| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 11.1 관리: Oracle Solaris 영역, Oracle Solaris 10 영역 및 리소스 관리 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 11.1 관리: Oracle Solaris 영역, Oracle Solaris 10 영역 및 리소스 관리 Oracle Solaris 11.1 Information Library (한국어) |
8. FSS(Fair Share Scheduler)(개요)
9. FSS(Fair Share Scheduler) 관리(작업)
10. 리소스 상한값 지원 데몬을 사용한 물리적 메모리 제어(개요)
읽기 전용 루트 영역의 file-mac-profile 등록 정보
물리적 메모리 제어 및 capped-memory 리소스
비전역 영역에서 Reliable Datagram Socket 지원
18. 비전역 영역, 설치, 종료, 정지 및 복제 정보(개요)
19. 비전역 영역 설치, 부트, 종료, 정지, 제거 및 복제(작업)
22. 영역 마이그레이션 및 zonep2vchk 도구 정보
23. Oracle Solaris 시스템 마이그레이션 및 비전역 영역(작업) 마이그레이션
24. 영역이 설치된 Oracle Solaris 11.1 시스템의 자동 설치 및 패키지 정보
28. 그 밖의 기타 Oracle Solaris 영역 문제 해결
30. Oracle Solaris 10 시스템 액세스 및 아카이브 만들기
이 절에서는 구성할 수 있는 필수 및 선택적 영역 구성 요소에 대해 설명합니다. 영역 이름과 영역 경로만 필요합니다. 추가 정보는 영역 구성 데이터를 참조하십시오.
영역의 이름 및 경로를 선택해야 합니다. 영역이 ZFS 데이터 세트에 있어야 합니다. ZFS 데이터 세트는 영역을 설치하거나 연결할 때 자동으로 생성됩니다. ZFS 데이터 세트를 만들 수 없을 경우 영역이 설치되거나 연결되지 않습니다. 영역 경로의 부모 디렉토리도 데이터 세트가어야 합니다.
autoboot 등록 정보 설정은 전역 영역이 부트될 때 영역이 자동으로 부트되는지 여부를 결정합니다. 영역 서비스인 svc:/system/zones:default도 사용으로 설정해야 합니다.
solaris 영역에서는 file-mac-profile이 읽기 전용 루트를 사용하여 영역을 구성하는 데 사용됩니다.
자세한 내용은 27 장변경할 수 없는 영역 구성 및 관리를 참조하십시오.
admin 설정을 사용하면 영역 관리 권한 부여를 설정할 수 있습니다. 권한 부여를 정의하는 기본 방법은 zonecfg 명령을 사용하는 것입니다.
사용자 이름을 지정합니다.
사용자 이름에 대한 권한을 지정합니다.
RBAC를 사용 중인 경우 대화식 로그인을 위해 solaris.zone.login/ zonename 권한 부여가 필요합니다. 영역에서는 암호 인증이 수행됩니다.
RBAC가 사용 중인 경우 비대화식 로그인 시 또는 암호 인증을 생략하려면 solaris.zone.manage/zonename 권한이 필요합니다.
RBAC가 사용 중인 경우 다른 영역을 복사하는 하위 명령에 solaris.zone.clonefrom/ source_zone 권한이 필요합니다.
dedicated-cpu 리소스는 비전역 영역이 실행되는 동안 시스템의 일부 프로세서를 해당 영역 전용으로 지정합니다. 영역이 부트될 때 시스템은 영역이 실행 중인 동안 사용할 임시 풀을 동적으로 만듭니다.
zonecfg을 통해 지정한 상태에서는 풀 설정이 마이그레이션 중에 전파됩니다.
dedicated-cpu 리소스는 ncpus 및 importance(옵션)의 제한을 설정합니다.
CPU 수를 지정하거나 2-4개 CPU 등 범위를 지정합니다. 동적 리소스 풀 동작을 원해서 범위를 지정하는 경우 다음 작업도 수행합니다.
importance 등록 정보를 설정합니다.
poold 서비스를 사용으로 설정합니다. 자세한 내용은 svcadm을 사용하여 동적 리소스 풀 서비스를 사용으로 설정하는 방법을 참조하십시오.
CPU 범위를 사용하여 동작 동작을 수행하려면 importance 등록 정보도 설정합니다. importance 등록 정보는 선택 사항으로, 풀의 상대적 중요성을 정의합니다. 이 등록 정보는 ncpus에 대한 범위를 지정하고 poold를 통해 관리되는 동적 리소스 풀을 사용할 때만 필요합니다. poold를 실행하고 있지 않은 경우 importance가 무시됩니다. poold가 실행 중이고 importance가 설정되지 않은 경우 importance의 기본값은 1입니다. 자세한 내용은 pool.importance 등록 정보 제약 조건을 참조하십시오.
주 - capped-cpu 리소스와 dedicated-cpu 리소스는 호환되지 않습니다. cpu-shares rctl과 dedicated-cpu 리소스는 호환되지 않습니다.
capped-cpu 리소스를 사용하면 프로젝트나 영역에서 사용할 수 있는 CPU 리소스 양을 절대적이고 세밀하게 제한할 수 있습니다. CPU 상한값은 프로세서 세트와 함께 사용되는 경우 세트 내에서 CPU 사용을 제한합니다. capped-cpu 리소스에는 소수점 이하 자리 수가 두 개인 양수를 나타내는 단일 ncpus 등록 정보가 있습니다. 이 등록 정보는 CPU 단위에 해당합니다. 리소스는 범위를 허용하지 않습니다. 리소스는 십진수를 허용합니다. ncpus를 지정하는 경우 값 1은 CPU 100%를 의미합니다. 100%가 시스템에서 한 개의 CPU 전체를 의미하므로 값 1.25는 125%를 의미합니다.
주 - capped-cpu 리소스와 dedicated-cpu 리소스는 호환되지 않습니다.
FSS(Fair Share Scheduler))를 사용하여 중요성에 따라 사용 가능한 CPU 리소스 할당을 제어할 수 있습니다. 이 중요성은 각 영역에 지정하는 CPU 리소스의 할당 수로 표현됩니다. FSS를 사용하여 영역 간 CPU 리소스 할당을 관리하기를 원치 않더라도 영역 내에서 프로젝트에 대한 할당을 설정할 수 있도록 영역의 예약 클래스를 설정하여 FSS를 사용할 수 있습니다.
cpu-shares 등록 정보를 명시적으로 설정하는 경우 FSS(Fair Share Scheduler)가 해당 영역에 대한 예약 클래스로 사용됩니다. 하지만 여기서의 기본적인 FSS 사용 방법은 dispadmin 명령을 사용하여 FSS를 시스템 기본 예약 클래스로 설정하는 것입니다. 즉, 모든 영역이 시스템 CPU 리소스를 공정하게 할당받을 수 있습니다. cpu-shares가 영역에 대해 설정되지 않을 경우 영역에서는 시스템의 기본 예약 클래스를 사용합니다. 다음 작업은 영역에 대한 예약 클래스를 설정합니다.
zonecfg에서 scheduling-class 등록 정보를 사용하여 해당 영역에 대한 예약 클래스를 설정할 수 있습니다.
리소스 풀 기능을 통해 영역에 대한 예약 클래스를 설정할 수 있습니다. pool.scheduler 등록 정보가 유효한 예약 클래스로 설정된 풀과 영역이 연결된 경우 영역에서 실행 중인 클래스가 기본적으로 해당 예약 클래스에서 실행됩니다. 리소스 풀 소개 및 풀과 예약 클래스를 연결하는 방법을 참조하십시오.
cpu-shares rctl이 설정되었으며 FSS가 다른 작업을 통해 영역의 예약 클래스로 설정되지 않은 경우 zoneadmd는 영역이 부트될 때 예약 클래스를 FSS로 설정합니다.
다른 작업을 통해 예약 클래스가 설정되지 않은 경우 영역은 시스템 기본 예약 클래스를 상속합니다.
priocntl(1) 매뉴얼 페이지에 설명된 priocntl을 사용하여 기본 예약 클래스와 재부트 없이 실행 중인 프로세스를 다른 예약 클래스로 이동할 수 있습니다.
capped-memory 리소스는 physical, swap 및 locked 메모리에 대한 제한을 설정합니다. 각 제한은 선택 사항이지만 하나 이상의 제한을 설정해야 합니다. capped-memory 리소스를 사용하려면 resource-cap 패키지를 전역 영역에 설치해야 합니다.
전역 영역에서 rcapd를 사용하여 해당 영역에 대한 메모리를 제한하려는 경우 이 리소스의 값을 결정합니다. capped-memory 리소스의 physical 등록 정보는 해당 영역의 max-rss 값으로 사용되는 rcapd에 사용됩니다.
capped-memory 리소스의 swap 등록 정보는 zone.max-swap 리소스 제어를 설정하는 기본 방법입니다.
capped-memory 리소스의 locked 등록 정보는 zone.max-locked-memory 리소스 제어를 설정하는 기본 방법입니다.
주 - 응용 프로그램은 일반적으로 많은 양의 메모리를 잠그지 않지만, 영역의 응용 프로그램이 메모리를 잠그는 것으로 알려진 경우에는 잠김 메모리를 설정할 수 있습니다. 영역 신뢰가 문제가 되는 경우 잠긴 메모리 상한값을 시스템의 물리적 메모리 중 10% 또는 영역 물리적 메모리 상한값의 10%로 설정하는 것을 고려해 볼 수도 있습니다.
자세한 내용은 10 장리소스 상한값 지원 데몬을 사용한 물리적 메모리 제어(개요), 11 장리소스 상한값 지원 데몬 관리(작업) 및 영역 구성 방법을 참조하십시오. 영역에 대한 리소스 상한값을 임시로 설정하려면 영역에 대한 임시 리소스 상한값을 지정하는 방법을 참조하십시오.
zonecfg 유틸리티의 선택적 rootzpool 리소스는 영역 설치를 위한 전용 ZFS zpool을 만드는 데 사용됩니다. 영역 루트 ZFS zpool은 하나 이상의 URI(Universal Resource Identifier)로 정의된 공유 저장소 장치에서 호스트될 수 있습니다. 필수 storage 등록 정보는 영역의 루트 zfs 파일 시스템을 포함할 저장소 객체 URI를 식별합니다. 지정된 영역에 대해 rootzpool을 하나만 정의할 수 있습니다. 영역이 부트될 때 영역의 저장소가 자동으로 구성됩니다.
영역 설치 또는 영역 연결 작업 중 해당하는 zpool을 자동으로 만들거나 가져옵니다. 영역을 제거하거나 분리하면 다음 작업이 수행됩니다.
저장소 리소스가 자동으로 구성 해제됩니다.
해당 zpool이 자동으로 내보내지거나 삭제됩니다.
미리 만든 zpool을 영역 설치에 다시 사용하려면 시스템에서 zpool을 내보내야 합니다.
영역 프레임워크에서는 다음 URI 유형을 지원합니다.
dev
로컬 장치 경로 URI
형식:
dev:local-path-under-/dev dev://absolute-path-with-dev dev:absolute-path-with-dev
예:
dev:dsk/c7t0d0s0 dev:///dev/dsk/c7t0d0s0 dev:/dev/dsk/c7t0d0s0
lu(논리 장치)
FC(광섬유 채널) 및 SAS(직렬 연결 SCSI)
형식:
lu:luname.naa.ID lu:initiator.naa.ID,target.naa.ID,luname.naa.ID
예:
lu:luname.naa.5000c5000288fa25 lu:initiator.naa.2100001d38089fb0,target.naa.2100001d38089fb0,luname.naa.5000c5000288fa25
iscsi
iSCSI URI
형식:
iscsi:///luname.naaID iscsi://host[:port]/luname.naa.ID
예:
iscsi:///luname.naa.600144f03d70c80000004ea57da10001 iscsi://[::1]/luname.naa.600144f03d70c80000004ea57da10001 iscsi://127.0.0.1/luname.naa.600144f03d70c80000004ea57da10001 iscsi://127.0.0.1:3620/luname.naa.600144f03d70c80000004ea57da10001 iscsi://hostname:3620/luname.naa.600144f03d70c80000004ea57da10001
suriadm 도구는 저장소 URI를 기반으로 공유 객체를 관리하는 데 사용됩니다. ID, NAA(Name Address Authority) 및 기존 저장소 객체의 URI 얻기에 대한 자세한 내용은 suriadm(1M) 및 suri(5) 매뉴얼 페이지를 참조하십시오.
시스템에서는 연관된 영역에 대해 새로 만들거나 가져온 rootzpool의 이름을 지정합니다. 지정된 이름의 형식은 zonename _rpool입니다.
storage 등록 정보는 rootzpool 리소스 범위 내에서 다음 명령을 사용하여 관리됩니다.
add storage URI 문자열
remove storage URI 문자열
zonecfg 유틸리티에 선택적 zpool 리소스를 구성하여 zpool을 비전역 영역에 위임할 수 있습니다. 영역이 부트될 때 영역의 zpool이 자동으로 구성됩니다.
영역 설치 또는 영역 연결 작업 중 해당하는 zpool을 자동으로 만들거나 가져옵니다.
영역을 제거하거나 분리하면 다음 작업이 수행됩니다.
저장소 리소스가 자동으로 구성 해제됩니다.
해당 zpool이 자동으로 내보내지거나 삭제됩니다.
필수 storage 등록 정보는 이 리소스와 연관된 저장소 객체 URI를 식별합니다.
storage 등록 정보는 zpool 리소스 범위 내에서 다음 설정을 사용하여 관리됩니다.
add storage URI 문자열
remove storage URI 문자열
zpool 리소스에는 name 등록 정보가 필수입니다. 이 등록 정보는 영역에 위임된 zpool의 이름에서 사용됩니다. ZFS 파일 시스템 name 구성 요소에 슬래시(/)를 포함할 수 없습니다.
새로 만들거나 가져온 zpool에 지정된 이름의 형식은 zonename_name 입니다. 이 이름은 비전역 영역 내부에서 표시되는 zpool 이름입니다.
zonecfg 유틸리티에서 네트워크 연결을 제공하기 위해 구성된 영역 네트워크 인터페이스는 영역이 부트될 때 자동으로 설정되어 영역에 배치됩니다.
IP(인터넷 프로토콜) 계층은 네트워크의 패킷을 받고 전달합니다. 이 계층에는 IP 경로 지정, ARP(Address Resolution Protocol), IPsec(IP 보안 구조) 및 IP 필터가 포함됩니다.
비전역 영역에 사용할 수 있는 IP 유형에는 공유 IP와 배타적 IP라는 두 가지 유형이 있습니다. 배타적 IP는 기본 IP 유형입니다. 공유 IP 영역은 전역 영역과 네트워크 인터페이스를 공유합니다. 공유 IP 영역을 사용하려면 ipadm 유틸리티를 통해 전역 영역의 구성을 수행해야 합니다. 배타적 IP 영역에는 전용 네트워크 인터페이스가 있어야 합니다. anet 리소스를 사용하여 배타적 IP 영역이 구성된 경우 전용 VNIC가 자동으로 만들어지고 해당 영역에 지정됩니다. 자동화된 anet 리소스를 사용하면 전역 영역에서 데이터 링크를 생성 및 구성하고 데이터 링크를 비전역 영역에 지정할 필요가 없습니다. anet 리소스를 사용하여 다음을 수행합니다.
전역 영역 관리자가 비전역 영역에 지정된 데이터 링크에 대한 특정 이름을 선택할 수 있습니다.
여러 영역에서 동일한 이름의 데이터 링크를 사용할 수 있습니다.
이전 버전과의 호환성을 위해 미리 구성된 데이터 링크를 비전역 영역에 지정할 수 있습니다.
각 유형의 IP 기능에 대한 자세한 내용은 공유 IP 비전역 영역의 네트워킹 및 배타적 IP 비전역 영역의 네트워킹을 참조하십시오.
주 - 영역을 실행하는 시스템에서 Oracle Solaris Administration: Network Interfaces and Network Virtualization의 20 장, Using Link Protection in Virtualized Environments에 설명된 링크 보호를 사용할 수 있습니다. 이 기능은 전역 영역에서 구성됩니다.
데이터 링크는 OSI 프로토콜 스택의 계층 2에 있는 인터페이스로, 시스템에서 STREAMS DLPI(v2) 인터페이스로 표현됩니다. 이러한 인터페이스는 TCP/IP 등 프로토콜 스택에서 연결될 수 있습니다. 데이터 링크는 NIC(네트워크 인터페이스 카드)과 같은 물리적 인터페이스라고도 합니다. 데이터링크는 zonecfg (1M)을 사용하여 구성된 physical 등록 정보입니다. physical 등록 정보는 Oracle Solaris Administration: Network Interfaces and Network Virtualization의 제III부, Network Virtualization and Resource Management에서 설명한 대로 VNIC일 수 있습니다.
예를 들어 e1000g0 및 bge1과 같은 물리적 인터페이스, bge3과 같은 NIC, aggr1 및 aggr2와 같은 합계 또는 e1000g123000 및 bge234003과 같은 VLAN 태그된 인터페이스(각각 e1000g0의 VLAN123과 bge3의 VLAN234)는 모두 데이터 링크입니다.
IPoIB(IP over Infiniband)에 대한 자세한 내용은 리소스 유형 등록 정보에서 anet 설명을 참조하십시오.
공유 IP 영역은 전역 영역의 기존 IP 인터페이스를 사용합니다. 영역에는 전용 IP 주소가 하나 이상 있어야 합니다. 공유 IP 영역은 IP 계층 구성 및 상태를 전역 영역과 공유합니다. 다음 두 가지 조건이 모두 참이면 영역은 공유 IP 인스턴스를 사용해야 합니다.
비전역 영역은 전역 및 비전역 영역이 동일 서브넷에 있는지 여부와 상관없이 전역 영역에서 사용되는 동일한 데이터 링크를 사용합니다.
배타적 IP 영역이 제공하는 다른 기능은 필요하지 않습니다.
공유 IP 영역에는 zonecfg 영역의 net리소스를 사용하여 하나 이상의 주소가 지정됩니다. 전역 영역에서 데이터 링크 이름도 구성해야 합니다.
zonecfg net 리소스에서 address 및 physical 등록 정보를 설정해야 합니다. defrouter 등록 정보는 선택 사항입니다.
전역 영역의 공유 IP 네트워킹 구성을 사용하려면 자동 네트워크 구성이 아닌 ipadm를 사용해야 합니다. ipadm을 통해 네트워킹 구성이 수행되는지 여부를 확인하려면 다음 명령을 실행합니다. 표시되는 응답이 DefaultFixed여야 합니다.
# svcprop -p netcfg/active_ncp svc:/network/physical:default DefaultFixed
공유 IP 영역에 지정된 IP 주소는 논리 네트워크 인터페이스와 연결됩니다.
전역 영역에서 ipadm 명령을 사용하여 실행 중인 영역에서 논리 인터페이스를 지정하거나 제거할 수 있습니다.
인터페이스를 추가하려면 다음 명령을 사용합니다.
global# ipadm set-addrprop -p zone=my-zone net0/addr1
인터페이스를 제거하려면 다음 명령 중 하나를 사용합니다.
global# ipadm set-addrprop -p zone=global net0/addr
또는
global# ipadm reset-addrprop -p zone net0/addr1
자세한 내용은 공유 IP 네트워크 인터페이스를 참조하십시오.
배타적 IP는 비전역 영역을 위한 기본 네트워킹 구성입니다.
하나의 배타적 IP 영역에는 하나 이상의 전용 데이터 링크와 고유한 IP 관련 상태가 지정됩니다.
배타적 IP 영역에서 다음 기능을 사용할 수 있습니다.
TCP/UDP/SCTP 및 IP/ARP 레벨 조정 가능 매개변수 설정용 ipadm
IPsec 보안 연결을 위한 인증된 키 관련 자료 프로비저닝을 자동화하는 IKE(Internet Key Exchange)와 IPSec(IP 보안)
배타적 IP 영역을 구성하는 방법에는 두 가지가 있습니다.
zonecfg 유틸리티의 anet 리소스 사용을 사용하여 영역이 부트될 때 영역의 임시 VNIC를 자동으로 생성하고 영역이 정지할 때 삭제합니다.
zonecfg 유틸리티의 net 리소스를 사용하여 전역 영역에서 데이터 링크를 미리 구성하고 배타적 IP 영역에 지정합니다. net 리소스의 physical 등록 정보를 사용하여 데이터 링크가 지정됩니다. physical 등록 정보는 Oracle Solaris Administration: Network Interfaces and Network Virtualization의 제III부, Network Virtualization and Resource Management에서 설명한 대로 VNIC일 수 있습니다. net 리소스의 address 등록 정보는 설정되지 않습니다.
기본적으로 배타적 IP 영역은 연결된 인터페이스의 IP 주소를 구성하고 사용할 수 있습니다. 또는 allowed-address 등록 정보를 사용하여 쉼표로 구분된 IP 주소 목록을 지정할 수 있습니다. 배타적 IP 영역은 allowed-address 목록에 없는 IP 주소를 사용할 수 없습니다. 또한, allowed-address 목록의 모든 주소는 영역이 부트될 때 배타적 IP 영역에 대해 자동으로 영구 구성됩니다. 이 인터페이스 구성을 원치 않는 경우에는 configure-allowed-address 등록 정보를 false로 설정해야 합니다. 기본값은 true입니다.
지정된 데이터 링크는 snoop 명령을 사용으로 설정합니다.
dladm 명령을 show-linkprop 하위 명령과 함께 사용하여 실행 중인 배타적 IP 영역에 데이터 링크의 할당을 표시할 수 있습니다. dladm 명령을 set-linkprop 하위 명령과 함께 사용하여 실행 중인 영역에 추가 데이터 링크를 지정할 수 있습니다. 사용 예는 배타적 IP 비전역 영역에서 데이터 링크 관리를 참조하십시오.
고유한 데이터 링크 세트가 지정된 실행 중인 배타적 IP 영역 내부에서는 ipadm 명령을 사용하여 IP를 구성합니다. 여기에는 논리적 인터페이스를 추가하거나 제거할 수 있는 기능이 포함됩니다. sysconfig(1M) 매뉴얼 페이지에 설명된 sysconfig 인터페이스를 사용하여 전역 영역에서와 똑같이 영역 내 IP 구성을 설정할 수 있습니다.
배타적 IP 영역의 IP 구성은 zlogin 명령을 사용하여 전역 영역에서만 볼 수 있습니다.
global# zlogin zone1 ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 nge0/_b dhcp ok 10.134.62.47/24 lo0/v6 static ok ::1/128 nge0/_a addrconf ok fe80::2e0:81ff:fe5d:c630/10
RDS(Reliable Datagram Socket) IPC 프로토콜은 배타적 IP 및 공유 IP 비전역 영역 모두에서 지원됩니다. RDSv3 드라이버는 SMF 서비스 rds로 사용 가능합니다. 기본적으로 이 서비스는 설치 후 사용 안함으로 설정됩니다. 적절한 권한이 부여된 영역 관리자가 주어진 비전역 영역 내에서 이 서비스를 사용으로 설정할 수 있습니다. zlogin 후 rds를 실행할 각 영역에서 사용으로 설정할 수 있습니다.
예 16-1 비전역 영역에서 rds 서비스를 사용으로 설정하는 방법
배타적 IP 또는 공유 IP 영역에서 RDSv3 서비스를 사용으로 설정하려면 zlogin하고 svcadm enable 명령을 실행합니다.
# svcadm enable rds
rds가 사용으로 설정되어 있는지 확인합니다.
# svcs rds
STATE STIME FMRI
online 22:50:53 svc:/system/rds:default자세한 내용은 svcadm(1M) 매뉴얼 페이지를 참조하십시오.
공유 IP 영역에서는 슈퍼 유저를 비롯하여 영역의 응용 프로그램이 zonecfg 유틸리티를 통해 영역에 지정된 주소와는 다른 소스 IP 주소와 함께 패킷을 전송할 수 없습니다. 이 영역 유형에는 임의 데이터 링크(계층 2) 패킷을 보내고 받을 수 있는 권한이 없습니다.
배타적 IP 영역의 경우 대신에 zonecfg는 지정된 전체 데이터 링크를 영역에 부여합니다. 결과적으로 배타적 IP 영역에서는 슈퍼 유저나 필요한 권한 프로파일을 가진 사용자가 전역 영역에서처럼 이러한 데이터 링크를 통해 스푸핑된 패킷을 보낼 수 있습니다. allowed-address 등록 정보를 설정하여 IP 주소 스푸핑을 사용 안함으로 설정할 수 있습니다. anet 리소스의 경우 mac-nospoof 및 dhcp-nospoof 등 추가 보호는 link-protection 등록 정보를 설정하여 사용으로 설정할 수 있습니다.
공유 IP 영역은 항상 IP 계층을 전역 영역과 공유하며 배타적 IP 영역은 항상 IP 계층의 고유 인스턴스를 가지고 있습니다. 공유 IP 영역과 배타적 IP 영역 둘 다 동일한 시스템에서 사용할 수 있습니다.
각 영역에는 기본적으로 ZFS 데이터 세트가 위임됩니다. 이 기본 위임 데이터 세트는 기본 전역 영역 데이터 세트 레이아웃의 데이터 세트 레이아웃을 대신합니다. .../rpool/ROOT라고 하는 데이터 세트에는 부트 환경이 포함되어 있습니다. 이 데이터 세트는 직접 조작하면 안 됩니다. 존재해야 하는 rpool 데이터 집합은 기본적으로 ... /rpool에서 마운트됩니다. .../rpool/export 및 .../rpool/export/home 데이터 집합은 /export 및 /export/home에서 마운트됩니다. 이러한 비전역 영역 데이터 세트는 해당 전역 영역 데이터 세트와 동일하게 사용되며 동일한 방식으로 관리할 수 있습니다. 영역 관리자는 .../rpool, .../rpool/export 및 ... /rpool/export/home 데이터 집합 내에서 추가 데이터 집합을 만들 수 있습니다.
영역의 rpool/ROOT 파일 시스템에서 시작되는 계층 내에서 파일 시스템을 만들거나 삭제하거나 이름을 바꾸기 위해 zfs(1M) 매뉴얼 페이지에 설명된 zfs 명령을 사용하면 안됩니다. zfs 명령은 canmount, mountpoint, sharesmb, zoned, com.oracle. *:*, com.sun: * 및 org.opensolaris. *.* 외의 등록 정보를 설정하는 데 사용할 수 있습니다.
일반적으로 영역에 마운트된 파일 시스템에는 다음 항목이 포함됩니다.
가상 플랫폼이 초기화될 때 마운트된 파일 시스템 세트
응용 프로그램 환경 자체 내에서 마운트된 파일 시스템 세트
예를 들어 이러한 세트에는 다음과 같은 파일 시스템이 포함될 수 있습니다.
canmount 등록 정보의 값이 yes인 legacy 또는 none 이외의 mountpoint를 사용하는 ZFS 파일 시스템
영역의 /etc/vfstab 파일에 지정된 파일 시스템
AutoFS 및 AutoFS 트리거 마운트 autofs 등록 정보는 sharectl(1M)에 설명된 sharectl을 사용하여 설정됩니다.
영역 관리자가 명시적으로 수행하는 마운트
실행 중인 영역 내 파일 시스템 마운트 권한도 zonecfg fs-allowed 등록 정보를 통해 정의됩니다. 이 등록 정보는 zonecfg add fs 또는 add dataset 리소스를 사용하여 영역에 마운트된 파일 시스템에는 적용되지 않습니다. 기본적으로 영역의 기본 위임 데이터 세트 내 파일 시스템, hsfs 파일 시스템 및 네트워크 파일 시스템(예: NFS)의 마운트만 영역 내에서 허용됩니다.
 | 주의 - 특정 제한은 응용 프로그램 환경 내에서 수행되는 기본값과 다른 마운트에만 적용됩니다. 이러한 제한으로 인해 영역 관리자는 시스템의 나머지 부분에 대한 서비스를 거부하지 못합니다. 그렇지 않으면 다른 영역에 부정적인 영향을 미치게 됩니다. |
영역 내 특정 파일 시스템 마운트와 관련하여 보안 제한이 있습니다. 영역에서 다른 파일 시스템이 마운트될 경우 특정 동작을 나타냅니다. 자세한 내용은 파일 시스템 및 비전역 영역을 참조하십시오.
데이터 세트에 대한 자세한 내용은 datasets(5) 매뉴얼 페이지를 참조하십시오. BE에 대한 자세한 내용은 Oracle Solaris 11.1 부트 환경 만들기 및 관리를 참조하십시오
pkg(5) 매뉴얼 페이지에 설명된 대로 영역 시스템 이미지의 일부인 파일, 심볼릭 링크 또는 디렉토리를 숨기는 방식으로 파일 시스템을 마운트할 수 없습니다. 예를 들어 /usr/local에 컨텐츠를 제공하는 패키지가 설치되지 않은 경우 파일 시스템을 /usr/local에 마운트할 수 있습니다. 그러나 레거시 SVR4 패키지를 비롯한 패키지가 /usr/local로 시작되는 경로에 파일, 디렉토리 또는 심볼릭 링크를 제공하는 경우 파일 시스템을 /usr/local에 마운트할 수 없습니다. 파일 시스템을 /mnt에 임시로 마운트할 수 있습니다.
/export가 영역의 rpool/export 데이터 세트나 다른 위임된 데이터 세트에서 제공되는 경우 영역에서 파일 시스템이 마운트되는 순서로 인해 fs 리소스가 파일 시스템을 /export/filesys에 마운트할 수 없습니다.
전역 영역의 hostid와는 다른 비전역 영역에 대한 hostid 등록 정보를 설정할 수 있습니다. 예를 들면 다른 시스템의 영역으로 마이그레이션된 시스템의 경우에 이와 같이 설정할 수 있습니다. 이제 영역 내 응용 프로그램은 원래의 hostid에 따라 다를 수 있습니다. 자세한 내용은 리소스 유형과 등록 정보를 참조하십시오.
zonecfg 명령은 규칙 일치 시스템을 사용하여 특정 영역에 표시되어야 할 장치를 지정합니다. 규칙 중 하나와 일치하는 장치가 영역의 /dev 파일 시스템에 포함됩니다. 자세한 내용은 영역 구성 방법을 참조하십시오.
비전역 영역에서는 CD-ROM 장치처럼 작동하는 이동식 루프백 파일 lofi 장치를 구성할 수 있습니다. 장치가 매핑되는 파일을 변경하고 동일한 파일을 읽기 전용 모드로 사용할 여러 lofi 장치를 만들 수 있습니다. 이러한 유형의 lofi 장치는 lofiadm 명령을 -r 옵션과 함께 사용하여 만듭니다. 만들 때 파일 이름은 필요하지 않습니다. 이동식 lofi 장치의 수명 주기 동안 파일을 빈 장치와 연결하거나 비어 있지 않은 장치와의 연결을 해제할 수 있습니다. 파일을 동시에 여러 이동식 lofi 장치와 안전하게 연결할 수 있습니다. 이동식 lofi 장치는 읽기 전용입니다. 일반 읽기 쓰기 lofi 장치나 이동식 lofi 장치에 매핑된 파일을 다시 매핑할 수 없습니다. 잠재적 lofi 장치 수는 zone.max-lofi 리소스 제어로 제한되며, 이 리소스 제어는 전역 영역에서 zonecfg(1M)를 사용하여 설정할 수 있습니다.
생성된 후에는 이동식 lofi 장치는 읽기 전용입니다. 이동식 lofi 장치에 쓰기 작업이 수행되면 lofi 드라이버에서 오류를 반환합니다.
lofiadm 명령은 이동식 lofi 장치를 나열하는 데에도 사용됩니다.
예 16-2 연결된 파일이 있는 이동식 lofi 장치 만들기
# lofiadm -r /path/to/file /dev/lofi/1
예 16-3 빈 이동식 lofi 장치 만들기
# lofiadm -r /dev/lofi/2
예 16-4 이동식 lofi 장치에 파일 삽입
# lofiadm -r /path/to/file /dev/lofi/1 /dev/lofi/1
자세한 내용은 lofiadm(1M), zonecfg(1M) 및 lofi(7D) 매뉴얼 페이지를 참조하십시오. 영역 전체 리소스 제어도 참조하십시오.
zonecfg 도구를 통해 디스크 분할 및 uscsi 명령 사용을 가능하도록 설정합니다. 관련 예는 리소스 유형 등록 정보의 device를 참조하십시오. uscsi 명령에 대한 자세한 내용은 uscsi(7I)를 참조하십시오.
위임은 solaris 영역에 대해서만 지원됩니다.
디스크는 표시된 것처럼 -D 옵션과 prtconf 명령을 함께 사용하여 sd 대상을 사용해야 합니다. prtconf(1M)를 참조하십시오.
영역이 부트될 때 구성에 기본 안전 권한 세트가 포함됩니다. 영역의 권한 부여된 프로세스는 시스템의 다른 비전역 영역 또는 전역 영역의 프로세스에 영향을 주지 않으므로 이러한 권한은 안전한 것으로 간주됩니다. zonecfg 명령을 사용하여 다음을 수행할 수 있습니다.
전역 리소스를 제어할 수 있게 됨에 따라 이러한 변경으로 인해 한 영역의 프로세스가 다른 영역의 프로세스에 영향을 줄 수 있음을 고려하여 기본 권한 세트에 추가합니다.
이러한 권한을 실행해야 하는 경우 이러한 변경으로 인해 일부 프로세스가 올바르게 작동하지 못할 수도 있다는 점을 고려하여 기본 권한 세트에서 제거합니다.
주 - 영역의 기본 권한 세트에서 제거할 수 없는 권한이 있는 반면, 이러한 세트에 추가할 수 없는 권한도 있습니다.
자세한 내용은 비전역 영역의 권한, 영역 구성 방법 및 privileges(5)를 참조하십시오.
13 장리소스 풀 만들기 및 관리(작업)의 설명에 따라 시스템에서 리소스 풀을 구성한 경우 pool 등록 정보를 사용하여 영역을 구성할 때 리소스 풀 중 하나를 영역에 연결할 수 있습니다.
리소스 풀을 구성하지 않은 경우 dedicated-cpu 리소스를 사용하여 비전역 영역을 실행하는 동안 시스템의 일부 프로세서를 해당 영역 전용으로 지정할 수 있습니다. 영역이 실행 중인 동안 시스템에서 사용할 임시 풀을 동적으로 만듭니다. zonecfg를 통해 지정한 상태에서는 풀 설정이 마이그레이션 중에 전파됩니다.
주 - pool 등록 정보를 통해 설정된 지속성 풀을 사용하는 영역 구성은 dedicated-cpu 리소스를 통해 구성된 임시 풀과 호환되지 않습니다. 이러한 두 가지 등록 정보 중 하나만 설정할 수 있습니다.
영역 관리자 또는 해당 권한을 가진 사용자는 영역에 대해 권한 부여된 영역 전체 리소스 제어를 설정할 수 있습니다. 영역 전체 리소스 제어는 영역 내에서 모든 프로세스 항목의 총 리소스 사용을 제한합니다.
이러한 제한은 zonecfg 명령을 사용하여 전역 및 비전역 영역 모두에 대해 지정됩니다. 영역 구성 방법을 참조하십시오.
영역 전체 리소스 제어를 설정하기 위한 보다 간단한 기본적인 방법은 rctl 리소스(예: cpu-cap) 대신에 capped-cpu와 같은 등록 정보 이름 또는 리소스를 사용하는 것입니다.
zone.cpu-cap 리소스 제어는 영역에 사용될 수 있는 CPU 리소스의 양에 대한 절대적 제한을 설정합니다. 값 100은 한 CPU의 100%를 설정함을 의미합니다. 100%는 CPU 상한값을 사용할 때 시스템의 CPU 하나 전체에 해당하므로 125 값은 125%입니다.
주 - capped-cpu 리소스를 설정할 때 단위로 십진수를 사용할 수 있습니다. 이 값은 zone.cpu-cap 리소스 제어와 상관되지만 설정이 100분의 1로 낮춰집니다. 설정 1은 리소스 제어의 설정 100에 해당합니다.
zone.cpu-shares 리소스 제어는 영역에 대해 FSS(Fair Share Scheduler) CPU 할당에 대한 제한을 설정합니다. 먼저 CPU 할당이 영역에 할당되고 나서 project.cpu-shares 항목에 지정된 대로 영역 내 여러 프로젝트에 세분됩니다. 자세한 내용은 영역이 설치된 Oracle Solaris 시스템에서 Fair Share Scheduler 사용을 참조하십시오. 이 컨트롤의 전역 등록 정보 이름은 cpu-shares입니다.
zone.max-locked-memory 리소스 제어는 영역에 사용할 수 있는 잠긴 물리적 메모리의 양을 제한합니다. 영역 내 프로젝트 전체에 대해 잠긴 메모리 리소스 할당은 project.max-locked-memory 리소스 제어를 사용하여 제어할 수 있습니다. 자세한 내용은 표 6-1을 참조하십시오.
zone.max-lofi 리소스 제어는 영역에서 생성할 수 있는 잠재적 lofi 장치 수를 제한합니다.
zone.max-lwps 리소스 제어는 한 영역의 너무 많은 LWP가 다른 영역에 영향을 주지 않도록 함으로써 리소스 격리를 향상시킵니다. 영역 내 프로젝트 간의 LWP 리소스 할당은 project.max-lwps 리소스 제어를 사용하여 제어할 수 있습니다. 자세한 내용은 표 6-1을 참조하십시오. 이 컨트롤의 전역 등록 정보 이름은 max-lwps입니다.
zone.max-processes 리소스 제어는 한 영역에서 너무 많은 프로세스 테이블 슬롯을 사용하여 다른 영역에 영향을 주지 못하게 함으로써 리소스 격리를 향상시킵니다. 영역 내 프로젝트 간의 프로세스 테이블 슬롯 리소스 할당은 사용 가능한 리소스 제어에 설명된 project.max-processes 리소스 제어를 사용하여 설정할 수 있습니다. 이 컨트롤의 전역 등록 정보 이름은 max-processes입니다. zone.max-processes 리소스 제어는 zone.max-lwps 리소스 제어를 포함할 수도 있습니다. zone.max-processes가 설정되고 zone.max-lwps가 설정되지 않은 경우 영역이 부트될 때 zone.max-lwps가 암시적으로 zone.max-processes 값의 10배로 설정됩니다. 일반 프로세스와 좀비 프로세스는 모두 프로세스 테이블 슬롯을 사용하기 때문에 max-processes 컨트롤은 좀비 프로세스가 프로세스 테이블을 소모하지 못하도록 방지합니다. 좀비 프로세스에는 정의상 LWP가 없으므로 max-lwps가 이 가능성으로부터 보호할 수 없습니다.
zone.max-msg-ids, zone.max-sem-ids , zone.max-shm-ids 및 zone.max-shm-memory 리소스 제어는 영역 내 모든 프로세스에 사용되는 시스템 V 리소스를 제한하는 데 사용됩니다. 영역 내 프로젝트 간의 시스템 V 리소스 할당은 이러한 리소스 제어의 프로젝트 버전을 사용하여 제어할 수 있습니다. 이러한 컨트롤의 전역 등록 정보 이름은 max-msg-ids, max-sem-ids, max-shm-ids 및 max-shm-memory입니다.
zone.max-swap 리소스 제어는 영역 내 tmpfs 마운트와 사용자 프로세스 주소 공간 매핑에 사용되는 스왑을 제한합니다. prstat -Z의 출력에 SWAP 열이 표시됩니다. 보고된 스왑은 영역의 프로세스 및 tmpfs 마운트에서 사용된 총 스왑입니다. 이 값은 zone.max-swap 설정을 선택하는 데 사용할 수 있는 각 영역에 예약된 스왑을 모니터링하는 데 도움이 됩니다.
표 16-1 영역 전체 리소스 제어
|
prctl 명령을 사용하여 프로세스 실행을 위해 이러한 제한을 지정할 수 있습니다. prctl 명령을 사용하여 전역 영역에서 FSS 할당을 설정하는 방법에는 이와 관련된 예가 제공됩니다. prctl 명령을 통해 지정된 제한은 지속적이지 않습니다. 시스템을 재부트할 때까지만 제한이 적용됩니다.
attr 리소스 유형을 사용하여 영역에 대한 설명을 추가할 수 있습니다. 자세한 내용은 영역 구성 방법을 참조하십시오.
|