Fonctionnement des zones

Une zone non globale peut être considérée comme une boîte dans laquelle vous pouvez exécuter une ou plusieurs applications sans interférer avec le reste du système. Les zones isolent les applications et les services à l'aide de limites flexibles, définies à l'échelle logicielle. Les applications exécutées dans une même instance du système d'exploitation Oracle Solaris peuvent être gérées indépendamment les unes des autres. Vous pouvez donc exécuter différentes versions d'une même application dans différentes zones, en fonction des exigences de la configuration.

Tout processus assigné à une zone peut manipuler, surveiller et communiquer directement avec les autres processus assignés à cette même zone. Cela est toutefois impossible si ces processus sont assignés à d'autres zones du système ou ne sont assignés à aucune zone. Les processus assignés à différentes zones peuvent uniquement communiquer via les API du réseau.

Le réseau IP peut être configuré de deux façons, selon que la zone possède sa propre instance IP ou partage l'état et la configuration de la couche IP avec la zone globale. Le mode IP exclusif est le type par défaut. Pour plus d'informations sur les types d'IP dans les zones, reportez-vous à la section Interfaces réseau de zones. Pour en savoir plus sur la configuration, reportez-vous à la section Configuration d'une zone.

Chaque système Oracle Solaris contient une zone globale. La zone globale a deux fonctions principales. La zone globale est à la fois la zone par défaut pour le système et la zone utilisée pour le contrôle administratif au niveau du système. Tous les processus sont exécutés dans la zone globale si aucune zone non globale (appelée simplement "zone") n'est créée par l'administrateur global ou par un utilisateur à l'aide du profil Sécurité de zone.

C'est la seule zone à partir de laquelle il est possible de configurer, d'installer, de gérer ou de désinstaller une zone non globale. Seule la zone globale peut être initialisée à partir du matériel système. L'administration de l'infrastructure du système, notamment les périphériques physiques, le routage dans une zone en mode IP partagé et la reconfiguration dynamique, n'est réalisable qu'à partir de la zone globale. Les processus auxquels sont affectés les privilèges adéquats et s'exécutant dans la zone globale peuvent accéder à des objets associés à d'autres zones.

Dans certains cas, les processus ne disposant pas de privilèges dans une zone globale peuvent exécuter des opérations non permises aux processus dotés de privilèges dans une zone non globale. Par exemple, les utilisateurs travaillant dans la zone globale peuvent consulter les informations relatives à tous les processus existant sur le système. Si cette capacité pose un problème pour votre site, vous pouvez limiter l'accès à la zone globale.

Chaque zone, y compris la zone globale, se voit assigner un nom. Celui de la zone globale est toujours global. Chaque zone possède également un identificateur numérique unique, qui lui est assigné par le système lors de son initialisation. L'ID de la zone globale est toujours 0. Vous trouverez des explications détaillées sur les noms et les ID de zones à la section Utilisation de la commande zonecfg.

Chaque zone possède aussi un nom de noeud, indépendant du nom de zone et assigné par l'administrateur de la zone. Pour plus d'informations, reportez-vous à la section Nom de noeud dans une zone non globale.

Le chemin du répertoire root de chaque zone est lié au répertoire root de la zone globale. Pour plus d'informations, reportez-vous à la section Utilisation de la commande zonecfg.

La classe de programmation des zones non globales est définie sur celle du système par défaut. Pour une explication détaillée des méthodes utilisées pour définir la classe de programmation dans une zone, reportez-vous à la section Classe de programmation.

Présentation des zones par fonction

Vous trouverez dans le tableau ci-dessous un résumé des caractéristiques des zones globales et non globales.

Type de zone

Caractéristique

Globale

Se voit assigner l'ID 0 par le système
Fournit la seule instance du noyau Oracle Solaris pouvant être initialisée et exécutée sur le système
Contient une installation complète des packages des logiciels système Oracle Solaris
Peut contenir des packages logiciels ou des logiciels supplémentaires, des répertoires, des fichiers et d'autres données non installées par l'intermédiaire de packages
Fournit une base de données de produits complète et cohérente contenant les informations relatives à tous les composants logiciels installés dans la zone globale
Détient les informations de configuration spécifiques à la zone globale uniquement, par exemple le nom d'hôte de la zone globale et la table du système de fichiers
Est la seule zone ayant connaissance de tous les périphériques et systèmes de fichiers
Est la seule zone ayant connaissance de l'existence et de la configuration d'une zone non globale
Est la seule zone à partir de laquelle il est possible de configurer, d'installer, de gérer ou de désinstaller une zone non globale

Non globale

Se voit assigner un ID de zone lors de son initialisation (ID assigné par le système)
Partage les opérations du noyau Oracle Solaris initialisé à partir de la zone globale
Contient un sous-ensemble installé de tous les packages des logiciels système Oracle Solaris
Peut contenir les packages logiciels supplémentaires installés
Peut contenir d'autres logiciels, répertoires, fichiers et données créés dans la zone non globale et non installés par l'intermédiaire de packages
Dispose d'une base de données de produits complète et cohérente, contenant les informations relatives à tous les composants logiciels installés dans la zone
N'a pas connaissance de l'existence d'autres zones
Ne peut ni installer, ni gérer, ni désinstaller des zones, y compris elle-même
Détient des informations de configuration spécifiques à cette zone non globale uniquement, par exemple le nom d'hôte de la zone non globale et la table du système de fichiers
Peut posséder son propre paramètre de fuseau horaire

Administration de zones non globales

L'administrateur global possède des privilèges de superutilisateur ou des droits d'administration équivalents. Lorsqu'il est connecté à une zone globale, l'administrateur global peut surveiller le système comme un tout.

Les zones non globales peuvent être administrées par un administrateur de zone. L'administrateur global attribue à l'administrateur de zone les autorisations nécessaires, telles que décrites dans la section Ressource admin. Les privilèges d'un administrateur de zone sont limités à une zone non globale donnée.

Création de zones non globales

Vous pouvez définir la configuration et l'installation de zones non globales dans le cadre d'une installation client automatisée (AI). Reportez-vous au manuel Installation des systèmes Oracle Solaris 11.1 pour plus d'informations.

Pour créer une zone dans un système Oracle Solaris, l'administrateur global utilise la commande zonecfg afin de configurer la zone souhaitée en spécifiant divers paramètres pour l'environnement d'application et la plate-forme virtuelle de la zone. Il utilise ensuite la commande d'administration de zone zoneadm pour installer les logiciels au niveau du package dans l'arborescence de système de fichiers définie pour la zone. La commande zoneadm permet d'initialiser la zone. L'administrateur global ou l'utilisateur autorisé peut se connecter à la zone installée à l'aide de la commande zlogin. Dans le cas d'un contrôle d'accès basé sur les rôles (RBAC, Role-Based Access Control), l'administrateur de zone doit avoir l'autorisation solaris.zone.manage/ zonename.

Pour plus d'informations sur la configuration des zones, reportez-vous au Chapitre 16, Configuration des zones non globales (présentation). Pour plus de détails sur l'installation des zones, reportez-vous au Chapitre 18, A propos de l'installation, de la fermeture, de l'arrêt, de la désinstallation et du clonage des zones non globales (présentation). Pour plus d'informations sur la connexion aux zones, reportez-vous au Chapitre 20, Connexion à une zone non globale (présentation).

Etats des zones non globales

Une zone non globale peut se trouver dans l'un des sept états suivants :

Configuré

La configuration de la zone est terminée et validée sur unité de stockage stable. Cependant, les éléments devant être spécifiés après l'initialisation initiale de l'environnement applicatif de la zone ne sont pas encore présents.

Incomplet

Pendant l'installation ou la désinstallation, la commande zoneadm définit l'état de la zone cible sur Incomplet. Une fois l'opération correctement effectuée, l'état est défini sur l'état correct.

Une zone installée endommagée peut être marquée comme étant incomplète à l'aide de la sous-commande mark de zoneadm. Les zones à l'état incomplet s'affichent dans la sortie de zoneadm list - iv.

Indisponible

Indique que la zone a été installée mais qu'elle ne peut pas être vérifiée, rendue prête, initialisée, rattachée ou déplacée. Une zone saisit l'état indisponible dans les cas suivants :

Lorsque le stockage de la zone est indisponible et que svc:/system/zones:default démarre, par exemple, pendant l'initialisation du système.
Lorsque l'espace de stockage de la zone est indisponible
Lorsque les installations basées sur l'archivage échouent après la réussite de l'extraction de l'archive
Lorsque le logiciel de la zone est incompatible avec le logiciel de la zone globale, tel qu'après un rattachement forcé incorrect à l'aide de l'option -F

Installé

La configuration de la zone est instanciée sur le système. La commande zoneadm permet de vérifier que la configuration peut être utilisée sans problème avec le système Oracle Solaris désigné. Les packages sont installés sous le chemin root de la zone. Dans cet état, la zone n'a pas de plate-forme virtuelle associée.

Prêt

La plate-forme virtuelle de la zone est établie. Le noyau crée le processus zsched ; les interfaces réseau sont paramétrées et disponibles pour la zone ; les systèmes de fichiers sont montés et les périphériques configurés. Un ID de zone unique est attribué par le système. A ce stade, aucun processus associé à la zone n'a été démarré.

En cours d'exécution

Les processus utilisateur associés à l'environnement d'application de la zone sont en cours d'exécution. La zone passe à l'état En cours d'exécution dès que le premier processus utilisateur associé à l'environnement applicatif (init) est créé.

Arrêt en cours et hors service

Ces états sont des états transitoires qui sont visibles pendant l'arrêt de la zone. Cependant, une zone incapable de s'arrêter pour quelque raison que ce soit s'arrêtera dans l'un de ces états.

Le Chapitre 19, Installation, initialisation, fermeture, arrêt, désinstallation et clonage des zones non globales (tâches) et la page de manuel zoneadm(1M) indiquent comment utiliser la commande zoneadm pour déclencher les transitions entre ces états.

Tableau 15-1 Commandes affectant l'état des zones

Etat actuel de la zone	Commandes pertinentes
Configuré	`zonecfg` `-z` `nom de zone` `verify` `zonecfg` `-z` `nom de zone` `commit` `zonecfg` `-z` `nom de zone` `delete` `zoneadm` `-z` `nom de zone` `attach` `zoneadm` `-z` `nom de zone` `verify` `zoneadm` `-z` `nom de zone` `install` `zoneadm` `-z` `nom de zone` `clone` `zoneadm` `-z` `zonename` `mark` `incomplete` `zoneadm` `-z` `zonename` `mark` `unavailable` Vous pouvez également utiliser la commande `zonecfg` pour renommer une zone en état Configuré ou Installé.
Incomplet	`zoneadm` `-z` `nom de zone` `uninstall`
Indisponible	`zoneadm` `-z` `zonename` `uninstall` désinstalle la zone du système spécifié. `zoneadm` `-z` `nom de zone` `attach` `zonecfg` `-z` `zonename` peut être utilisé pour modifier `zonepath` et toute autre propriété ou ressource pouvant être modifiée lorsque l'état est Installé.
Installé	`zoneadm` `-z` `nom de zone` `ready` (optionnelle) `zoneadm` `-z` `nom de zone` `boot` `zoneadm` `-z` `nom de zone` `uninstall` désinstalle du système la configuration de la zone spécifiée. `zoneadm` `-z` `nom de zone` `move` `chemin` `zoneadm` `-z` `nom de zone` `detach` La commande `zonecfg` `-z` `zonename` permet d'ajouter ou de supprimer une propriété `attr`, `bootargs`, `capped-memory`, `dataset`, `capped-cpu`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv`, `net`, `rctl` ou `scheduling-class`. Vous pouvez également renommer les zones installées. `zoneadm` `-z` `zonename` `mark` `incomplete` `zoneadm` `-z` `zonename` `mark` `unavailable`
Prêt	`zoneadm` `-z` `nom de zone` `boot` `zoneadm` `halt` et la réinitialisation du système passent les zones prêtes à l'état Installé. La commande `zonecfg` `-z` `zonename` permet d'ajouter ou de supprimer une propriété `attr`, `bootargs`, `capped-memory`, `dataset`, `capped-cpu`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv`, `net`, `rctl` ou `scheduling-class`.
En cours d'exécution	`zlogin` `options` `nom de zone` `zoneadm` `-z` `nom de zone` `reboot` `zoneadm` `-z` `nom de zone` `halt` définit les zones prêtes sur l'état Installé. `zoneadm` `halt` et la réinitialisation du système redéfinissent les zones en cours d'exécution sur l'état Installé. `zoneadm` `- z` `shutdown` permet d'arrêter correctement la zone. La commande `zonecfg` `-z` `zonename` permet d'ajouter ou de supprimer une propriété `attr`, `bootargs`, `capped-memory`, `dataset`, `capped-cpu`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv`, `anet`, `net`, `rctl` ou `scheduling-class`. La ressource `zonepath` ne peut pas être modifiée.

Remarque - Les paramètres modifiés par la commande zonecfg n'ont aucune incidence sur les zones en cours d'exécution. La zone doit être réinitialisée pour que les changements soient effectifs.

Caractéristiques des zones non globales

L'isolement assuré par les zones peut porter sur presque tous les niveaux de granularité souhaités. Une zone peut fonctionner sans CPU dédiée, périphérique physique ou toute autre partie de la mémoire physique. Ces ressources peuvent soit être multiplexées sur un certain nombre de zones en cours d'exécution au sein d'un domaine ou d'un système unique, soit être allouées zone par zone grâce aux fonctions de gestion de ressources disponibles sur le système d'exploitation.

Chaque zone fournit un ensemble personnalisé de services. Pour renforcer l'isolement des processus, il est possible de faire en sorte que seuls les processus existants d'une même zone soient détectés ou signalés. La communication entre les zones s'effectue en dotant chaque zone d'une connectivité réseau IP. Une application s'exécutant dans une zone ne peut observer le trafic réseau d'une autre zone. L'isolement est garanti même si les flux de paquets respectifs transitent par la même interface physique.

Une partie de l'arborescence du système de fichiers est attribuée à chacune des zones. Chaque zone étant confinée à sa subdivision de l'arborescence du système de fichiers, la charge s'exécutant dans une zone particulière ne peut accéder aux données sur disque d'une charge s'exécutant dans une autre zone.

Les fichiers utilisés par des services de noms résident dans la vue du système de fichiers root d'une zone. Les services de noms des différentes zones sont ainsi isolés les uns des autres et les services peuvent être configurés différemment.

Utilisation des fonctions de gestion de ressources avec les zones non globales

Si vous utilisez des fonctions de gestion de ressources, vous devez aligner les limites des contrôles de gestion de ressources sur celles des zones. Cet alignement crée un modèle de machine virtuelle plus complet, dans lequel l'accès aux espaces de noms, l'isolement de sécurité et l'utilisation des ressources sont contrôlés.

Les exigences particulières relatives à l'utilisation des fonctions de gestion de ressources avec des zones sont traitées individuellement dans les chapitres consacrés à ces fonctions.

Services SMF liés aux zones

Les services SMF liés aux zones dans la zone globale incluent notamment :

svc:/system/zones:default: Démarre chaque zone où autoboot=true.
svc:/system/zones-install:default: Effectue l'installation de zones à la première initialisation, si nécessaire.
svc:/application/pkg/zones-proxyd:default: Utilisé par le système d'empaquetage pour fournir des accès aux zones vers le référentiel du système.
svc:/application/pkg/system-repository:default: Serveur de proxy mettant en cache les données pkg et les métadonnées utilisées durant l'installation de la zone et les autres opérations pkg. Reportez-vous aux pages de manuel pkg(1) et pkg(5).
svc:/system/zones-monitoring:default: Contrôle zonestatd.

Le service SMF du client du proxy des zones svc:/application/pkg/zones-proxy-client:default s'exécute uniquement dans la zone non globale. Le service est utilisé par le système d'empaquetage afin de fournir aux zones un accès au référentiel système.

Surveillance des zones non globales

Pour générer un rapport sur l'unité centrale (CPU), la mémoire et l'utilisation du contrôle des ressources pour les zones en cours d'exécution, reportez-vous à la section Utilisation de l'utilitaire zonestat dans une zone non globale. L'utilitaire zonestat fournit également des informations sur l'utilisation de la bande passante du réseau, dans les zones en mode IP exclusif. Une zone en mode IP exclusif possède son propre état d'IP, ainsi qu'une ou plusieurs liaisons de données dédiées.

L'utilitaire fsstat peut être utilisé pour signaler des statistiques d'opérations de fichier relatives aux zones non globales. Reportez-vous à la page de manuel fsstat(1M) et à la section Surveillance des zones non globales à l'aide de l'utilitaire fsstat.

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources Oracle Solaris 11.1 Information Library (Français)