| Ignorar Links de Navegao | |
| Sair do Modo de Exibio de Impresso | |
|
Guia de administração do sistema: gerenciamento de recursos do Oracle Solaris Containers e Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (Português (Brasil)) |
| Ignorar Links de Navegao | |
| Sair do Modo de Exibio de Impresso | |
|
|
Guia de administração do sistema: gerenciamento de recursos do Oracle Solaris Containers e Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (Português (Brasil)) |
Parte I Gerenciamento de Recursos
1. Introdução ao gerenciador de recursos do Solaris 10
2. Projetos e tarefas (visão geral)
3. Administração de projetos e tarefas
4. Contabilidade estendida (Visão geral)
5. Administração da contabilidade estendida (tarefas)
6. Controles de Recursos (Visão Geral)
7. Administração de controles de recursos (Tarefas)
8. Fair share scheduler (visão geral)
9. Administração do fair share scheduler (tarefas)
10. Controle da memória física usando o resource capping daemon (visão geral)
11. Administração do resource capping daemon (tarefas)
12. Pools de recursos (Visão geral)
13. Criação e administração de pools de recursos (Tarefas)
14. Exemplo de configuração de gerenciamento de recurso
15. Funcionalidade do controle de recursos no Console de gerenciamento Solaris
16. Introdução ao Solaris Zones
17. Configuração de zona não global (Visão geral)
18. Planejamento e configuração de zonas não globais (Tarefas)
19. Sobre instalação, parada, clonagem e desinstalação de zonas não globais (Visão geral)
20. Instalação, inicialização, parada, desinstalação e clonagem de zonas não globais (Tarefas)
21. Login na zona não global (Visão geral)
22. Login em zonas não globais (Tarefas)
23. Movendo e migrando zonas não globais (Tarefas)
24. Oracle Solaris 10 9/10: migrando de um sistema Oracle Solaris físico para uma zona (Tarefas)
25. Sobre pacotes e patches em um sistema do Oracle Solaris com zonas instaladas (Visão geral)
27. Administração do Oracle Solaris Zones (Visão geral)
O que há de novo neste capítulo?
Visibilidade e acesso de zona global
Visibilidade de ID de processo em zonas
Observação do sistema em zonas
Sistemas de arquivos e zonas não globais
Montagem de sistemas de arquivos em zonas
Desmontagem de sistemas de arquivos em zonas
Restrições de segurança e comportamento do sistema de arquivos
Zonas não globais como clientes NFS
Uso de mknod proibido em uma zona
Atravessamento de sistemas de arquivos
Restrição de acesso a uma zona não global a partir da zona global
Conexão à rede em zonas não globais com IP compartilhado
Partição de zona com IP compartilhado
Interfaces de rede com IP compartilhado
Tráfego IP entre zona com IP compartilhado na mesma máquina
Filtro IP do Oracle Solaris em zonas com IP compartilhado
Vários caminhos de rede IP em zonas com IP compartilhado
Oracle Solaris 10 8/07: conexão à rede em zonas não globais com IP exclusivo
Partição de zona com IP exclusivo
Interfaces de link de dados com IP exclusivo
Tráfego IP entre zonas com IP exclusivo na mesma máquina
Filtro de IP do Oracle Solaris em zonas com IP Exclusivo
Vários caminhos de rede IP em zonas com IP exclusivo
Uso de dispositivo em zonas não globais
/dev e o espaço de nome /devices
Administração de driver de dispositivo
Utilitários que não funcionam ou são modificados em zonas não globais
Utilitários que não funcionam em zonas não globais
SPARC: Utilitário modificado para uso em uma zona não global
Execução de aplicativos em zonas não globais
Controles de recursos em zonas não globais
Fair share scheduler em um sistema do Oracle Solaris com zonas instaladas
Divisão de compartilhamento do FSS em uma zona não global
Equilíbrio de compartilhamento entre zonas
Contabilidade estendida em um sistema do Oracle Solaris com zonas instaladas
Privilégios em uma zona não global
Uso da arquitetura de segurança IP em zonas
Arquitetura de segurança IP em zonas com IP compartilhado
Oracle Solaris 10 8/07: arquitetura de segurança IP em zonas com IP exclusivo
Usando a auditoria do Oracle Solaris em zonas
Configuração de auditoria na zona global
Configuração de características de auditoria de usuário em uma zona não global
Fornecimento de registros de auditoria para uma zona não global específica
Execução do DTrace em uma zona não global
Sobre backup de um sistema Oracle Solaris com zonas instaladas
Backup de diretórios de sistema de arquivos de loopback
Backup do sistema a partir da zona global
Backup de zonas não globais individuais no sistema
Determinação do que fazer backup em zonas não globais
Backup somente de dados de aplicativos
Operações de backup de banco de dados geral
Sobre restauração de zonas não globais
Comandos usados em um sistema do Oracle Solaris com zonas instaladas
28. Administração do Oracle Solaris Zones (Tarefas)
29. Atualização de um sistema Oracle Solaris 10 com zonas não globais instaladas
30. Soluções diversas de problemas do Oracle Solaris Zones
Parte III 1x}Zonas não nativas
31. Sobre zonas não nativas e zonas não nativas do Linux
32. Planejamento da configuração da zona não nativa lx (Visão geral)
33. Configuração de zonas não nativas lx (Tarefas)
36. Login em zonas não nativas lx (Tarefas)
37. Movendo e migrando zonas não nativas lx (Tarefas)
38. Administração e execução de aplicativos em zonas não nativas lx (Tarefas)
Esta seção fornece informações sobre os problemas do sistema de arquivos em um sistema Oracle Solaris com zonas instaladas. Cada zona tem sua própria seção na hierarquia do sistema de arquivos, enraizada em um diretório conhecido como root. Os processos na zona podem acessar somente arquivos na parte da hierarquia que está localizada na raiz da zona. O utilitário chroot pode ser usado em uma zona, mas somente para restringir o processo a um caminho raiz dentro da zona. Para obter mais informações sobre chroot, consulte chroot(1M).
A opção -o nosuid para o utilitário mount tem a seguinte funcionalidade:
Os processos de um binário setuid localizado em um sistema de arquivos que é montado usando-se a opção nosetuid não é executada com privilégios do bináriosetuid. Os processos são executados com os privilégios do usuário que executa o binário.
Por exemplo, se um usuário executa um binário setuid pertencente a root, os processos são executados com os privilégios do usuário.
Não é permitida a abertura de entradas especiais de dispositivo no sistema de arquivos. Este comportamento é equivalente a especificar a opção nodevices.
Esta opção específica do sistema está disponível para todos os sistemas de arquivos Oracle Solaris que podem ser montados com utilitários mount, como descrito na página man mount(1M). Neste guia, esses sistemas de arquivos estão listados em Montagem de sistemas de arquivos em zonas. As capacidades de montagem também são descritas. Para obter mais informações sobre a opção -o nosuid, consulte “Accessing Network File Systems (Reference)” no System Administration Guide: Network Services .
Quando sistemas de arquivos são montados dentro de uma zona, a opção nodevices se aplica. Por exemplo, se uma zona recebe acesso a um dispositivo de bloco (/dev/dsk/c0t0d0s7 ) e a um dispositivo básico (/dev/rdsk/c0t0d0s7) correspondentes a um sistema de arquivos UFS, o sistema de arquivos será montado automaticamente nodevices quando montado dentro de uma zona. Esta regra não se aplica a montagens especificadas através da configuração zonecfg.
As opções para a montagem de sistemas de arquivos em zonas não globais são descritas na tabela abaixo. Os procedimentos para essas alternativas de montagem são fornecidos em Configuração, verificação e confirmação de uma zona e Montagem de sistemas de arquivos em zonas não globais em execução.
Qualquer tipo de sistema de arquivos não listados tabela podem ser especificados na configuração se tiver um binário de montagem em /usr/lib/fstype/mount .
|
Para obter mais informações, consulte Como configurar a zona, Montagem de sistemas de arquivos em zonas não globais em execução e a página man mount(1M).
A capacidade de desmontar um sistema de arquivos depende de quem executou a montagem inicial. Se um sistema de arquivos foi especificado como parte da configuração da zona usando-se o comando zonecfg, a zona global será proprietária dessa montagem e o administrador da zona não global não poderá desmontar o sistema de arquivos. Se o sistema de arquivos foi montado de dentro da zona não global, por exemplo especificando a montagem no arquivo /etc/vfstab da zona, o administrador da zona não global poderá desmontar o sistema de arquivos.
Há restrições de segurança em relação à montagem de determinados sistemas de arquivos de dentro de uma zona. Outros sistemas de arquivos apresentam comportamento especial quando montados em uma zona. Segue-se a lista de sistemas de arquivos modificados.
Autofs é um serviço de cliente que monta automaticamente o sistema de arquivos apropriado. Quando um cliente tenta acessar um sistema de arquivos que não está atualmente montado, o sistema de arquivos AutgoFS intercepta a solicitação e chama automountd para montar o diretório solicitado. Montagens do AutoFS estabelecidas no interior de uma zona são locais para essa zona. As montagens não podem ser acessadas a partir de outras zonas, inclusive a zona global. As montagens são removidas quando a zona é parada ou reinicializada. Para obter informações sobre AutoFS, consulte How Autofs Works no System Administration Guide: Network Services.
Cada zona executa sua própria cópia de automountd. Os mapas automáticos e os tempos-limite são controlados pelo administrador de zonas. Não é possível acionar uma montagem em outra zona atravessando-se um ponto de montagem do AutoFS para uma zona não global a partir da zona global.
Determinadas montagens do AutoFS são criadas no kernel quando outra montagem é acionada. Essas montagens não podem ser removidas usando-se a interface regular umount, porque devem ser montadas ou desmontadas como um grupo. Observe que esta funcionalidade é fornecida por desligamento de zona.
MNTFS é um sistema de arquivos virtual que fornece acesso somente leitura à tabela de sistemas de arquivos montados para o sistema local. O conjunto de sistemas de arquivos visíveis usando-se mnttab de dentro da zona não global é o conjunto de sistemas de arquivos montados na zona, mais uma entrada para raiz (/). Pontos de montagem com um dispositivo especial que não é acessível a partir do interior da zona, como /dev/rdsk/c0t0d0s0, têm um conjunto de dispositivos semelhante ao do ponto de montagem. Todas as montagens no sistema são visíveis a partir da tabela /etc/mnttab da zona global. Para obter mais informações sobre MNTFS, consulte Mounting and Unmounting Oracle Solaris File Systems no System Administration Guide: Devices and File Systems.
Montagens do NFS estabelecidas dentro de uma zona são locais para essa zona. As montagens não podem ser acessadas a partir de outras zonas, inclusive a zona global. As montagens são removidas quando a zona é parada ou reinicializada.
Como documentado na página man mount_nfs(1M), um servidor de NFS não deve tentar montar seus próprios sistemas de arquivos. Assim, uma zona não deve montar um sistema de arquivos NFS exportado pela zona global. Zonas não podem ser servidores de NFS. De dentro de uma zona, as montagens NFS se comportam como se montadas com a opção nodevices.
A saída do comando nfsstat somente pertence à zona em que o comando é executado. Por exemplo, se o comando for executado na zona global, somente informações sobre a zona global são relatadas. Para obter mais informações o comando nfsstat, consulte nfsstat(1M).
O comando zlogin falhará se qualquer um dos arquivos abertos ou qualquer parte do espaço de endereço residirem em NFS. Para obter mais informações, consulte Comando zlogin.
O sistema de arquivos /proc, ou PROCFS, fornece visibilidade de processos e restrições de acesso, assim como informações sobre a associação de zonas de processos. Somente processos na mesma zona são visíveis através de /proc.
Processos na zona global podem observar processos e outros objetos em zonas não globais. Isso permite que esses processos tenham uma observação do sistema geral.
Dentro de uma zona, as montagens de procfs se comportam como se feitas com a opção nodevices. Para obter mais informações sobre procfs, consulte a página man proc(4).
O escopo do que pode ser montado através de LOFS é limitado à parte do sistema de arquivos que é visível para a zona. Assim, não há restrições a montagens LOFS em uma zona.
Ao usar o comando zonecfg para configurar sistemas de arquivos baseados em armazenamento que têm um binária fsck, como UFS, o administrador da zona deve especificar um parâmetro raw. O parâmetro indica o dispositivo (caractere) básico, como /dev/rdsk/c0t0d0s7 . zoneadmd executa automaticamente o comando fsck em modo não interativo somente de verificação (fsck -m) neste dispositivo antes de montar o sistema de arquivos. Se fsck falhar, zoneadmd não poderá colocar a zona no estado preparado. O caminho especificado por raw não pode ser um caminho relativo.
É um erro especificar um dispositivo para fsck de um sistema de arquivos que não fornece um binário fsck em /usr/lib/ fstype/fsck. É também um erro não especificar um dispositivo fsck se um binário fsck existir para esse sistema de arquivos.
Para obter mais informações, consulte O daemon zoneadmd e fsck(1M)
Você pode adicionar um conjunto de dados ZFS a uma zona não global usando o comando zonecfg com o recurso add dataset. O conjunto de dados será visível e montado em uma zona não global e não mais visível na zona global. O administrador de zonas pode criar e destruir sistemas de arquivos dentro desse conjunto de dados, criar e destruir clones e modificar as propriedades do conjunto de dados.
O atributo zoned de zfs indica se um conjunto de dados foi adicionado a uma zona não global.
# zfs get zoned tank/sales NAME PROPERTY VALUE SOURCE tank/sales zoned on local
Se desejar compartilhar um conjunto de dados da zona global, você pode adicionar um sistema de arquivos ZFS com montagem LOFS usando o comando zonecfg com o subcomando add fs. O administrador global é responsável para definição e pelo controle das propriedades do conjunto de dados.
Para mais informações sobre ZFS, consulte o Capítulo 10, Tópicos avançados do ZFS do Oracle Solaris, no Guia de administração do ZFS Oracle Solaris.
Zonas podem ser clientes NFS. Há suporte para os protocolos das versões 2, 3 e 4. Para obter mais informações sobre estas versões de NFS, consulte Features of the NFS Service no System Administration Guide: Network Services.
A versão padrão é a versão 4 do NFS. Você pode ativar outras versões de NFS em um cliente usando um dos seguintes métodos:
Você pode editar /etc/default/nfs para definir NFS_CLIENT_VERSMAX=number para que a região use por padrão a versão especificada. Consulte Setting Up NFS Services no System Administration Guide: Network Services . Use o procedimento Como selecionar diferentes versões de NFS em um cliente modificando o arquivo /etc/default/nfs no mapa de tarefas.
Você pode criar manualmente uma montagem de versão. Este método substitui o conteúdo de /etc/default/nfs. Consulte Setting Up NFS Services no System Administration Guide: Network Services . Use o procedimento Como usar a linha de comando para selecionar diferentes versões de NFS em um cliente a partir do mapa de tarefas.
Observe que não é possível usar o comando mknod documentado na página man mknod(1M) para criar um arquivo especial em uma zona não global.
Em espaço de nome do sistema de arquivos da zona é um subconjunto do espaço de nome acessível a partir da zona global. Processos não privilegiados na zona global são impedidos de atravessar a hierarquia do sistema de arquivos de uma zona não global através dos seguintes meios:
Especificação de que o diretório pai da raiz da zona é pertencente à raiz e legível e executável somente por ela
Restrição de acesso a diretórios exportados por /proc
Observe que a tentativa de acessar nós de AutoFS montados por outra zona irá falhar. O administrador global não deve ter mapas automáticos que passem para outras zonas.
Após a instalação de uma zona não global, a zona não deve ser acessada diretamente da zona global por quaisquer comandos que não sejam utilitários de backup do sistema. Além disso, uma zona não global não pode mais ser considerada segura depois de ter sido exposta a um ambiente desconhecido. Um exemplo seria uma zona colocada em uma rede acessível publicamente, em que seria possível que a zona fossem comprometida e o conteúdo de seus sistemas de arquivos alterados. Se houver qualquer possibilidade da ocorrência de comprometimento, a administrador global deverá tratar a zona como não confiável.
Qualquer comando que aceite uma raiz alternativa com o uso das opções -R ou - b (ou o equivalente) não deve ser usado quando o seguinte for verdadeiro:
O comando é executado na zona global.
A raiz alternativa se refere a qualquer caminho raiz dentro de uma zona não global, seja o caminho relativo à zona global do sistema em execução atualmente seja a zona global em uma raiz alternativa.
Um exemplo é a opção -R root_path para o utilitário pkgadd executado a partir da zona global com um caminho raiz de zona não global.
A lista de comandos, programas e utilitários que usam -R com um caminho raiz alternativo inclui o seguinte:
auditreduce
bart
flar
flarcreate
installf
localeadm
makeuuid
metaroot
patchadd
patchrm
pkgadd
pkgadm
pkgask
pkgchk
pkgrm
prodreg
removef
routeadm
showrev
syseventadm
A lista de comandos e programas que usam -b com um caminho raiz alternativo inclui o seguinte:
add_drv
pprosetup
rem_drv
roleadd
sysidconfig
update_drv
useradd
|