les quotas des systèmes de fichiers UFS ajoutés à l'aide de cette ressource.
name
L'exemple ci-dessous spécifie que le jeu de données ventes doit être visible et monté dans la zone non globale et doit cesser d'être visible dans la zone globale.
zonecfg:my-zone> add dataset zonecfg:my-zone> set name=tank/sales zonecfg:my-zone> end
Un jeu de données délégué peut avoir un alias non par défaut comme indiqué dans l'exemple suivant. Notez que l'alias d'un jeu de données ne peut contenir de barre oblique (/).
zonecfg:my-zone> add dataset zonecfg:my-zone:dataset> set name=tank/sales zonecfg:my-zone:dataset> set alias=data zonecfg:my-zone:dataset> end
Pour revenir à l'alias par défaut, utilisez clear alias.
zonecfg:my-zone> clear alias
linkname, lower-link , allowed-address, auto-mac-address, configure-allowed-address, defrouter, linkmode (IPoIB), mac-address (non-IPoIB), mac-slot (non-IPoIB), mac-prefix (non-IPoIB), mtu, maxbw, pkey (IPoIB), priority, vlan-id (non-IPoIB), rxfanout, rxrings, txrings, link-protection, allowed-dhcp-cids
Ne définissez pas les propriétés anet suivantes pour les liaisons de données IPoIB dans zonecfg.
mac-address
mac-prefix
mac-slot
vlan-id
Ne définissez pas les propriétés anet suivantes pour les liaisons de données non IPoIB dans zonecfg .
linkmode
pkey
La ressource anet crée une interface VNIC automatique ou une interface IPoIB lorsque la zone est initialisée et supprime l'interface VNIC ou IPoIB lorsque la zone s'arrête. Les propriétés de la ressource sont gérées par le biais de la commande zonecfg. Reportez-vous à la page de manuel zonecfg(1M) pour obtenir des informations complètes sur les propriétés disponibles.
Spécifie le lien sous-jacent du lien à créer. Lorsqu'il est défini sur auto, le démon zoneadmd choisit automatiquement le lien sur lequel la VNIC est créée à chaque initialisation de la zone.
Toutes les liaisons IPoIB sont ignorées lorsque vous sélectionnez la liaison de données pour créer automatiquement la VNIC lors de l'initialisation.
Indiquez un nom pour l'interface VNIC ou IPoIB créée automatiquement.
Définit l'adresse MAC de la VNIC en fonction de la valeur ou du mot-clé indiqué. Si la valeur n'est pas un mot-clé, elle est interprétée comme une adresse MAC unicast. Pour connaître les mots-clés pris en charge, reportez-vous à la page de manuel zonecfg(1M). Si une adresse MAC aléatoire est sélectionnée, l'adresse générée est conservée pour toutes les initialisations de la zone, ainsi que pour les opérations de séparation et de jonction de zone.
Définissez la clé de partition à utiliser pour créer l'interface de liaison de données IPoIB. Cette propriété est obligatoire. La pkey spécifiée est toujours traitée au format hexadécimal, qu'elle contienne ou non le préfixe 0x.
Définit le linkmode pour l'interface de liaison de données. La valeur par défaut est cm. Les valeurs valides sont :
Mode connecté. Ce mode utilise une MTU par défaut de 65520 octets et supporte un total de MTU pouvant aller jusqu'à 65535 octets.
Mode datagramme non fiable. Si le mode connecté n'est pas disponible pour un noeud distant, le mode datagramme non fiable est utilisé à la place. Ce mode utilise une MTU par défaut de 2044 octets et supporte un total de MTU pouvant aller jusqu'à 4092 octets.
Configure une adresse IP pour la zone en mode IP exclusif et permet également de limiter le jeu d'adresses IP configurables qu'une zone en mode IP exclusif peut utiliser. Pour spécifier plusieurs adresses, utilisez la liste des adresses IP séparées par des virgules.
La propriété defrouter peut être utilisée pour définir une route par défaut lorsque la zone non globale et la zone globale résident sur des réseaux distincts.
Toute zone dont la propriété defrouter est définie doit se trouver sur un sous-réseau qui n'est pas configuré dans la zone globale.
Lorsque la commande zonecfg créé une zone à l'aide du modèle SYSdefault, une ressource anet avec les propriétés suivantes est automatiquement incluse dans la configuration de zone lorsqu'aucune ressource IP n'est définie. linkname est automatiquement créé sur la liaison Ethernet physique et défini sur le premier nom disponible au format netN, net0. Pour modifier les valeurs par défaut, utilisez la commande zonecfg.
La valeur par défaut crée une VNIC automatique sur la liaison Ethernet physique, nxge0 par exemple, et affecte une adresse MAC d'usine à la VNIC. La propriété lower-link facultative est définie sur le lien sous-jacent, nxge0, sur lequel la VNIC automatique doit être créée. Vous pouvez spécifier les propriétés VNIC telles que le nom de lien, le lien physique sous-jacent, l'adresse MAC, la limite de bande passante, ainsi que d'autres propriétés à l'aide de la commande zonecfg. Notez que ip-type=exclusive doit également être spécifié.
zonecfg:my-zone> set ip-type=exclusive zonecfg:my-zone> add anet zonecfg:my-zone:anet> set linkname=net0 zonecfg:my-zone:anet> set lower-link=auto zonecfg:my-zone:anet> set mac-address=random zonecfg:my-zone:anet> set link-protection=mac-nospoof zonecfg:my-zone:anet> end
L'exemple suivant montre une zone configurée avec une interface de liaison de données IPoIB sur la liaison physique net5 avec la clé de partition IB 0xffff :
zonecfg:my-zone> set ip-type=exclusive zonecfg:my-zone:anet> add anet zonecfg:my-zone:anet> set linkname=ib0 zonecfg:my-zone:anet> set lower-link=net5 zonecfg:my-zone:anet> set pkey=0xffff zonecfg:my-zone:anet> end
Pour plus d'informations sur les propriétés, reportez-vous à la page de manuel zonecfg(1M). Pour plus d'informations sur les propriétés de lien, reportez-vous à la page de manuel dladm(1M).
address, allowed-addressphysical , defrouter
Remarque - Dans une zone en mode IP partagé, l'adresse IP et le périphérique physique doivent être tous deux spécifiés. Le routeur par défaut peut être défini (facultatif).
Dans une zone en mode IP exclusif, seule l'interface physique doit être spécifiée.
La propriété allowed-address limite le jeu d'adresses IP configurables qu'une zone en mode IP exclusif peut utiliser.
La propriété defrouter peut être utilisée pour définir une route par défaut lorsque la zone non globale et la zone globale résident sur des réseaux distincts.
Toute zone dont la propriété defrouter est définie doit se trouver sur un sous-réseau qui n'est pas configuré dans la zone globale.
Le trafic d'une zone avec un routeur par défaut est envoyé au routeur avant de revenir à la zone de destination.
Lorsque des zones en mode IP partagé existent sur des sous-réseaux différents, ne configurez aucune liaison de données dans la zone globale.
Dans l'exemple suivant d'une zone en mode IP partagé, l'interface physique nge0 est ajoutée à la zone avec l'adresse IP 192.168.0.1. Pour obtenir la liste des interfaces réseau sur le système, tapez :
global# ipadm show-if -po ifname,class,active,persistent lo0:loopback:yes:46-- nge0:ip:yes:----
Chaque ligne de la sortie, à l'exception des lignes loopback, contient le nom d'une interface réseau. Les lignes dont les descriptions contiennent LOOPBACK ne concernent pas les cartes. Les indicateurs permanents 46 indiquent que l'interface est configurée de façon permanente dans la zone globale. La valeur active yes indique que l'interface est actuellement configurée et la valeur de classe ip indique que nge0 n'est pas une interface loopback. La route par défaut est définie sur 10.0.0.1 pour la zone. La définition de la propriété defrouter est facultative. Notez que ip-type=shared est obligatoire.
zonecfg:my-zone> set ip-type=shared zonecfg:my-zone> add net zonecfg:my-zone:net> set physical=nge0 zonecfg:my-zone:net> set address=192.168.0.1 zonecfg:my-zone:net> set defrouter=10.0.0.1 zonecfg:my-zone:net> end
Dans l'exemple suivant d'une zone en mode IP exclusif, un lien bge32001 est utilisé pour l'interface physique, qui est un VLAN sur bge1. Pour connaître les liaisons de données disponibles, exécutez la commande dladm show-link. La propriété allowed-address restreint les adresses IP que la zone peut utiliser. La propriété defrouter sert à définir une route par défaut. Notez que ip-type=exclusive doit également être spécifié.
zonecfg:my-zone> set ip-type=exclusive zonecfg:my-zone> add net zonecfg:myzone:net> set allowed-address=10.1.1.32/24 zonecfg:my-zone:net> set physical=bge32001 zonecfg:myzone:net> set defrouter=10.1.1.1 zonecfg:my-zone:net> end
Seul le type correspondant aux périphériques physiques doit être spécifié dans l'étape add net. La propriété physical peut être une carte d'interface réseau virtuelle (VNIC), comme décrit dans la Partie III, Network Virtualization and Resource Management du manuel Oracle Solaris Administration: Network Interfaces and Network Virtualization.
Remarque - Le système d'exploitation Oracle Solaris prend en charge toutes les interfaces de type Ethernet et leurs liaisons de données peuvent être gérées avec la commande dladm.
match, allow-partition, allow-raw-io
Le nom du périphérique de correspondance peut être un modèle de correspondance ou un chemin absolu. Les propriétés allow-partition et allow-raw-io peuvent être définies sur true ou false. La valeur par défaut est false. allow-partition permet le partitionnement. allow-raw-io active uscsi. Pour plus d'informations sur ces ressources, reportez-vous à la page de manuel zonecfg(1M).
Dans l'exemple suivant, les opérations uscsi sur un périphérique de disque sont incluses dans la configuration d'une zone.
zonecfg:my-zone> add device zonecfg:my-zone:device> set match=/dev/*dsk/cXtYdZ* zonecfg:my-zone:device> set allow-raw-io=true zonecfg:my-zone:device> end
Les périphériques du gestionnaire de volume Veritas sont délégués à une zone non globale à l'aide de add device.
 | Attention - Avant d'ajouter les périphériques, reportez-vous aux sections Utilisation de périphériques dans les zones non globales, Exécution d'applications dans les zones non globales et Privilèges dans une zone non globale pour connaître les restrictions et les problèmes de sécurité. |
name, value
A l'échelle des zones, les contrôles de ressources suivants sont disponibles :
zone.cpu-cap
zone.cpu-shares (recommandé : cpu-shares )
zone.max-locked-memory
zone.max-lofi
zone.max-lwps (recommandé : max-lwps)
zone.max-msg-ids (recommandé : max-msg-ids)
zone.max-processes(recommandé : max-processes
zone.max-sem-ids (recommandé : max-sem-ids)
zone.max-shm-ids (recommandé : max-shm-ids)
zone.max-shm-memory (recommandé : max-shm-memory)
zone.max-swap
Pour définir un contrôle de ressource à l'échelle d'une zone, il est recommandé et plus simple d'utiliser le nom de propriété que la ressource rctl, comme indiqué à la section Configuration d'une zone. Si vous configurez les entrées de contrôle de ressource à l'échelle d'une zone à l'aide de add rctl, leur format diffère de celui des entrées de contrôle de ressource de la base de données project. Dans une configuration de zone, le type de ressource rctl est composé de trois paires nom/valeur. Les noms sont : priv, limit et action. Chacun d'entre eux possède une valeur simple.
zonecfg:my-zone> add rctl zonecfg:my-zone:rctl> set name=zone.cpu-shares zonecfg:my-zone:rctl> add value (priv=privileged,limit=10,action=none) zonecfg:my-zone:rctl> end
zonecfg:my-zone> add rctl zonecfg:my-zone:rctl> set name=zone.max-lwps zonecfg:my-zone:rctl> add value (priv=privileged,limit=100,action=deny) zonecfg:my-zone:rctl> end
Pour plus d'informations sur les attributs et les contrôles de ressources, reportez-vous au Chapitre 6, Contrôles de ressources (présentation) et à la section Utilisation de contrôles de ressources dans les zones non globales.
name, type, value
L'exemple ci-dessous montre l'ajout d'un commentaire à propos d'une zone.
zonecfg:my-zone> add attr zonecfg:my-zone:attr> set name=comment zonecfg:my-zone:attr> set type=string zonecfg:my-zone:attr> set value="Production zone" zonecfg:my-zone:attr> end
Vous pouvez utiliser la sous-commande export pour imprimer une configuration de zone sur une sortie standard. La configuration est enregistrée sous une forme pouvant être utilisée dans un fichier de commandes.
|