Ignorer les liens de navigation | |
Quitter l'aperu | |
Guide d'administration système : Conteneurs Oracle Solaris-Gestion des ressources et Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (Français) |
Partie I Gestion des ressources
1. Introduction à la gestion des ressources Solaris 10
2. Projets et tâches (présentation)
3. Administration des projets et des tâches
4. Comptabilisation étendue (présentation)
5. Administration de la comptabilisation étendue (tâches)
6. Contrôles des ressources (présentation)
7. Administration des contrôles des ressources (tâches)
8. Ordonnanceur FSS (présentation)
9. Administration de l'ordonnanceur FSS (tâches)
10. Contrôle de la mémoire physique à l'aide du démon de limitation des ressources (présentation)
11. Administration du démon de limitation des ressources (tâches)
12. Pools de ressources (présentation)
13. Création et administration des pools de ressources (tâches)
14. Exemple de configuration de la gestion des ressources
15. Contrôle des ressources dans Solaris Management Console
16. Introduction aux zones Solaris
17. Configuration des zones non globales (présentation)
18. Planification et configuration de zones non globales (tâches)
20. Installation, initialisation, arrêt, désinstallation et clonage de zones non globales (tâches)
21. Connexion à une zone non globale (présentation)
22. Connexion à une zone non globale (tâches)
23. Déplacement et migration de zones non globales (tâches)
24. Oracle Solaris 10 9/10 : migration d'un système physique Oracle Solaris dans une zone (tâches)
25. A propos des packages et des patchs sur un système Oracle Solaris doté de zones (présentation)
27. Administration d'Oracle Solaris Zones (présentation)
Accès et visibilité de la zone globale
Visibilité des identificateurs de processus dans les zones
Capacité d'observation du système dans les zones
Nom de noeud dans une zone non globale
Systèmes de fichiers et zones non globales
Montage de systèmes de fichiers dans les zones
Démontage de systèmes de fichiers dans les zones
Restrictions de sécurité et comportement du système de fichiers
Zones non globales en tant que clients NFS
Interdiction d'utiliser la commande mknod dans une zone
Parcours des systèmes de fichiers
Restriction d'accès à une zone non globale à partir de la zone globale
Mise en réseau dans des zones non globales en mode IP partagé
Partition de zone en mode IP partagé
Interfaces réseau en mode IP partagé
Trafic IP entre zones en mode IP partagé sur une même machine
Oracle Solaris IP Filter dans les zones en mode IP partagé
Multipathing sur réseau IP dans les zones en mode IP partagé
Oracle Solaris 10 8/07 : mise en réseau dans les zones non globales en mode IP exclusif
Partitionnement de zone en mode IP exclusif
Interfaces de liaison de données en mode IP exclusif
Trafic IP entre zones en mode IP exclusif sur la même machine
Oracle Solaris IP Filter dans les zones en mode IP exclusif
Multipathing sur réseau IP dans les zones en mode IP exclusif
Utilisation de périphériques dans les zones non globales
Répertoire /dev et espace de nom /devices
Périphérique d'utilisation exclusive
Gestion de pilote de périphérique
Dysfonctionnement ou modification d'utilitaires dans les zones non globales
Dysfonctionnement d'utilitaires dans les zones non globales
SPARC : Modification d'utilitaire pour une application dans les zones non globales
Exécution d'applications dans les zones non globales
Utilisation de contrôles de ressources dans les zones non globales
Ordonnanceur de partage équitable sur un système Oracle Solaris doté de zones
Division de partage FSS dans une zone non globale
Equilibre de partages entre zones
Comptabilisation étendue sur un système Oracle Solaris doté de zones
Privilèges dans une zone non globale
Utilisation de l'architecture de sécurité IP dans les zones
Architecture de sécurité IP dans les zones en mode IP partagé
Oracle Solaris 10 8/07 : architecture de sécurité IP dans les zones en mode IP exclusif
Utilisation de l'audit Oracle Solaris dans les zones
Configuration de l'audit dans la zone globale
Définition des critères d'audit utilisateur dans une zone non globale
Enregistrements d'audit pour une zone non globale spécifique
Exécution de DTrace dans une zone non globale
A propos de la sauvegarde d'un système Oracle Solaris doté de zones
Sauvegarde des répertoires du système de fichiers en loopback
Sauvegarde du système à partir de la zone globale
Sauvegarde individuelle de zones non globales sur le système
Identification des éléments à sauvegarder dans les zones non globales
Sauvegarde des données d'application uniquement
Opérations générales de sauvegarde de base de données
A propos de la restauration de zones non globales
Commandes utilisées sur un système Oracle Solaris doté de zones
28. Administration d'Oracle Solaris Zones (tâches)
29. Mise à niveau d'un système Oracle Solaris 10 doté de zones non globales
30. Dépannage des problèmes liés à Oracle Solaris Zones
31. A propos des zones marquées et de la zone marquée Linux
32. Planification de la configuration de zone marquée lx (présentation)
33. Configuration de la zone marquée lx (tâches)
35. Installation, initialisation, arrêt, désinstallation et clonage de zones marquées lx (tâches)
36. Connexion aux zones marquées lx (tâches)
37. Déplacement et migration de zones marquées lx (tâches)
38. Administration et exécution d'applications dans les zones marquées lx (tâches)
Cette section contient les informations relatives aux problèmes liés aux systèmes de fichiers des systèmes Oracles Solaris dotés de zones. Chaque zone possède sa section de l'arborescence du système de fichiers, située dans le répertoire appelé le root de la zone. Les processus de la zone peuvent accéder uniquement aux fichiers de la partie de l'arborescence située sous le root de la zone. Vous pouvez employer l'utilitaire chroot au sein d'une zone, mais uniquement à des fins de restriction du processus à un chemin root de la zone en question. Pour plus d'informations sur chroot, reportez-vous à la page de manuel chroot(1M).
L'option -o nosuid de l'utilitaire mount a la fonction suivante :
Les processus d'un binaire setuid résidant sur un système de fichiers monté à l'aide de l'option nosetuid ne s'exécutent pas avec les privilèges du binaire setuid. mais avec ceux de l'utilisateur qui exécute le binaire.
En d'autres termes, si un utilisateur exécute un binaire setuid appartenant à root, les processus s'exécutent avec les privilèges de l'utilisateur.
L'ouverture d'entrées spécifiques à un périphérique dans le système de fichiers n'est pas autorisée. Ce comportement équivaut à spécifier l'option nodevices.
Cette option spécifique au système de fichiers est disponible pour tous les systèmes de fichiers Oracle Solaris que vous pouvez monter à l'aide des utilitaires mount, comme décrit dans la page de manuel mount(1M). Dans ce manuel, ces systèmes de fichiers sont répertoriés à la section Montage de systèmes de fichiers dans les zones. Les capacités de montage y sont également décrites. Pour plus d'informations sur l'option -o nosuid voir la section Accessing Network File Systems (Reference) du Guide d’administration système : Services réseau.
L'option nodevices s'applique lors du montage des systèmes de fichiers au sein d'une zone. Par exemple, si une zone se voit accorder l'accès à un périphérique en mode bloc (/dev/dsk/c0t0d0s7 ) et à un périphérique brut (/dev/rdsk/c0t0d0s7) correspondant à un système de fichiers UFS, le système de fichiers est automatiquement monté avec l'option nodevices dans le cadre d'un montage au sein d'une zone. Cette règle ne s'applique pas aux montages spécifiés par le biais d'une configuration zonecfg.
Le tableau ci-dessous décrit les options de montage de systèmes de fichiers dans les zones non globales. Les procédures concernant ces options de montage sont fournies aux sections Configuration, vérification et validation d'une zone et Montage de systèmes de fichiers dans des zones non globales en cours d'exécution.
Les types de système de fichiers qui ne sont pas répertoriés dans le tableau peuvent être spécifiés dans la configuration s'ils présentent un binaire de montage dans /usr/lib/type fs/mount .
|
Pour plus d'informations, reportez-vous aux sections Configuration d'une zone et Montage de systèmes de fichiers dans des zones non globales en cours d'exécution, ainsi qu'à la page de manuel mount(1M).
La possibilité de démonter un système de fichiers dépend de l'identité de l'utilisateur ayant réalisé le montage initial. Si le système de fichiers est spécifié dans la configuration de la zone à l'aide de la commande zonecfg, le montage appartient à la zone globale. Par conséquent, l'administrateur de la zone non globale ne peut pas démonter le système de fichiers. En revanche, si le système de fichiers est monté à l'intérieur de la zone non globale, par exemple, en spécifiant le montage dans le fichier /etc/vfstab de la zone, l'administrateur de la zone non globale est autorisé à le démonter.
Le montage de certains systèmes de fichiers au sein d'une zone est soumis à des restrictions de sécurité. et d'autres systèmes de fichiers ont un comportement particulier lorsqu'ils sont montés dans une zone. Les systèmes de fichiers modifiés sont répertoriés ci-dessous.
AutoFS est un service côté client qui monte automatiquement le système de fichiers adéquat. Lorsqu'un client essaie d'accéder à un système de fichiers non monté, le système de fichiers AutoFS intercepte la demande et appelle la commande automountd pour monter le répertoire spécifié. Les montages AutoFS établis au sein d'une zone sont locaux à cette zone. Ils ne sont pas accessibles à partir d'autres zones, pas même de la zone globale. Ils sont supprimés à l'arrêt ou à la réinitialisation de la zone. Pour plus d'informations sur AutoFS, reportez-vous à la section Fonctionnement d’autofs du manuel Guide d’administration système : Services réseau.
Chaque zone exécute sa copie de automountd. L'administrateur de zone contrôle les délais et les cartes automatiques. Vous ne pouvez pas déclencher un montage dans une autre zone en croisant un point de montage AutoFS pour une zone non globale à partir de la zone globale.
Certains montages AutoFS sont créés dans le noyau lors du déclenchement d'un autre montage. Ces montages ne peuvent pas être supprimés à l'aide de l'interface standard umount, car ils doivent être montés ou démontés en tant que groupe. Notez que cette fonctionnalité s'applique à l'arrêt de zone.
MNTFS est un système de fichiers virtuel fournissant au système local l'accès en lecture seule à la table des systèmes de fichiers montés. Le groupe de systèmes de fichiers qui s'affiche lorsque vous exécutez la commande mnttab à l'intérieur d'une zone non globale correspond au groupe de systèmes de fichiers montés dans la zone, auquel s'ajoute une entrée pour root (/) . Dans le cas des points de montage dotés d'un périphérique spécial inaccessible à l'intérieur de la zone, tel que /dev/rdsk/c0t0d0s0, la configuration du périphérique est identique à celle du point de montage. Tous les montages du système s'affichent dans la table /etc/mnttab de la zone. Pour plus d'informations sur MNTFS, reportez-vous à la section Mounting and Unmounting Oracle Solaris File Systems du manuel System Administration Guide: Devices and File Systems.
Les montages NFS établis au sein d'une zone sont locaux à cette zone. Ils ne sont pas accessibles à partir d'autres zones, pas même de la zone globale. Ils sont supprimés à l'arrêt ou à la réinitialisation de la zone.
Comme indiqué dans la page de manuel mount_nfs(1M), un serveur NFS ne doit pas essayer de monter son système de fichiers. Par conséquent, une zone ne doit pas monter en mode NFS un système de fichiers exporté par la zone globale. Les zones ne peuvent pas être des serveurs NFS. Au sein d'une zone, les montages NFS se comportent comme s'ils étaient montés à l'aide de l'option nodevices.
La sortie de commande nfsstat appartient uniquement à la zone dans laquelle la commande est exécutée. Par exemple, si la commande est exécutée dans la zone globale, seules les informations concernant la zone globale sont signalées. Pour plus d'informations sur la commande nfsstat, reportez-vous à la page de manuelnfsstat(1M).
La commande zlogin échoue si l'un de ses fichiers ouverts ou l'une des régions de son espace d'adressage réside sur NFS. Pour plus d'informations, reportez-vous à la section Commande zlogin.
Le système de fichiers /proc ou PROCFS fournit la visibilité de processus et les restrictions d'accès, ainsi que les informations concernant l'association de processus au niveau de la zone. Seuls les processus d'une même zone sont visibles par le biais de /proc.
Les processus de la zone globale peuvent observer les processus et les autres objets des zones non globales. Ils disposent ainsi d'une capacité d'observation au niveau de l'ensemble du système.
Au sein d'une zone, les montages, procfs se comportent comme s'ils étaient montés à l'aide de l'option nodevices. Pour plus d'informations sur la commande procfs, reportez-vous à la page de manuel proc(4).
La portée du montage par le biais de LOFS se limite à la partie du système de fichiers visible à la zone. Ainsi, aucune restriction ne s'applique aux montages LOFS dans une zone.
Lorsqu'il utilise la commande zonecfg pour configurer des systèmes de fichiers basés sur le stockage et dotés d'un binaire fsck, comme UFS, l'administrateur de zone doit spécifier un paramètre brut. Ce paramètre indique le périphérique brut (en mode caractère) tel que /dev/rdsk/c0t0d0s7. La commande zoneadmd exécute automatiquement la commande fsck en mode vérification uniquement non interactif (fsck -m) sur le périphérique préalablement au montage du système de fichiers. En cas d'échec de la commande fsck, la commande zoneadmd ne peut pas préparer la zone. Le chemin spécifié par le paramètre raw ne peut pas être relatif.
Indiquer un périphérique à la commande fsck pour un système de fichiers qui ne fournit pas de binaire fsck dans /usr/lib/ type fs/fsck constitue une erreur. Ne pas indiquer un périphérique à la commande fsck si un binaire fsck existe pour ce fichier constitue également une erreur.
Pour plus d'informations, reportez-vous à la section Le démon zoneadmd et la page de manuel fsck(1M).
Vous pouvez ajouter un jeu de données ZFS à une zone non globale à l'aide de la commande zonecfg et de la ressource add dataset. Le jeu de données est visible et monté dans la zone non globale et n'est plus visible dans la zone globale. L'administrateur de zone peut créer et détruire les systèmes de fichiers à l'intérieur de cet ensemble de données ou les propriétés du jeu de données.
L'attribut zoned de la commande zfs indique l'ajout d'un jeu de données à une zone non globale.
# zfs get zoned tank/sales NAME PROPERTY VALUE SOURCE tank/sales zoned on local
Si vous souhaitez partager un jeu de données de la zone globale, vous pouvez ajouter un système de fichiers ZFS monté en LOFS à l'aide de la commande zonecfg et de la sous-commande add fs. L'administrateur global est chargé de la configuration et du contrôle des propriétés du jeu de données.
Pour plus d'informations sur les systèmes de fichiers ZFS, reportez-vous au Chapitre 10, Rubriques avancées Oracle Solaris ZFS du manuel Guide d’administration Oracle Solaris ZFS.
Les zones peuvent être des clients NFS. Les protocoles version 2, version 3 et version 4 sont pris en charge. Pour plus d'informations sur ces versions NFS, reportez-vous à la section Fonctions du service NFS du manuel Guide d’administration système : Services réseau
La version par défaut est NFS version 4. Vous pouvez activer d'autres versions NFS sur un client par l'une des méthodes suivantes :
Vous pouvez modifier /etc/default/nfs pour définir NFS_CLIENT_VERSMAX=numéro de sorte que la zone utilise la version spécifiée par défaut. Voir la section Configuration des services NFS du manuel Guide d’administration système : Services réseau. Pour cela, suivez la procédure de sélection d'autres versions NFS sur un client en modifiant le fichier /etc/default/nfs de la liste des tâches.
Vous pouvez créer manuellement un montage de version. Cette méthode ignore le contenu du fichier /etc/default/nfs. Voir la section Configuration des services NFS du manuel Guide d’administration système : Services réseau. Suivez la procédure de sélection d'autres versions NFS sur un client dans la liste des tâches à l'aide de la ligne de commande.
Vous ne pouvez pas utiliser la commande mknod décrite dans la page de manuel mknod(1M) pour créer un fichier spécial dans une zone non globale.
L'espace de noms de système de fichiers d'une zone est un sous-ensemble de l'espace de noms accessible à partir de la zone globale. Pour empêcher les processus sans privilèges de la zone globale de parcourir l'arborescence de système de fichiers d'une zone non globale :
Spécifiez que le répertoire parent du root de la zone appartient uniquement au root et que lui seul peut l'exécuter et y accéder en lecture et en écriture.
Limitez l'accès aux répertoires exportés par /proc.
Toute tentative d'accès aux noeuds AutoFS montés pour une autre zone est vouée à l'échec. L'administrateur global ne doit pas avoir de mappages automatiques descendant dans d'autres zones.
Pour accéder directement à partir de la zone globale à une zone non globale installée, vous devez utiliser les utilitaires de sauvegarde du système. En outre, une zone non globale n'est plus sécurisée dès qu'elle est exposée à un environnement inconnu. Imaginons une zone placée sur un réseau public et courant le risque que le contenu de ses systèmes de fichiers soit modifié. S'il existe le moindre doute que la zone ait été exposée à un tel risque, l'administrateur système doit la traiter comme non fiable.
Toute commande acceptant un root alternatif via l'option -R ou -b (ou l'équivalent) ne doit pas être utilisée lorsque :
La commande est exécutée dans la zone globale.
Le root alternatif renvoie à un chemin root au sein d'une zone non globale, que le chemin soit relatif à la zone globale du système en cours d'exécution ou à la zone globale dans un root alternatif.
Tel est le cas, par exemple, de l'option -R root_path de l'utilitaire pkgadd exécuté à partir de la zone globale avec un chemin root de zone non globale.
Les commandes, programmes et utilitaires utilisant l'option -R avec un chemin root alternatif sont répertoriés ci-dessous.
auditreduce
bart
flar
flarcreate
installf
localeadm
makeuuid
metaroot
patchadd
patchrm
pkgadd
pkgadm
pkgask
pkgchk
pkgrm
prodreg
removef
routeadm
showrev
syseventadm
Les commandes et programmes utilisant l'option -b avec un chemin root alternatif sont répertoriés ci-dessous.
add_drv
pprosetup
rem_drv
roleadd
sysidconfig
update_drv
useradd