| 跳过导航链接 | |
| 退出打印视图 | |
|
系统管理指南:Oracle Solaris Containers-资源管理和 Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
系统管理指南:Oracle Solaris Containers-资源管理和 Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (简体中文) |
15. Solaris Management Console 中的资源控制功能
24. Oracle Solaris 10 9/10:将物理 Oracle Solaris 系统迁移到区域中(任务)
25. 关于安装了区域的 Oracle Solaris 系统上的软件包和修补程序(概述)
26. 在安装了区域的 Oracle Solaris 系统上添加和删除软件包和修补程序(任务)
27. Oracle Solaris Zones 管理(概述)
Oracle Solaris 10 8/07:专用 IP 非全局区域中的网络设置
专用 IP 区域中的 Oracle Solaris IP 过滤器
安装了区域的 Oracle Solaris 系统上的公平共享调度程序
安装了区域的 Oracle Solaris 系统上的扩展记帐
Oracle Solaris 10 8/07:专用 IP 区域中的 IP 安全体系结构
在安装了区域的 Oracle Solaris 系统上使用的命令
28. Oracle Solaris Zones 管理(任务)
29. 升级安装了非全局区域的 Oracle Solaris 10 系统
30. 各种 Oracle Solaris Zones 问题的故障排除
34. 关于安装、引导、停止、克隆和卸载 lx 标记区域(概述)
在安装了区域的 Oracle Solaris 系统中,区域之间可以通过网络相互通信。所有区域都有单独的绑定或连接,并且所有区域都可运行自己的服务器守护进程。这些守护进程可以侦听相同的端口号而不会引起冲突。IP 栈通过分析传入连接的 IP 地址来解决冲突。IP 地址标识区域。
在支持区域的系统中,IP 栈对区域之间的网络通信流量执行隔离。接收 IP 通信流量的应用程序只能接收发送到同一区域的通信流量。
系统上的每个逻辑接口都属于特定的区域,缺省情况下属于全局区域。借助 zonecfg 实用程序指定给区域的逻辑网络接口用于在网络上进行通信。每个流和连接都属于打开它的进程所在的区域。
上层流和逻辑接口之间的绑定会受到限制。流只能与同一区域中的逻辑接口建立绑定。同样,来自逻辑接口的包只能传递到此逻辑接口所在区域中的上层流。
每个区域都有自己的一组绑定。每个区域都可以运行侦听同一端口号的相同应用程序,而且绑定不会失败,因为地址已处于使用状态。每个区域都可以运行自己版本的以下服务:
具有完整配置文件的 Internet 服务守护进程(请参见 inetd(1M) 手册页)
sendmail(请参见 sendmail(1M) 手册页)
apache(请参见 apache(1M) 手册页)
除全局区域之外的区域拥有受限的网络访问权限。标准 TCP 和 UDP 套接字接口均可用,但是 SOCK_RAW 套接字接口被限制为网际控制报文协议 (Internet Control Message Protocol, ICMP)。ICMP 是检测和报告网络错误状态或使用 ping 命令时所必需的。
每个需要网络连接的非全局区域都有一个或多个专用 IP 地址。这些地址与可以使用 ifconfig 命令放入区域中的逻辑网络接口关联。引导区域时,将在其中自动设置并放置通过 zonecfg 配置的区域网络接口。运行区域时,可使用 ifconfig 命令添加或删除逻辑接口。只有全局管理员才能修改接口配置和网络路由。
在非全局区域内,只有此区域的接口才能通过 ifconfig 进行查看。
有关更多信息,请参见 ifconfig(1M) 和 if_tcp(7P) 手册页。
在同一计算机上的两个区域之间,仅当转发表中的目标和区域具有“匹配的路由”时,才允许传送包。
匹配信息按如下方式执行:
在由匹配路由指定的输出接口上选择包的源地址。
缺省情况下,允许地址位于同一子网上的两个区域之间进行通信。在这种情况下,匹配路由即为子网的接口路由。
如果给定区域具有缺省路由,并且网关位于此区域的一个子网上,则允许此区域与所有其他区域进行通信。在这种情况下,匹配路由即为缺省路由。
如果匹配路由具有 RTF_REJECT 标志,则包会触发 ICMP 不可访问的消息。如果匹配路由具有 RTF_BLACKHOLE 标志,则会放弃包。全局管理员可以使用下表所述的 route 命令选项来创建具有这些标志的路由。
|
有关更多信息,请参见 route(1M)。
Oracle Solaris IP 过滤器可提供有状态包过滤器和网络地址转换 (network address translation, NAT) 功能。有状态包过滤器可以监视活动连接的状态,并使用获得的信息确定允许哪些网络包通过防火墙。Oracle Solaris IP 过滤器还包括无状态包过滤器以及创建和管理地址池的功能。有关其他信息,请参见《系统管理指南:IP 服务》中的第 25 章 "Oracle Solaris 中的 IP 过滤器(概述)"。
在非全局区域中,可以通过启用回送过滤功能来启用 Oracle Solaris IP 过滤器,如《系统管理指南:IP 服务》中的第 26 章 "IP 过滤器(任务)"中所述。
Oracle Solaris IP 过滤器是从开源 IP 过滤器软件派生的。
IP 网络多路径 (IP network multipathing, IPMP) 为在同一 IP 链路上具有多个接口的系统提供物理接口故障检测和透明网络访问故障转移功能。IPMP 还为具有多个接口的系统提供了包负荷分配。
所有网络配置均在全局区域中完成。可以在全局区域中配置 IPMP,然后将功能扩展到非全局区域。当配置非全局区域时,将此区域的地址放入 IPMP 组中即可实现功能扩展。此后,如果全局区域中有一个接口出现故障,则非全局区域地址将迁移到其他网络接口卡。共享 IP 区域可拥有多个 IP 地址,它可以是多个 IPMP 组的组成部分,而且多个共享的 IP 区域可使用指定的同一 IPMP 组。
在给定的非全局区域中,只有与此区域关联的接口才能通过 ifconfig 命令进行查看。
请参见如何将 IP 网络多路径功能扩展到共享 IP 非全局区域。区域配置过程在如何配置区域中介绍。有关 IPMP 功能、组件和用法的信息,请参见《系统管理指南:IP 服务》中的第 30 章 "IPMP 介绍(概述)"。
|