Les types de ressources et de propriétés sont décrits comme suit :
Nom de la zone. Les règles suivantes s'appliquent aux noms de zones :
Chaque zone doit posséder un nom unique.
Les noms de zones sont sensibles à la casse.
Ils doivent commencer par un caractère alphanumérique.
Ils peuvent contenir des caractères alphanumériques, des traits de soulignement (_), des traits d'union (-) et des points (.)
Les noms de zones ne doivent pas comporter plus de 63 caractères.
Le nom global est réservé à la zone globale.
Les noms commençant par SYS sont réservés et ne peuvent pas être utilisés.
La propriété zonepath spécifie le chemin d'installation de la zone. Le chemin du répertoire root de chaque zone est lié au répertoire root de la zone globale. Lors de l'installation, le répertoire de la zone globale est requis pour bénéficier d'une visibilité limitée. Le répertoire des zones doit appartenir à root et être en mode 700. Si le chemin de la zone n'existe pas, il est automatiquement créé pendant l'installation. Si les autorisations sont incorrectes, elles seront automatiquement corrigées.
Le chemin du répertoire root des zones non globales se trouve un niveau en dessous. Le propriétaire et les droits d'accès du répertoire root de ces zones sont identiques à ceux du répertoire root (/) de la zone globale. Le répertoire des zones doit appartenir à root et être en mode 755. Cette hiérarchie permet d'éviter que les utilisateurs ne possédant pas de privilèges dans la zone globale puissent traverser le système de fichiers d'une zone non globale.
La zone doit résider sur un jeu de données ZFS. Le jeu de données ZFS est automatiquement créé lorsque la zone est installée ou jointe. Si un jeu de données ZFS ne peut pas être créé, l'installation ou la jonction de la zone est impossible.
|
Pour plus d'informations, reportez-vous à la section Parcours des systèmes de fichiers du manuel Création et utilisation d’Oracle Solaris Zones .
Dans la propriété zonecfg template, la valeur par défaut de zonepath est /system/zones/zonename.
Si cette propriété est définie sur true, l'initialisation de la zone globale entraîne automatiquement celle de la zone. Elle est définie sur false par défaut. Notez cependant que, quelle que soit la valeur de cette propriété, la zone ne s'initialise pas automatiquement si le service svc:/system/zones:default des zones est désactivé. Vous pouvez l'activer à l'aide de la commande svcadm, décrite dans la page de manuel svcadm(1M) :
global# svcadm enable zones
Pour plus d'informations sur ce réglage au cours de la mise à jour de pkg, reportez-vous à la section Présentation de l’empaquetage des zones du manuel Création et utilisation d’Oracle Solaris Zones .
Cette propriété permet de définir un argument d'initialisation pour la zone. Cet argument est appliqué, excepté s'il est ignoré par les commandes reboot, zoneadm boot ou zoneadm reboot. Reportez-vous à la section Zone Boot Arguments.
Cette propriété permet de spécifier un masque de privilège autre que celui par défaut. Reportez-vous à la section Privilèges dans une zone non globale du manuel Création et utilisation d’Oracle Solaris Zones .
Pour ajouter un privilège, spécifiez son nom en le faisant précéder ou non de priv_. Pour exclure un privilège, faites précéder son nom d'un tiret (-) ou d'un point d'exclamation (!). Les valeurs des privilèges doivent être séparées par des virgules et placées entre guillemets (").
Comme décrit dans la page de manuel priv_str_to_set(3C), les jeux spéciaux de privilèges none, all et basic s'étendent à leur définition normale. Le jeu spécial de privilèges zone ne peut pas être utilisé, car la configuration des zones a lieu dans la zone globale. Etant donné qu'il est courant de modifier le jeu de privilèges par défaut en ajoutant ou en supprimant certains privilèges, le jeu spécial default est mappé avec le jeu de privilèges par défaut. Lorsque default figure au début de la propriété limitpriv, celle-ci s'applique au jeu par défaut.
L'entrée ci-dessous ajoute la capacité à utiliser des programmes DTrace requérant uniquement les privilèges dtrace_proc et dtrace_user dans la zone :
global# zonecfg -z userzone zonecfg:userzone> set limitpriv="default,dtrace_proc,dtrace_user"
Si le jeu de privilèges de la zone contient un privilège annulé ou inconnu, ou s'il lui manque un privilège, toute tentative de vérification, de préparation ou d'initialisation de la zone échoue et un message d'erreur s'affiche.
Cette propriété définit la classe de programmation de la zone. Pour obtenir informations et conseils, reportez-vous à la section Classe de programmation.
Cette propriété doit être obligatoirement définie pour toutes les zones non globales. Reportez-vous aux sections Zones non globales en mode IP exclusif, Zones non globales en mode IP partagé et Configuration d’une zone du manuel Création et utilisation d’Oracle Solaris Zones .
Cette ressource consacre un sous-ensemble des processeurs du système à la zone tant qu'elle est en cours d'exécution. La ressource dedicated-cpu définit les limites de ncpus et éventuellement d'importance. ncores, de cores et de sockets. Pour plus d'informations, reportez-vous à la section Ressource dedicated-cpu.
Cette ressource solaris-kz consacre un sous-ensemble des processeurs du système à la zone tant qu'elle est en cours d'exécution. La ressource virtual-cpu définit les limites de ncpus. Pour plus d'informations, reportez-vous à la section solaris-kz uniquement : ressource virtual-cpu.
Cette ressource définit une limite pour la quantité de ressources CPU que la zone peut consommer lors de son exécution. La ressource capped-cpu fournit une limite pour ncpus. Pour plus d'informations, reportez-vous à la section Ressource capped-cpu.
Cette ressource regroupe les propriétés utilisées lors de la limitation de la mémoire de la zone. La ressource capped-memory définit les limites de la mémoire physical, swap, et locked. Vous devez spécifier au moins une de ces propriétés. Pour utiliser la ressource capped-memory, le package service/resource-cap doit être installé dans la zone globale.
La ressource anet crée automatiquement une interface VNIC temporaire pour la zone en mode IP exclusif lors de l'initialisation de la zone et la supprime lorsque la zone s'arrête.
La ressource net affecte une interface réseau de la zone globale à la zone non globale. La ressource de l'interface réseau est le nom de l'interface. Chaque zone peut posséder des interfaces réseau. Elles sont paramétrées lorsque la zone passe de l'état installé à l'état prêt.
Jeu de données est un terme générique désignant un système de fichiers, un volume ou un instantané. L'ajout d'une ressource de jeu de données ZFS permet la délégation de l'administration du stockage à une zone non globale. Si le jeu de données délégué est un système de fichiers, l'administrateur de zone peut créer et détruire des systèmes de fichiers au sein de ce jeu de données et modifier les propriétés de l'ensemble de données. L'administrateur de zone peut créer des instantanés, des systèmes de fichiers et volumes enfant, ainsi que des clones de ses descendants. Si le jeu de données délégué est un volume, l'administrateur de zone peut en définir les propriétés et créer des instantanés. Il ne peut cependant ni affecter de jeux de données non ajoutés à la zone, ni dépasser les quotas de niveau maximum définis dans le jeu de données assigné à la zone. Après la délégation d'un jeu de données à une zone non globale, la propriété zoned est automatiquement définie. Un système de fichiers zoned ne peut pas être monté dans la zone globale car l'administrateur de zone peut être amené à définir le point de montage sur une valeur inacceptable.
Pour ajouter des jeux de données ZFS à une zone, vous pouvez procéder de l'une des manières suivantes :
Comme pour un système de fichiers lofs monté, si le seul but recherché est de partager de l'espace avec la zone globale.
Comme pour un jeu de données délégué
Lorsque la propriété zonecfg template est utilisée, si aucune ressource rootzpool n'est spécifiée, le jeu de données zonepath par défaut est rootpool/VARSHARE/zones/zonename. Le jeu de données a été créé par le service svc-zones avec un point de montage /system/zones. Les propriétés restantes sont héritées de rootpool/VARSHARE/zones/.
Reportez-vous au Chapitre 9, Rubriques avancées Oracle Solaris ZFS du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 , à la section Systèmes de fichiers et zones non globales du manuel Création et utilisation d’Oracle Solaris Zones et à la page de manuel datasets(5).
Pour plus d'informations sur les questions relatives aux jeux de données, consultez également le Chapitre 13, Dépannage des problèmes liés à Oracle Solaris Zones du manuel Création et utilisation d’Oracle Solaris Zones .
Toute zone peut posséder plusieurs systèmes de fichiers. Ils sont montés quand la zone passe de l'état installé à l'état prêt. La ressource du système de fichiers spécifie le chemin du point de montage du système de fichiers. Pour plus d'informations sur l'utilisation des systèmes de fichiers dans les zones, reportez-vous à la section Systèmes de fichiers et zones non globales du manuel Création et utilisation d’Oracle Solaris Zones .
La commande quota documentée dans la page de manuel quota(1M) ne permet pas de récupérer les informations sur les quotas des systèmes de fichiers UFS ajoutés à l'aide de la ressource fs.
La définition de cette propriété donne à l'administrateur de zone la possibilité de monter un système de fichiers de ce type, soit créé par l'administrateur de zone, soit importé à l'aide de NFS, et d'administrer ce système de fichiers. Les autorisations de montage des systèmes de fichiers dans une zone en cours d'exécution sont également restreintes par la propriété fs-allowed. Par défaut, seuls les montages de systèmes de fichiershsfs et de systèmes de fichiers réseau, tels que NFS, sont autorisés au sein d'une zone.
La propriété peut être utilisée avec un périphérique en mode bloc ou un périphérique ZVOL délégué à la zone .
La propriété fs-allowed accepte une liste séparée par des virgules des autres systèmes de fichiers qui peuvent être montés au sein d'une zone, par exemple, ufs,pcfs.
zonecfg:my-zone> set fs-allowed=ufs,pcfs
Cette propriété n'a pas d'incidence sur les montages de zone gérés par la zone globale à l'aide des propriétés add fs ou add dataset.
Pour les questions liées à la sécurité, reportez-vous aux sections Systèmes de fichiers et zones non globales du manuel Création et utilisation d’Oracle Solaris Zones et Utilisation de périphériques dans les zones non globales du manuel Création et utilisation d’Oracle Solaris Zones .
La ressource zonefigdevice sert à ajouter des disques virtuels à la plate-forme d'une zone non globale. La ressource périphérique est le spécificateur correspondant au périphérique. Chaque zone peut présenter des périphériques qui doivent être configurés quand la zone passe de l'état installé à l'état prêt.
Cette propriété permet d'associer la zone à un pool de ressources sur le système. Plusieurs zones peuvent partager les ressources d'un pool. Reportez-vous également à la section Ressource dedicated-cpu.
La ressource rctl est dédiée aux contrôles de ressources à l'échelle de la zone. Ces contrôles sont activés lorsque la zone passe de l'état installé à l'état prêt.
Pour plus d'informations, reportez-vous à la section Paramétrage des contrôles de ressources à l'échelle de la zone.
Cet attribut générique peut être utilisé pour les commentaires utilisateur ou par d'autres sous-systèmes. La propriété name d'un attribut attr doit commencer par un caractère alphanumérique. La propriété name peut contenir des caractères alphanumériques, des traits d'union (-) et des points (.). Les noms d'attributs commençant par zone. sont réservés au système.