Ignorar Links de Navegao | |
Sair do Modo de Exibio de Impresso | |
![]() |
Guia de administração do sistema: gerenciamento de recursos do Oracle Solaris Containers e Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (Português (Brasil)) |
Parte I Gerenciamento de Recursos
1. Introdução ao gerenciador de recursos do Solaris 10
2. Projetos e tarefas (visão geral)
3. Administração de projetos e tarefas
4. Contabilidade estendida (Visão geral)
5. Administração da contabilidade estendida (tarefas)
6. Controles de Recursos (Visão Geral)
7. Administração de controles de recursos (Tarefas)
8. Fair share scheduler (visão geral)
9. Administração do fair share scheduler (tarefas)
10. Controle da memória física usando o resource capping daemon (visão geral)
11. Administração do resource capping daemon (tarefas)
12. Pools de recursos (Visão geral)
13. Criação e administração de pools de recursos (Tarefas)
14. Exemplo de configuração de gerenciamento de recurso
15. Funcionalidade do controle de recursos no Console de gerenciamento Solaris
16. Introdução ao Solaris Zones
17. Configuração de zona não global (Visão geral)
18. Planejamento e configuração de zonas não globais (Tarefas)
19. Sobre instalação, parada, clonagem e desinstalação de zonas não globais (Visão geral)
20. Instalação, inicialização, parada, desinstalação e clonagem de zonas não globais (Tarefas)
21. Login na zona não global (Visão geral)
22. Login em zonas não globais (Tarefas)
23. Movendo e migrando zonas não globais (Tarefas)
24. Oracle Solaris 10 9/10: migrando de um sistema Oracle Solaris físico para uma zona (Tarefas)
25. Sobre pacotes e patches em um sistema do Oracle Solaris com zonas instaladas (Visão geral)
27. Administração do Oracle Solaris Zones (Visão geral)
O que há de novo neste capítulo?
Visibilidade e acesso de zona global
Visibilidade de ID de processo em zonas
Observação do sistema em zonas
Sistemas de arquivos e zonas não globais
Montagem de sistemas de arquivos em zonas
Desmontagem de sistemas de arquivos em zonas
Restrições de segurança e comportamento do sistema de arquivos
Zonas não globais como clientes NFS
Uso de mknod proibido em uma zona
Atravessamento de sistemas de arquivos
Restrição de acesso a uma zona não global a partir da zona global
Conexão à rede em zonas não globais com IP compartilhado
Partição de zona com IP compartilhado
Interfaces de rede com IP compartilhado
Tráfego IP entre zona com IP compartilhado na mesma máquina
Oracle Solaris 10 8/07: conexão à rede em zonas não globais com IP exclusivo
Partição de zona com IP exclusivo
Interfaces de link de dados com IP exclusivo
Tráfego IP entre zonas com IP exclusivo na mesma máquina
Filtro de IP do Oracle Solaris em zonas com IP Exclusivo
Vários caminhos de rede IP em zonas com IP exclusivo
Uso de dispositivo em zonas não globais
/dev e o espaço de nome /devices
Administração de driver de dispositivo
Utilitários que não funcionam ou são modificados em zonas não globais
Utilitários que não funcionam em zonas não globais
SPARC: Utilitário modificado para uso em uma zona não global
Execução de aplicativos em zonas não globais
Controles de recursos em zonas não globais
Fair share scheduler em um sistema do Oracle Solaris com zonas instaladas
Divisão de compartilhamento do FSS em uma zona não global
Equilíbrio de compartilhamento entre zonas
Contabilidade estendida em um sistema do Oracle Solaris com zonas instaladas
Privilégios em uma zona não global
Uso da arquitetura de segurança IP em zonas
Arquitetura de segurança IP em zonas com IP compartilhado
Oracle Solaris 10 8/07: arquitetura de segurança IP em zonas com IP exclusivo
Usando a auditoria do Oracle Solaris em zonas
Configuração de auditoria na zona global
Configuração de características de auditoria de usuário em uma zona não global
Fornecimento de registros de auditoria para uma zona não global específica
Execução do DTrace em uma zona não global
Sobre backup de um sistema Oracle Solaris com zonas instaladas
Backup de diretórios de sistema de arquivos de loopback
Backup do sistema a partir da zona global
Backup de zonas não globais individuais no sistema
Determinação do que fazer backup em zonas não globais
Backup somente de dados de aplicativos
Operações de backup de banco de dados geral
Sobre restauração de zonas não globais
Comandos usados em um sistema do Oracle Solaris com zonas instaladas
28. Administração do Oracle Solaris Zones (Tarefas)
29. Atualização de um sistema Oracle Solaris 10 com zonas não globais instaladas
30. Soluções diversas de problemas do Oracle Solaris Zones
Parte III 1x}Zonas não nativas
31. Sobre zonas não nativas e zonas não nativas do Linux
32. Planejamento da configuração da zona não nativa lx (Visão geral)
33. Configuração de zonas não nativas lx (Tarefas)
36. Login em zonas não nativas lx (Tarefas)
37. Movendo e migrando zonas não nativas lx (Tarefas)
38. Administração e execução de aplicativos em zonas não nativas lx (Tarefas)
Em um sistema do Oracle Solaris com zonas instaladas, as zonas podem se comunicar entre si pela rede. Todas as zonas têm vinculações separadas, ou conexões, e todas as zonas podem executar seus próprios daemons de servidor. Esses daemons podem escutar no mesmo número de portas sem qualquer conflito. A pilhas de IP resolve conflitos ao considerar endereços IP para conexões de entrada. Os endereços IP identificam a zona.
A pilha de IPs em um sistema que oferece suporte a zonas implementa a separação do tráfego de rede entre zonas. Os aplicativos que recebem o tráfego IP podem somente receber tráfego enviado para a mesma zona.
Cada interface lógica no sistema pertence a uma zona específica, a zona global por padrão. As interfaces lógicas de rede atribuídas a zonas através do utilitário zonecfg são usadas para a comunicação pela rede. Cada fluxo e cada conexão pertencem à zona do processo que a abriu.
Vinculações entre fluxos de camada superior e interfaces lógicas são restritas. Um fluxo pode somente estabelecer vinculações a interfaces lógicas na mesma zona. Da mesma forma, pacotes de uma interface lógica podem somente ser passados para grupos de camada superior na mesma zona que a interface lógica.
Cada zona tem seu próprio conjunto de vínculos. Cada zona pode executar o mesmo aplicativo que escuta no mesmo número de portas sem falha de vínculos, porque o endereço já está em uso. Cada zona pode executar sua própria versão dos seguintes serviços:
Daemon de serviços da Internet com um arquivo de configuração completo (consulte a página man inetd(1M))
sendmail (consulte a página man sendmail(1M))
apache (consulte a página man apache(1M))
Zonas que não sejam a zona global têm acesso restrito à rede. As interfaces de soquete TCP e UDP padrão estão disponíveis, mas as interfaces de soquete SOCK_RAW são restritas ao Internet Control Message Protocol (ICMP). ICMP é necessário para detectar e relatar condições de erro de rede ou usar o comando ping.
Cada zona que requer conectividade de rede tem um ou mais endereços IP dedicados. Esses endereços são associados às interfaces lógicas de rede que podem ser colocadas em uma zona usando-se o comando ifconfig. Interfaces de rede de zona configuradas pelo comando zonecfg serão automaticamente definidas e colocadas na zona quando esta for inicializada. O comando ifconfig pode ser usado para adicionar ou remover interfaces lógicas quando a zona está em execução. Somente o administrador global pode modificar a configuração da interface e as rotas de rede.
Dentro de uma zona global, somente as interfaces de zona estarão visíveis para ifconfig.
Para obter mais informações, consulte as páginas man ifconfig(1M) e if_tcp(7P).
Entre duas zonas na mesma máquina, a entrega de pacote só será permitida se houver uma “rota correspondente”para o destino e a zona na tabela de reenvio.
As informações correspondentes são implementadas da seguinte maneira:
O endereço de origem para os pacotes é selecionado na interface de saída especificada pela rota correspondente.
Por padrão, o tráfego é permitido entre duas zonas que têm endereços na mesma sub-rede. A rota correspondente neste caso é a rota de interface para a sub-rede.
Se houver uma rota padrão para uma dada zona, em que o gateway está em uma das sub-redes da zona, o tráfego dessa zona para outras zonas será permitido. A rota correspondente neste caso é a rota padrão.
Se houver uma rota correspondente com o sinalizador RTF_REJECT, os pacotes acionam uma mensagem de ICMP inatingível. Se houver uma rota correspondente com o sinalizador RTF_BLACKHOLE, os pacotes serão descartados. O administrador global pode usar as opções do comando route descritas na tabela abaixo para criar rotas com estes sinalizadores.
|
Para obter mais informações, consulte route(1M)
O filtro IP do Oracle Solaris fornece filtragem de pacotes e conversão de endereços de rede (NAT). Um filtro de pacote com informações de estado pode monitorar o estado de conexões ativas e usar as informações obtidas para determinar quais pacotes de rede terão permissão através do firewall. O filtro IP do Oracle Solaris também inclui filtragem de pacotes sem informações de estado e a capacidade de criar e gerenciar pools de endereços. Para obter informações adicionais, consulte o Capítulo 25, IP Filter in Oracle Solaris (Overview), no System Administration Guide: IP Services.
O filtro IP do Oracle Solaris pode ser ativado em zonas não globais através da ativação da filtragem de loopback, como descrito no Capítulo 26, IP Filter (Tasks), no System Administration Guide: IP Services.
O filtro IP do Oracle Solaris é derivado do software de filtro IP de código aberto.
O recurso de vários caminhos de rede IP (IPMP) oferece detecção de falha de interface física e falha de acesso de rede transparente para um sistema com várias interfaces no mesmo link de IP. IPMP também oferece propagação de carga de pacotes para sistemas com várias interfaces.
Toda a configuração de rede é feita na zona global. Você pode configurar IPMP na zona global e, em seguida, estender a funcionalidade para zonas não globais. A funcionalidade é estendida colocando-se o endereço da zona em um grupo IPMP ao configurar a zona. Em seguida, se uma das interfaces na zona global falhar, os endereços da zona não global migrarão para outra placa de interface de rede. Uma zona de IP compartilhado pode possuir vários endereços IP, que podem ser parte de vários grupos IPMP e um determinado grupo IPMP pode ser utilizado por várias zonas de IP compartilhado.
Em determinada zona não global, somente as interfaces associadas à zona são visíveis através do comando ifconfig.
Consulte Como estender a funcionalidade de vários caminhos de rede IP para zonas não globais com IP compartilhado. O procedimento de configuração de zonas é tratado em Como configurar a zona. Para obter informações sobre recursos, componentes e uso de IPMP, consulte Capítulo 30, Introducing IPMP (Overview), no System Administration Guide: IP Services .