Navigationslinks überspringen | |
Druckansicht beenden | |
![]() |
SystemAdministrationshandbuch: Oracle Solaris Container - RessourcenAdministration und Solaris Zones Oracle Solaris 10 1/13 Information Library (Deutsch) |
1. Einführung in Solaris 10-RessourcenAdministration
2. Einführung in Projekte und Aufgaben
3. Verwalten von Projekten und Aufgaben (Vorgehen)
4. Einführung in das Extended Accounting
5. Verwalten des Extended Accounting (Vorgehen)
6. Einführung in die Resource Controls
7. Verwalten von Resource Controls (Vorgehen)
8. Einführung in den Fair Share Scheduler
9. Verwalten des Fair Share Scheduler (Vorgehen)
10. Einführung in die Steuerung des reellen Arbeitsspeichers mithilfe des Resource Capping Daemons
11. Verwalten des Resource Capping Daemons (Vorgehen)
12. Einführung in Resource Pools
13. Erstellen und Verwalten von Resource Pools (Vorgehen)
14. Beispiel für die Konfiguration der RessourcenAdministration
15. Resource Controls in der Solaris Management-Konsole
16. Einführung in Solaris Zones
Zusammenfassung der Zonenfunktionen
So werden nicht-globale Zonen verwaltet
So werden nicht-globale Zonen erstellt
Statusmodell einer nicht-globalen Zone
Eigenschaften nicht-globaler Zonen
Verwenden der Funktionen der RessourcenAdministration mit nicht-globalen Zonen
Einrichten von Zonen auf einem System (Übersicht der Schritte)
17. Einführung in die Konfiguration einer nicht-globalen Zone
18. Planen und Konfigurieren von nicht-globalen Zonen (Vorgehen)
19. Einführung in das Installieren, Anhalten, Klonen und Deinstallieren von nicht-globalen Zonen
20. Installieren, Booten, Anhalten, Deinstallieren und Klonen von nicht-globalen Zonen (Vorgehen)
21. Einführung in das Anmeldeverfahren bei einer nicht-globalen Zone
22. Anmelden bei nicht-globalen Zonen (Vorgehen)
23. Verschieben und Migrieren von nicht-globalen Zonen (Vorgehen)
24. Oracle Solaris 10 9/10: Migrieren eines reellen Oracle Solaris-Systems in eine Zone (Aufgaben)
27. Verwaltung der Oracle Solaris-Zonen (Überblick)
28. Verwaltung der Oracle Solaris-Zonen (Aufgaben)
29. Aktualisieren eines Oracle Solaris 10-Systems mit installierten nicht-globalen Zonen
30. Behebung von verschiedenen Problemen mit Oracle Solaris Zones
31. Allgemeine Informationen zu Branded Zones und der Linux Branded Zone
32. Einführung in die Planung der Konfiguration einer lx Branded Zone
33. Konfigurieren einer lx Branded Zone (Vorgehen)
34. Einführung in das Installieren, Booten, Anhalten, Klonen und Deinstallieren von lx Branded Zones
35. Installieren, Booten, Anhalten, Deinstallieren und Klonen von lx Branded Zones (Vorgehen)
36. Anmelden bei lx Branded Zones (Vorgehen)
37. Verschieben und Migrieren von lx Branded Zones (Vorgehen)
38. Verwalten und Ausführen von Anwendungen in lx Branded Zones (Vorgehen)
Nicht-globale Zonen bieten die folgenden Funktionen:
Sobald ein Prozess in einer anderen als der globalen Zone platziert wurde, kann weder dieser Prozess noch einer seiner Unterprozesse Änderungen an den Zonen vornehmen.
Netzwerkservice können in einer Zone ausgeführt werden. Indem Sie Netzwerkservice in einer Zone ausführen, beschränken Sie den im Fall einer Sicherheitsverletzung möglichen Schaden. Ein Eindringling, der eine Sicherheitslücke einer Software, die in einer Zone ausgeführt wird, erfolgreich nutzt, ist auf Aktionen beschränkt, die innerhalb dieser Zone ausgeführt werden können. Die innerhalb einer Zone verfügbaren Berechtigungen umfassen nur einen Teil der Berechtigungen, die im gesamten System zur Verfügung stehen.
Mit Zonen können mehrere Anwendungen auf dem gleichen Computer bereitgestellt werden, auch wenn diese Anwendungen in unterschiedlichen vertrauenswürdigen Domänen ausgeführt werden, exklusiven Zugriff auf eine globale Ressource erfordern oder zu Problemen mit globalen Konfigurationen führen. Beispielsweise können mehrere Anwendungen, die in unterschiedlichen Shared IP-Zonen auf dem gleichen System ausgeführt werden, an den gleichen Netzwerkport gebunden sein, indem unterschiedliche, jeder Zone individuell zugewiesene IP-Adressen oder eine Stellvertreteradressen verwendet werden. Außerdem wird verhindert, dass die Anwendungen den Netzwerkverkehr, die Dateisystemdaten oder die Prozessaktivität anderer Anwendungen überwachen oder abfangen.
Wenn eine Zone auf der IP-Schicht eines Netzwerks isoliert werden muss, beispielsweise indem es mit anderen VLANs oder anderen LANs als der globalen Zone oder anderen nicht-globalen Zonen verbunden wird, kann die Zone aus Sicherheitsgründen zu einer Exklusive IP-Zone werden. Die exklusive IP-Zone kann zur Konsolidierung von Anwendungen eingesetzt werden, die mit verschiedenen Subnetzen auf unterschiedlichen VLANs oder LANs kommunizieren müssen.
Zonen können auch als Shared IP-Zonen konfiguriert werden. Diese Zonen stellen eine Verbindung mit den gleichen VLANs bzw. LANs wie die globale Zone her und nutzen die IP-Routingkonfiguration gemeinsam mit der globalen Zone. Shared IP-Zonen verfügen über separate IP-Adressen, nutzen aber andere Teile des IP gemeinsam.
Zonen bieten eine virtualisierte Umgebung, die Details wie z. B. die reellen Geräte, die primäre IP-Adresse des Systems sowie den Hostnamen vor Anwendungen verbergen können. Die gleiche Anwendungsumgebung kann für mehrere reelle Computer verwendet werden. Diese virtualisierte Umgebung ermöglicht eine getrennte Administration jeder Zone. Aktionen, die ein Zonenadministrator in einer nicht-globalen Zone ausführt, wirken sich nicht auf das restliche System aus.
Eine Zone kann in nahezu jedem gewünschten Maß isoliert werden. Weitere Informationen finden Sie unter Eigenschaften nicht-globaler Zonen.
Zonen ändern nicht die Umgebung, in der Anwendungen ausgeführt werden, es sei denn, dies ist zum Erreichen der Sicherheits- und Isolationsziele erforderlich. Zonen stellen keine neue API oder ABI dar, auf die Anwendungen portiert werden müssen. Stattdessen bieten Zonen die standardmäßigen Solaris-Schnittstellen und Anwendungsumgebungen (mit einigen Einschränkungen). Die Einschränkungen betreffen im Wesentlichen Anwendungen, die versuchen, privilegierte Vorgänge auszuführen.
Anwendungen in der globalen Zone werden unverändert ausgeführt, unabhängig davon, ob zusätzliche Zonen konfiguriert sind oder nicht.