JavaScript is required to for searching.
跳过导航链接
退出打印视图
Oracle Solaris 11.1 管理:Oracle Solaris Zones、Oracle Solaris 10 Zones 和资源管理     Oracle Solaris 11.1 Information Library (简体中文)
search filter icon
search icon

文档信息

前言

第 1 部分Oracle Solaris 资源管理

1.  资源管理介绍

2.  项目和任务(概述)

3.  管理项目和任务

4.  扩展记帐(概述)

5.  管理扩展记帐(任务)

6.  资源控制(概述)

7.  管理资源控制(任务)

8.  公平份额调度器(概述)

9.  管理公平份额调度器(任务)

10.  使用资源上限设置守护进程控制物理内存(概述)

11.  管理资源上限设置守护进程(任务)

12.  资源池(概述)

13.  创建和管理资源池(任务)

14.  资源管理配置示例

第 2 部分Oracle Solaris Zones

15.  Oracle Solaris Zones 介绍

16.  非全局区域配置(概述)

17.  规划和配置非全局区域(任务)

18.  关于安装、关闭、停止、卸载和克隆非全局区域(概述)

19.  安装、引导、关闭、停止、卸载和克隆非全局区域(任务)

20.  非全局区域登录(概述)

21.  登录到非全局区域(任务)

22.  关于区域迁移和 zonep2vchk 工具

23.  迁移 Oracle Solaris 系统和迁移非全局区域(任务)

24.  关于安装了区域的 Oracle Solaris 11.1 系统上的自动安装和软件包

25.  Oracle Solaris Zones 管理(概述)

全局区域可见性和访问权限

区域中的进程 ID 可见性

区域中的系统可查看性

利用 zonestat 实用程序报告活动区域统计信息

使用 fsstat 实用程序监视非全局区域

非全局区域节点名称

在区域内运行 NFS 服务器

文件系统和非全局区域

-o nosuid 选项

在区域中挂载文件系统

在区域中卸载文件系统

安全限制和文件系统行为

作为 NFS 客户机的非全局区域

在区域中禁止使用 mknod

遍历文件系统

从全局区域中访问非全局区域的限制

共享 IP 非全局区域中的联网

共享 IP 区域分区

共享 IP 网络接口

同一计算机上共享 IP 区域之间的 IP 通信

共享 IP 区域中的 Oracle Solaris IP 过滤器

共享 IP 区域中的 IP 网络多路径

专用 IP 非全局区域中的联网

专用 IP 区域分区

专用 IP 数据链路接口

同一计算机上专用 IP 区域之间的 IP 通信

专用 IP 区域中的 Oracle Solaris IP 过滤器

专用 IP 区域中的 IP 网络多路径

非全局区域中的设备使用

/dev/devices 名称空间

专用设备

设备驱动程序管理

在非全局区域中无法使用或者修改的实用程序

无法在非全局区域中使用的实用程序

SPARC: 修改为可在非全局区域中使用的实用程序

允许具有安全含义的实用程序

在非全局区域中运行应用程序

在非全局区域中使用的资源控制

安装了区域的系统上的公平份额调度器

全局或非全局区域中的 FSS 份额分配

区域之间的份额平衡

安装了区域的系统上的扩展记帐

非全局区域中的特权

在区域中使用 IP 安全体系结构

共享 IP 区域中的 IP 安全体系结构

专用 IP 区域中的 IP 安全体系结构

在区域中使用 Oracle Solaris 审计

区域中的核心文件

在非全局区域中运行 DTrace

关于备份安装了区域的 Oracle Solaris 系统

备份回送文件系统目录

在全局区域中备份系统

在系统上备份单个非全局区域

创建 Oracle Solaris ZFS 备份

确定在非全局区域中备份的内容

仅备份应用程序数据

常规数据库备份操作

磁带备份

关于恢复非全局区域

在安装了区域的系统上使用的命令

26.  管理 Oracle Solaris Zones(任务)

27.  配置和管理不可编辑的区域

28.  各种 Oracle Solaris Zones 问题的故障排除

第 3 部分Oracle Solaris 10 Zones

29.  Oracle Solaris 10 Zones 介绍

30.  评估 Oracle Solaris 10 系统和创建归档文件

31.  (可选)将 Oracle Solaris 10 native 非全局区域迁移到 Oracle Solaris 10 Zones

32.  配置 solaris10 标记区域

33.  安装 solaris10 标记区域

34.  引导区域、登录和区域迁移

词汇表

索引

非全局区域中的特权

仅允许进程拥有部分特权。特权限制可防止某个区域执行可能会影响其他区域的操作。通过特权设置,可以限制区域内特权用户的功能。要显示指定区域内可用特权的列表,请使用 ppriv 实用程序。

下表列出了所有 Oracle Solaris 特权以及每个特权相对于区域的状态。缺省特权集不包含可选的特权,但可以通过 limitpriv 属性指定它们。最终的特权集中必须包含必需特权。最终的特权集中不能包含禁止特权。

表 25-1 区域中特权的状态

特权
状态
附注
cpc_cpu
可选的
访问某些 cpc(3CPC) 计数器的权限
dtrace_proc
可选的
fasttrappid 提供器;plockstat(1M)
dtrace_user
可选的
profilesyscall 提供器
graphics_access
可选的
访问 agpgart_io(7I) 的 ioctl(2)
graphics_map
可选的
访问 agpgart_io(7I) 的 mmap(2)
net_rawaccess
在共享 IP 区域中为可选的。

在专用 IP 区域中为缺省值。

原始 PF_INET/PF_INET6 包访问权限
proc_clock_highres
可选的
使用高精度计时器
proc_priocntl
可选的
调度控制;priocntl(1)
sys_ipc_config
可选的
增加 IPC 消息队列缓冲区大小
sys_time
可选的
系统时间处理;xntp(1M)
dtrace_kernel
禁止
当前不支持
proc_zone
禁止
当前不支持
sys_config
禁止
当前不支持
sys_devices
禁止
当前不支持
sys_dl_config
禁止
当前不支持
sys_linkdir
禁止
当前不支持
sys_net_config
禁止
当前不支持
sys_res_config
禁止
当前不支持
sys_smb
禁止
当前不支持
sys_suser_compat
禁止
当前不支持
proc_exec
必需,缺省
用于启动 init(1M)
proc_fork
必需,缺省
用于启动 init(1M)
sys_mount
必需,缺省
需要用于挂载必需的文件系统
sys_flow_config
在专用 IP 区域中为必需、缺省权限。

在共享 IP 区域中为禁止权限。

配置流时需要
sys_ip_config
在专用 IP 区域中为必需、缺省权限。

在共享 IP 区域中为禁止权限。

在专用 IP 区域中需要用于引导和初始化 IP 联网
sys_iptun_config
在专用 IP 区域中为必需、缺省权限。

在共享 IP 区域中为禁止权限。

配置 IP 隧道链路
contract_event
缺省值
供合约文件系统使用
contract_identity
缺省值
设置进程合同模板的服务 FMRI 值
contract_observer
缺省值
合约调查,不考虑 UID
file_chown
缺省值
文件所有权更改
file_chown_self
缺省值
拥有文件的所有者/组更改
file_dac_execute
缺省值
执行访问权限,不考虑模式/ACL
file_dac_read
缺省值
读取访问权限,不考虑模式/ACL
file_dac_search
缺省值
搜索访问权限,不考虑模式/ACL
file_dac_write
缺省值
写入访问权限,不考虑模式/ACL
file_link_any
缺省值
链接访问权限,不考虑所有者
file_owner
缺省值
其他访问权限,不考虑所有者
file_setid
缺省值
更改 setidsetgidsetuid 文件的权限
ipc_dac_read
缺省值
IPC 读取访问权限,不考虑模式
ipc_dac_owner
缺省值
IPC 写入访问权限,不考虑模式
ipc_owner
缺省值
IPC 其他访问权限,不考虑模式
net_icmpaccess
缺省值
ICMP 包访问权限: ping(1M)
net_privaddr
缺省值
绑定到特权端口
proc_audit
缺省值
生成审计记录
proc_chroot
缺省值
更改 root 目录
proc_info
缺省值
检查进程
proc_lock_memory
缺省值
锁定内存;shmctl(2) 和 mlock(3C)

如果系统管理员要将此特权指定给非全局区域,请同时考虑设置 zone.max-locked-memory 资源控制以防止区域锁定所有内存。

proc_owner
缺省值
控制进程,不考虑所有者
proc_session
缺省值
控制进程,不考虑会话
proc_setid
缺省值
任意设置用户/组 ID
proc_taskid
缺省值
将任务 ID 指定给调用者
sys_acct
缺省值
记帐管理
sys_admin
缺省值
简单的系统管理任务
sys_audit
缺省值
审计管理
sys_nfs
缺省值
NFS 客户端支持
sys_ppp_config
在专用 IP 区域中为缺省权限

在共享 IP 区域中为禁止权限

创建和销毁 PPP (sppp) 接口,配置 PPP 隧道 (sppptun)
sys_resource
缺省值
资源限制处理
sys_share
缺省值
允许共享文件系统所需的 sharefs 系统调用。可以在区域配置中禁止特权,以防止在区域内共享 NFS。

下表列出了区域中所有 Oracle Solaris Trusted Extensions(高可靠扩展版)特权,以及相对于区域每个特权的状态。缺省特权集不包含可选的特权,但可以通过 limitpriv 属性指定它们。


注 - 仅当使用 Oracle Trusted Extensions(高可靠扩展版)配置了系统时,才会解释 Oracle Trusted Solaris 特权。


表 25-2 区域中 Oracle Solaris Trusted Extensions(高可靠扩展版)特权的状态

Oracle Solaris Trusted Extensions(高可靠扩展版)特权
状态
附注
file_downgrade_sl
可选的
将文件或目录的敏感标签设置为不影响现有敏感标签的敏感标签
file_upgrade_sl
可选的
将文件或目录的敏感标签设置为影响现有敏感标签的敏感标签
sys_trans_label
可选的
转换优先级低于敏感标签的标签
win_colormap
可选的
颜色映射限制覆盖
win_config
可选的
配置或销毁 X 服务器永久保留的资源
win_dac_read
可选的
从非客户机用户 ID 拥有的窗口资源中进行读取
win_dac_write
可选的
写入或创建非客户机用户 ID 拥有的窗口资源
win_devices
可选的
在输入设备上执行操作。
win_dga
可选的
使用直接图形访问 X 协议扩展;需要帧缓存器特权
win_downgrade_sl
可选的
将窗口资源的敏感标签更改为优先级低于现有标签的新标签
win_fontpath
可选的
添加其他字体路径
win_mac_read
可选的
从其标签优先级高于客户机标签的窗口资源中进行读取
win_mac_write
可选的
写入其标签优先级与客户机标签优先级不同的窗口资源
win_selection
可选的
请求移动数据,而无需确认者介入
win_upgrade_sl
可选的
将窗口资源的敏感标签更改为优先级不低于现有标签的新标签
net_bindmlp
缺省值
允许绑定到多级别端口 (MLP)
net_mac_aware
缺省值
允许通过 NFS 向下读取

要在配置非全局区域过程中更改特权,请参见配置、检验并提交区域

要检查特权集,请参见使用 ppriv 实用程序。有关特权的更多信息,请参见 ppriv(1) 手册页和《系统管理指南:安全性服务》。