Como funcionam as zonas

Pode-se pensar em uma zona não global como uma caixa. Um ou mais aplicativos podem ser executados nesta caixa sem interagirem com o resto do sistema. As zonas do Solaris isolam aplicativos de software ou serviços usando limites flexíveis e definidos pelo software. Aplicativos executados na mesma instância do Solaris Operating System podem então ser gerenciados independentemente um do outro. Assim, diferentes versões do mesmo aplicativo podem ser executados em diferentes zonas, para atender os requisitos de sua configuração.

Um processo atribuído a uma zona pode manipular, monitorar e se comunicar diretamente com outros processos que estão atribuídos à mesma zona. Os processos não podem executar essas funções com processos atribuídos a outras zonas no sistema ou com processos atribuídos à zona. Os processos atribuídos a diferentes zonas podem se comunicar somente através de APIs de rede.

A partir do Solaris 10 8/07, a rede IP pode ser configurada de duas formas diferentes, dependendo de a zona estar atribuída a uma instância de IP exclusivo ou de compartilhar o estado e a configuração da camada IP com a zona global. Para obter mais informações sobre tipo de IP em zonas, consulte Interfaces de rede de zona. Para obter informações sobre configuração, consulte Como configurar a zona.

Todo sistema do Solaris contém uma zona global. A zona global tem uma função dupla. A zona global é tanto a zona padrão para o sistema como a zona utilizada para o controle administrativo do sistema geral. Todos os processos executados na zona global, se não houver zonas não globais, conhecidas simplesmente como zonas, são criados pelo administrador global.

A zona global é a única zona a partir da qual uma zona não global pode ser configurada, instalada, gerenciada ou desinstalada. Somente a zona global é inicializável a partir do hardware do sistema. A administração da infra-estrutura do sistema, como dispositivos físicos, roteamento em uma zona de IP compartilhado ou reconfiguração dinâmica (DR), só é possível na zona global. Processos apropriadamente privilegiados executados na zona global podem acessar objetos associados a outras zonas.

Processos não privilegiados na zona global podem executar operações não permitidas a processos privilegiados em uma zona não global. Por exemplo, usuários na zona global podem visualizar informações sobre cada processo no sistema. Se esta capacidade apresentar um problema para seu site, você poderá restringir acesso à zona global.

A cada zona, incluindo a zona global, é atribuído um nome. A zona global sempre tem o nome global. Cada zona também recebe um identificador numérico exclusivo, que é atribuído pelo sistema quando a zona é inicializada. A zona global é sempre mapeada para o ID 0. Os nomes de zona e os IDs numéricos são tratados em Uso do comando zonecfg.

Cada zona também pode ter um nome de nó que é completamente independente do nome de zona. O nome de nó é atribuído pelo administrador da zona. Para obter mais informações, consulte Nome do nó na zona não global.

Cada zona tem um caminho para seu diretório raiz que é relacionado ao diretório raiz da zona global. Para obter mais informações, consulte Uso do comando zonecfg.

A classe de agendamento para uma zona não global é definida como a classe de agendamento para o sistema por padrão. Consulte Classe de agendamento em uma zona para uma discussão dos métodos usados para definir a classe de agendamento em uma região.

Você pode usar o priocntl descrito na página man priocntl(1) para mover processos em execução para uma classe de agendamento diferente sem alterar a classe de agendamento padrão e sem reinicializar.

Resumo de recursos de zona

A tabela abaixo resume as características de zonas globais e não globais.

Tipo de zona

Característica

Global

O sistema atribui o ID 0
Fornece uma instância única do kernel do Solaris que é inicializável e executada no sistema
Contém uma instalação completa dos pacotes de software de sistema do Oracle Solaris
Pode conter pacotes de software adicionais ou software, diretórios e arquivos adicionais ou outros dados não instalados através de pacotes
Oferece um banco de dados de produto completo e consistente que contém informações sobre todos os componentes de software instalados na zona global
Armazena informações de configuração específicas somente da zona global, como o nome do host da zona global e a tabela do sistema de arquivos
É a única zona que reconhece todos os dispositivos e todos os sistemas de arquivos
É a única zona com conhecimento da existência e da configuração da zona não global
É a única zona a partir da qual uma zona não global pode ser configurada, instalada, gerenciada ou desinstalada.

Não global

O sistema atribui um ID de zona quando a zona é inicializada
Compartilha operação no kernel do Solaris inicializado a partir da zona global
Contém instalado um subconjunto dos pacotes de software completos do sistema operacional Oracle Solaris
Contém pacotes de software do Oracle Solaris compartilhados a partir da zona global
Pode conter pacotes de software adicionais instalados não compartilhados a partir da zona global
Pode conter software, diretórios e arquivos adicionais, e outros dados criados na zona não global que não são instalados através de pacotes ou compartilhados a partir da zona global
Tem um banco de dados de produto completo e consistente que contém informações sobre todos os componentes de software instalados na zona, presentes na zona não global ou somente leitura compartilhados a partir da zona global
Não reconhece a existência de outras zonas
Não pode instalar, gerenciar ou desinstalar outras zonas, inclusive ela mesma
Tem informações de configuração específicas somente dessa zona não global, como o nome do host da zona não global e a tabela do sistema de arquivos
Pode ter sua própria configuração de fuso horário

Como zonas não globais são administradas

Um administrador global tem privilégios de superusuário ou a função de administrador principal. Quando conectado à zona global, o administrador global pode monitorar e controlar o sistema como um todo.

Uma zona não global pode ser administrada por um administrador de zonas. O administrador global atribui o perfil de gerenciamento de zonas ao administrador de zonas. Os privilégios de um administrador de zonas limitam-se a uma zona não global.

Como zonas não globais são criadas

O administrador global usa o comando zonecfg para configurar uma zona especificando vários parâmetros para a plataforma virtual da zona e o ambiente de aplicativo. A zona é em seguida instalada pelo administrador global, que usa o comando de administração de zona zoneadm para instalar software no nível de pacotes na hierarquia do sistema de arquivos estabelecida para a zona. O administrador global pode efetuar login na zona instalada usando o comando zlogin. No primeiro login, a configuração interna para a zona é concluída. O comando zoneadm é usado para inicializar a zona.

Para obter informações sobre configuração de zonas, consulte o Capítulo 17, Configuração de zona não global (Visão geral). Para obter informações sobre instalação de zonas, consulte o Capítulo 19, Sobre instalação, parada, clonagem e desinstalação de zonas não globais (Visão geral). Para obter informações sobre login em zonas, consulte o Capítulo 21, Login na zona não global (Visão geral).

Modelo de estado da zona não global

Uma zona não global pode estar em um dos seis estados seguintes:

Configurado: A configuração da zona está completa e confirmada para o armazenamento. No entanto, esses elementos do ambiente de aplicativo da zona que devem ser especificados após a inicialização inicial ainda não estão presentes.
Incompleto: Durante uma operação de instalação ou desinstalação, zoneadm define o estado da zona de destino como incompleto. Após a conclusão bem-sucedida da operação, o estado ß definido para o estado correto.
Instalado: A configuração da zona é instanciada no sistema. O comando zoneadm é usado para verificar se a configuração pode ser usada com êxito no sistema do Solaris designado. Pacotes são instalados sob o caminho raiz da zona. Neste estado, a zona não tem plataforma virtual associada.
Preparado: A plataforma virtual para a zona é estabelecida. O kernel cria o processo zsched, interfaces de rede são configuradas disponibilizadas para a rede, sistemas de arquivos são montados e dispositivos são configurados. Um ID de zona exclusivo é atribuído pelo sistema. Neste estágio, nenhum processo associado à zona foi iniciado.
Execução: Processos de usuário associados ao ambiente de aplicativo da zona estão em execução. A zona entra no estado de execução assim que o primeiro processo de usuário associado ao ambiente de aplicativo (init) é criado.
Desligamento e inoperante: Esses estados são estados de transição que são visíveis enquanto a zona está sendo parada. No entanto, a zona que não pode desligar por alguma razão irá parar em um destes estados.

O Capítulo 20, Instalação, inicialização, parada, desinstalação e clonagem de zonas não globais (Tarefas) e a página man zoneadm(1M) descrevem como usar o comando zoneadm para iniciar transições entre estes estados.

Tabela 16-1 Comandos que afetam o estado da zona

Estado atual da zona	Comandos aplicáveis
Configurado	`zonecfg` `-z` `zonename` `verify` `zonecfg` `-z` `zonename` `commit` `zonecfg` `-z` `zonename` `delete` `zoneadm` `-z` `zonename` `attach` `zoneadm` `-z` `zonename` `verify` `zoneadm` `-z` `zonename` `install` `zoneadm` `-z` `zonename` `clone` Você pode também usar `zonecfg` para renomear uma zona no estado de configurado ou instalado.
Incompleto	`zoneadm` `-z` `zonename` `uninstall`
Instalado	`zoneadm` `-z` `zonename` `ready` (opcional) `zoneadm` `-z` `zonename` `boot` `zoneadm` `-z` `zonename` `uninstall` desinstala do sistema a configuração da zona especificada. `zoneadm` `-z` `zonename` `move` `path` `zoneadm` `-z` `zonename` `detach` `zonecfg` `-z` `zonename` podem ser usados para adicionar ou remover uma propriedade de `attr`, `bootargs`, `capped-memory`, `dataset`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv` , `net`, `rctl`,ou `scheduling-class` . Você também pode renomear uma zona no estado de instalado. Os recursos `inherit-pkg-dir` não podem ser alterados.
Preparado	`zoneadm` `-z` `zonename` `boot` `zoneadm` `halt` e reinicialização do sistema retornam uma zona no estado de preparado para o estado de instalado. `zonecfg` `-z` `zonename` podem ser usados para adicionar ou remover uma propriedade de `attr`, `bootargs`, `capped-memory`, `dataset`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv` , `net`, `rctl`,ou `scheduling-class` . Os recursos `inherit-pkg-dir` não podem ser alterados.
Execução	`zlogin` `options` `zonename` `zoneadm` `-z` `zonename` `reboot` `zoneadm` `-z` `zonename` `halt` retorna uma zona preparada para o estado de instalada. `zoneadm` `halt` e a reinicialização do sistema retorna uma zona no estado de execução para o estado de instalada. `zonecfg` `-z` `zonename` podem ser usados para adicionar ou remover uma propriedade de `attr`, `bootargs`, `capped-memory`, `dataset`, `dedicated-cpu`, `device`, `fs`, `ip-type`, `limitpriv` , `net`, `rctl`,ou `scheduling-class` . Os recursos `zonepath` e `inherit-pkg-dir` não podem ser alterados.

Observação - Parâmetros alterados através de zonecfg não afetam uma zona em execução. A zona deve ser reinicializada para as alterações entrarem em vigor.

Características da zona não global

Uma zona fornece isolamento em quase qualquer nível de granularidade de que você necessita. Uma zona não precisa de uma CPU dedicada, de um dispositivo físico ou de uma parte da memória física. Esses recursos podem ser multiplexados entre diversas zonas executadas dentro de um único domínio ou sistema, ou alocados em uma base por zona usando as facilidades de gerenciamento de recurso disponíveis no sistema operacional.

Cada zona pode oferecer um conjunto personalizado de serviços. Para aplicar isolamento básico de processo, um processo pode ver ou sinalizar somente os processos que existem na mesma zona. A comunicação básica entre zonas é realizada dando-se a cada zona conectividade de rede IP. Um aplicativo executado em uma zona não pode observar o tráfego de rede de outra zona. Este isolamento é mantido mesmo através de fluxos respectivos de percursos de pacotes através da mesma interface física.

Cada zona recebe uma parte da hierarquia do sistema de arquivos. Uma vez que cada zona é confinada à sua sub-árvore da hierarquia do sistema de arquivos, uma carga de trabalho em execução em uma determinada zona não pode acessar os dados em disco de outra carga de trabalho em execução em uma zona diferente.

Arquivos usados por serviços de identificação residem dentro de uma exibição do sistema de arquivos raiz da própria zona. Assim, serviços de identificação em zonas diferentes são isolados uns dos outros e os serviços podem ser configurados diferentemente.

Uso dos recurso de gerenciamento de recursos com zonas não globais

Se usar as facilidades do gerenciamento de recursos, você deve alinhar os limites dos controles de gerenciamento de recursos com os das zonas. Esse alinhamento cria um modelo mais completo de uma máquina virtual, onde acesso a espaço de nome, isolamento de segurança e uso de recursos são controlados.

Quaisquer requisitos especiais para o uso de várias facilidades de gerenciamento de recursos com zonas são tratados em capítulos individuais deste manual que documentam essas facilidades.

Ignorar Links de Navegao
Sair do Modo de Exibio de Impresso
	Guia de administração do sistema: gerenciamento de recursos do Oracle Solaris Containers e Oracle Solaris Zones Oracle Solaris 10 1/13 Information Library (Português (Brasil))