Navigationslinks überspringen | |
Druckansicht beenden | |
![]() |
SystemAdministrationshandbuch: Oracle Solaris Container - RessourcenAdministration und Solaris Zones Oracle Solaris 10 1/13 Information Library (Deutsch) |
1. Einführung in Solaris 10-RessourcenAdministration
2. Einführung in Projekte und Aufgaben
3. Verwalten von Projekten und Aufgaben (Vorgehen)
4. Einführung in das Extended Accounting
5. Verwalten des Extended Accounting (Vorgehen)
6. Einführung in die Resource Controls
7. Verwalten von Resource Controls (Vorgehen)
8. Einführung in den Fair Share Scheduler
9. Verwalten des Fair Share Scheduler (Vorgehen)
10. Einführung in die Steuerung des reellen Arbeitsspeichers mithilfe des Resource Capping Daemons
11. Verwalten des Resource Capping Daemons (Vorgehen)
12. Einführung in Resource Pools
13. Erstellen und Verwalten von Resource Pools (Vorgehen)
14. Beispiel für die Konfiguration der RessourcenAdministration
15. Resource Controls in der Solaris Management-Konsole
16. Einführung in Solaris Zones
17. Einführung in die Konfiguration einer nicht-globalen Zone
18. Planen und Konfigurieren von nicht-globalen Zonen (Vorgehen)
19. Einführung in das Installieren, Anhalten, Klonen und Deinstallieren von nicht-globalen Zonen
20. Installieren, Booten, Anhalten, Deinstallieren und Klonen von nicht-globalen Zonen (Vorgehen)
21. Einführung in das Anmeldeverfahren bei einer nicht-globalen Zone
22. Anmelden bei nicht-globalen Zonen (Vorgehen)
23. Verschieben und Migrieren von nicht-globalen Zonen (Vorgehen)
24. Oracle Solaris 10 9/10: Migrieren eines reellen Oracle Solaris-Systems in eine Zone (Aufgaben)
27. Verwaltung der Oracle Solaris-Zonen (Überblick)
Sichtbarkeit und Zugriff in einer globalen Zone
Sichtbarkeit von Prozess-IDs in Zonen
System-Überwachbarkeit in Zonen
Knotennamen in nicht-globalen Zonen
Dateisysteme und nicht-globale Zonen
Einhängen von Dateisystemen in Zonen
Aushängen von Dateisystemen in Zonen
Sicherheitseinschränkungen und Dateisystemverhalten
Nicht-globale Zonen als NFS-Clients
Verwendung von mknod in einer Zone nicht gestattet
Einschränken des Zugriffs von der globalen Zone auf eine nicht-globale Zone
Netzwerkverbindungen in nicht-globalen Shared IP-Zonen
Partitionierung von Shared IP-Zonen
Shared IP-Netzwerkschnittstellen
IP-Verkehr zwischen Shared IP-Zonen auf dem gleichen Computer
Oracle Solaris 10 8/07: Netzwerkverbindungen in nicht-globalen Exclusive IP-Zonen
Partitionierung von Exclusive IP-Zonen
Exclusive IP-Verbindungsschnittstellen
IP-Verkehr zwischen Exclusive IP-Zonen auf dem gleichen Computer
Oracle Solaris IP-Filter in Exclusive-IP-Zonen
IP Network Multipathing in Exclusive IP-Zonen
Gerätenutzung in nicht-globalen Zonen
/dev und der /devices-Namespace
Administration der Gerätetreiber
Serviceprogramme, die in nicht-globalen Zonen nicht ausgeführt werden können oder modifiziert sind
Serviceprogramme, die in nicht-globalen Zone nicht ausgeführt werden können
SPARC: Serviceprogramm für die Verwendung in einer nicht-globalen Zone modifiziert
Ausführen von Anwendungen nicht-globalen Zonen
Resource Controls in nicht-globalen Zonen
Fair Share Scheduler auf einem Oracle Solaris-System mit installierten Zonen
Aufteilung der FSS-Shares in einer nicht-globalen Zone
Share-Verteilung zwischen Zonen
Extended Accounting in einem Oracle Solaris-System mit installierten Zonen
Berechtigungen in einer nicht-globalen Zone
Verwenden der IP-Sicherheitsarchitektur in Zonen
IP-Sicherheitsarchitektur in Shared IP-Zonen
Oracle Solaris 10 8/07: IP-Sicherheitsarchitektur in Exclusive IP-Zonen
Verwenden des Oracle Solaris-Auditings in Zonen
Konfigurieren des Auditing in der globalen Zone
Konfigurieren vom Benutzer-Audit-Eigenschaften in einer nicht-globalen Zone
Bereitstellen von Audit-Datensätzen für eine bestimmte nicht-globale Zone
Ausführen von DTrace in einer nicht-globalen Zone
Informationen zum Backup eines Oracle Solaris-Systems mit installierten Zonen
Sichern der Loopback-Dateisystemverzeichnisse
Sichern eines Systems von der globalen Zone
Sichern einzelner nicht-globaler Zonen auf einem System
Festlegen der in nicht-globalen Zonen zu sichernden Daten
Sichern nur der Anwendungsdaten
Allgemeine Vorgänge bei der Sicherung von Datenbanken
Allgemeine Informationen zum Wiederherstellen von nicht-globalen Zonen
Befehle, die in einem Oracle Solaris-System mit installierten Zonen verwendet werden
28. Verwaltung der Oracle Solaris-Zonen (Aufgaben)
29. Aktualisieren eines Oracle Solaris 10-Systems mit installierten nicht-globalen Zonen
30. Behebung von verschiedenen Problemen mit Oracle Solaris Zones
31. Allgemeine Informationen zu Branded Zones und der Linux Branded Zone
32. Einführung in die Planung der Konfiguration einer lx Branded Zone
33. Konfigurieren einer lx Branded Zone (Vorgehen)
34. Einführung in das Installieren, Booten, Anhalten, Klonen und Deinstallieren von lx Branded Zones
35. Installieren, Booten, Anhalten, Deinstallieren und Klonen von lx Branded Zones (Vorgehen)
36. Anmelden bei lx Branded Zones (Vorgehen)
37. Verschieben und Migrieren von lx Branded Zones (Vorgehen)
38. Verwalten und Ausführen von Anwendungen in lx Branded Zones (Vorgehen)
Auf einem Oracle Solaris-System mit installierten Zonen können die Zonen über das Netzwerk miteinander kommunizieren. Alle Zonen haben separate Bindungen, oder Verbindungen, und alle Zonen können ihre eigenen Server-Daemons ausführen. Diese Daemons können die gleichen Ports überwachen, ohne dass ein Konflikt auftritt. Der IP-Stack löst Konflikte, indem die IP-Adressen für ankommende Verbindungen berücksichtigt werden. Die IP-Adressen identifizieren die Zone.
Der IP-Stack eines Systems, das Zonen unterstützt, setzt die Trennung des Netzwerkverkehrs zwischen den Zonen um. Anwendungen, die IP-Verkehr empfangen, empfangen nur Daten, die in der gleichen Zone gesendet wurden.
Jede logische Schnittstelle des Systems gehört zu einer bestimmten Zone; standardmäßig zur globalen Zone. Mithilfe des Serviceprogramms zonecfg werden den Zonen logische Netzwerkschnittstellen zugeordnet, mit denen sie über das Netzwerk kommunizieren können. Jeder Stream und jede Verbindung gehört zur Zone des Prozesses, der diesen Stream bzw. die Verbindung geöffnet hat.
Bindungen zwischen Streams höherer Schichten und logischen Schnittstellen sind eingeschränkt. Ein Stream kann nur Bindungen mit logischen Schnittstellen in der gleichen Zone herstellen. Entsprechend können Pakete von einer logischen Schnittstelle nur an Streams einer höheren Schicht in der gleichen Zone wie die logische Schnittstelle übergeben werden.
Jede Zone verfügt über ein eigenes Bindungsset. Jede Zone kann die gleiche Anwendung ausführen, die den gleichen Port überwacht, ohne dass Bindungen fehlschlagen, weil die Adresse bereits verwendet wird. Jede Zone kann ihre eigene Version der folgenden Services ausführen:
Internet Services-Daemon mit vollständiger Konfigurationsdatei (lesen Sie dazu die Manpage inetd(1M))
sendmail (lesen Sie dazu die Manpage sendmail(1M))
apache (lesen Sie dazu die Manpage apache(1M))
Für Zonen, bei denen es sich nicht um die globalen Zone handelt, ist der Zugriff auf das Netzwerk eingeschränkt. Die standardmäßigen TCP- und UDP-Socket-Schnittstellen sind verfügbar, aber die SOCK_RAW-Socket-Schnittstellen sind auf das Internet Control Message Protocol (ICMP) beschränkt. ICMP ist für das Erfassen und Melden von Netzwerkfehlerzuständen oder das Verwenden des Befehls ping erforderlich.
Jede mit einem Netzwerk verbundene nicht-globale Zone benötigt mindestens eine dedizierte IP-Adresse. Diese Adressen werden über logische Netzwerkschnittstellen zugeordnet, die mithilfe des Befehls ifconfig in einer Zone platziert werden. Mit dem Befehl zonecfg konfigurierte Zonen-Netzwerkschnittstellen werden beim Booten einer Zone automatisch eingerichtet und platziert. Mit dem Befehl ifconfig können logische Schnittstellen einer laufenden Zone hinzugefügt bzw. daraus entfernt werden. Nur der globale Administrator kann die Schnittstellenkonfiguration und Netzwerkrouten ändern.
Innerhalb einer nicht-globalen Zone sind nur die Schnittstellen der Zone für ifconfig sichtbar.
Weitere Informationen finden Sie in den Manpages ifconfig(1M) und if_tcp(7P).
Die Paketzustellung zwischen zwei Zonen auf dem gleichen Computer ist nur dann zulässig, wenn eine „Matching Route“ (Zuordnungsroute) für das Ziel und die Zone in der Weiterleitungstabelle vorhanden ist.
Die Matching-Informationen werden wie folgt umgesetzt:
Die Quelladresse der Pakete wird an der Ausgabeschnittstelle gewählt, die von der Matching Route angegeben ist.
Standardmäßig ist Verkehr zwischen zwei Zonen zulässig, die Adressen im gleichen Subnetz haben. In diesem Fall ist die Matching Route die Schnittstellenroute des Subnetzes.
Falls eine Standardroute für eine bestimmte Zone vorhanden ist, bei der sich das Gateway in einem der Subnetze der Zone befindet, wird der Verkehr von dieser Zone in alle anderen Zonen gestattet. In diesem Fall ist die Matching Route die Standardroute.
Falls eine Matching Route mit dem Flag RTF_REJECT vorhanden ist, lösen Pakete eine Meldung aus, dass das ICMP nicht erreichbar ist. Wenn eine Matching Route mit dem Flag RTF_BLACKHOLE vorhanden ist, werden die Pakete verworfen. Mit den Optionen des Befehls route kann der globale Administrator Routen mit diesem Flags erstellen. Die Optionen sind in der folgenden Tabelle beschrieben.
|
Weitere Informationen finden Sie in der Manpage route(1M)
Oracle Solaris IP-Filter bieten statusbehaftete Paketfilterung und Network Address Translation (NAT). Ein statusbehafteter Paketfilter kann den Status aktiver Verbindungen überwachen und anhand der gesammelten Informationen festlegen, welche Netzwerkpakete eine Firewall passieren dürfen. Darüber hinaus bietet Oracle Solaris IP-Filter eine statusfreie Paketfilterung sowie die Möglichkeit, Adresspools zu erstellen und zu verwalten. Weitere Informationen finden Sie in Kapitel 25, IP Filter in Oracle Solaris (Übersicht) in Systemverwaltungshandbuch: IP Services.
Oracle Solaris IP-Filter können in nicht-globalen Zonen aktiviert werden, indem die Loopback-Filterung gemäß der Beschreibung in Kapitel 26, IP Filter (Aufgaben) in Systemverwaltungshandbuch: IP Services aktiviert wird.
Oracle Solaris IP-Filter ist von der Open Source IP Filter-Software abgeleitet.
IP-Netzwerk-Multipathing (IPMP) bietet eine Erkennung von Ausfällen physikalischer Schnittstellen und transparentes Failover des Netzwerkzugriffs bei einem System mit mehreren Schnittstellen in der gleichen IP-Verbindung. Darüber hinaus bietet IPMP Lastverteilung von Paketen für Systeme mit mehreren Schnittstellen.
Die gesamte Netzwerkkonfiguration erfolgt in der globalen Zone. Sie können IPMP in der globalen Zone konfigurieren und die Leistungsmerkmale dann auf nicht-globale Zonen erweitern. Die Leistungsmerkmale werden erweitert, indem Sie die Zonenadresse beim Konfigurieren der Zone in eine IPMP-Gruppe aufnehmen. Sollte dann eine der Schnittstellen in der globalen Zone ausfallen, migrieren die Adressen der nicht-globalen Zone auf eine andere Netzwerk-Schnittstellenkarte. Eine Shared-IP-Zone kann über mehrere IP-Adressen verfügen, zu mehreren IPMP-Gruppen gehören und eine IPMP-Gruppe kann von mehreren Shared-IP-Zonen verwendet werden.
In einer bestimmten nicht-globalen Zone sind nur die der Zone zugeordneten Schnittstellen über den Befehl ifconfig sichtbar.
Lesen Sie dazu So erweitern Sie die Funktionen des IP Network Multipathing auf nicht-globale Shared IP-Zonen. Das Verfahren zur Zonenkonfiguration ist unter So konfigurieren Sie die Zone beschrieben. Weitere Informationen zu den Leistungsmerkmalen und Komponenten sowie zur Nutzung von IPMP finden Sie in Kapitel 30, Einführung in IPMP (Übersicht) in Systemverwaltungshandbuch: IP Services.