非全局区域提供的功能

非全局区域可提供以下功能：

安全性

一旦将进程放入全局区域之外的区域，此进程或其后续子进程便不能更改区域。

可以在区域中运行网络服务。通过在区域中运行网络服务，可限制出现安全违规时可能引起的损坏。如果入侵者成功利用了区域中运行的软件中的安全缺陷，则此入侵者只能在此区域中执行一部分可能的操作。区域中可用的特权是整个系统中可用特权的一部分。

隔离

使用区域，可以在同一计算机上部署多个应用程序，即使这些应用程序运行在不同的信任域中，需要独占访问全局资源或者全局配置出现问题也是如此。例如，使用与每个区域关联的特定 IP 地址或通配符地址，可以将同一系统的不同共享 IP 区域中运行的多个应用程序绑定到同一网络端口。应用程序还无法监视或拦截其他应用程序的网络流量、文件系统数据或进程活动。

网络隔离

如果需要在网络上的 IP 层隔离某个区域，例如，将其连接到与全局区域和其他非全局区域不同的 VLAN 或不同的 LAN，此时出于安全原因考虑，该区域可以有一个专用 IP。专用 IP 区域可用于整合必须在不同子网（这些子网位于不同的 VLAN 或不同的 LAN）上通信的应用程序。

也可以将区域配置为共享 IP 区域。这些区域将连接到与全局区域相同的 VLAN 或相同的 LAN，并与全局区域共享 IP 路由配置。共享 IP 区域具有单独的 IP 地址，但共享 IP 的其他部分。

虚拟化

区域提供了一个虚拟环境，此环境可以在应用程序中隐藏详细信息（例如物理设备、系统的主 IP 地址以及主机名）。可以在不同的物理计算机上维护同一应用程序环境。通过虚拟环境，可以单独管理每个区域。区域管理员在非全局区域中执行的操作不会影响系统的其余部分。

粒度

区域提供的隔离几乎可细化到任何程度。有关更多信息，请参见非全局区域特征。

环境

区域不更改应用程序的执行环境，但为实现安全和隔离目标而必须更改的情况除外。区域不显示应用程序必须连接的新 API 或 ABI。相反，区域提供具有某些限制的标准 Solaris 接口和应用程序环境。这些限制主要影响尝试执行特权操作的应用程序。

无论是否配置其他区域，全局区域中的应用程序始终会运行而无需修改。