Les interfaces réseau configurées à l'aide de l'utilitaire zonecfg pour doter les zones d'une connectivité réseau sont automatiquement paramétrées et placées dans la zone concernée lors de son initialisation.
La couche IP accepte et livre les paquets pour le réseau. Cette couche inclut le routage IP, le protocole de résolution d'adresse (ARP, Address Resolution Protocol), l'architecture de sécurité IP (IPsec, IP security architecture) et le filtrage IP.
Deux modes IP sont disponibles pour les zones non globales : le mode IP partagé et le mode IP exclusif. Le type par défaut est le mode IP exclusif. Une zone en mode IP partagé partage une interface réseau avec la zone globale. Vous devez configurer la zone globale à l'aide de l'utilitaire ipadm pour utiliser les zones en mode IP partagé. Une zone en mode IP exclusif doit posséder une interface réseau dédiée. Si la zone en mode IP exclusif est configurée à l'aide de la ressource anet, une carte d'interface réseau virtuelle dédiée est automatiquement créée et affectée à cette zone. Pour éviter de créer et de configurer les liaisons de données dans la zone globale et d'affecter les liaisons de données aux zones non globales, vous pouvez utiliser la ressource anet automatisée. Utilisez la ressource anet pour effectuer les opérations suivantes :
Autoriser l'administrateur de la zone globale à choisir des noms spécifiques pour les liaisons de données affectées aux zones non globales
Autoriser plusieurs zones à utiliser des liaisons de données du même nom
Pour des raisons de rétrocompatibilité, les liaisons de données préconfigurées peuvent être affectées aux zones non globales.
Pour plus d'informations sur les fonctionnalités IP dans chaque type, reportez-vous aux sections Mise en réseau dans des zones non globales en mode IP exclusif du manuel Création et utilisation d’Oracle Solaris Zones et Mise en réseau dans des zones non globales en mode IP partagé du manuel Création et utilisation d’Oracle Solaris Zones .
Une liaison de données est une interface physique de niveau 2 de la pile de protocoles OSI, représentée dans un système comme une interface STREAMS DLPI (v2). Ce type d'interface peut être monté sous des piles de protocoles telles que TCP/IP. Une liaison de données désigne également une interface physique, par exemple, une carte d'interface réseau (NIC). La liaison de données est la propriété physical configurée à l'aide de zonecfg (1M) . La propriété physical peut être une carte d'interface réseau virtuelle (VNIC).
Par défaut dans Oracle Solaris 11, les noms de périphérique réseau physique sont basés sur des noms génériques, par exemple net0, au lieu des noms de pilote de périphérique comme nxge0.
Pour plus d'informations sur l'utilisation d'IPoIB (IP over Infiniband) pour les zones solaris, reportez-vous à la description d'anet de la section Propriétés des types de ressources.
Dans le cas d'une ressource anet qui se connecte à un commutateur virtuel élastique (EVS) avec les propriétés evs et vport définies, les propriétés de cette ressource anet sont encapsulées dans la paire evs/vport. Vous ne pouvez modifier aucune des propriétés suivantes de la ressource anet d'un commutateur EVS :
mac-address
mtu
maxbw
priority
allowed-address
vlan-id
defrouter
lower-link
Voici les seules propriétés que vous pouvez définir pour la ressource anet d'un commutateur EVS :
linkname
evs
vport
configure-allowed-address
Vous devez également définir la ressource tenant. Les locataires sont utilisés pour la gestion des espaces de noms. Les ressources d'EVS définies dans un locataire (tenant) ne sont pas visibles en dehors de l'espace de noms de ce locataire.
Les entrées suivantes pour une zone nommée evszone définissent la ressource tenant d'un locataire nommé tenantA. Les propriétés de la ressource zonecfg anet créent une carte VNIC pour une zone dont la ressource anet se connecte à un commutateur EVS nommé evsa et un VPort nommé vport0 :
zonecfg:evszone> set tenant=tenantA
zonecfg:evszone> add anet
zonecfg:evszone> set evs=EVSA
zonecfg:evszone> set vport=vport0
Pour plus d'informations, reportez-vous au Chapitre 5, A propos des commutateurs virtuels élastiques du manuel Gestion de la virtualisation réseau et des ressources réseau dans Oracle Solaris 11.2 .
Une zone en mode IP partagé utilise une interface IP à partir de la zone globale. La zone doit contenir une ou plusieurs adresses IP dédiées. Une zone en mode IP partagé partage la configuration et l'état de la couche IP avec la zone globale. Vous devez utiliser l'instance d'IP partagé si les deux conditions suivantes sont vérifiées :
La zone non globale doit utiliser la même liaison de données que la zone globale, que les zones globales et non globales se trouvent sur le même sous-réseau ou non.
Vous n'avez pas besoin des autres capacités fournies par les zones en mode IP exclusif.
La ressource net de la commande zonecfg permet d'assigner une ou plusieurs adresses IP aux zones en mode IP partagé. Il convient également de configurer les noms des liaisons de données dans la zone globale.
Dans la ressource zonecfg net, les propriétés address et physical doivent être définies. La propriété defrouter est facultative.
Pour utiliser la configuration réseau en mode IP partagé dans la zone globale, vous devez utiliser ipadm , et non la configuration automatique du réseau. Pour déterminer si la configuration réseau s'effectue à l'aide de ipadm, exécutez la commande suivante. La réponse affichée doit être DefaultFixed.
# svcprop -p netcfg/active_ncp svc:/network/physical:default DefaultFixed
Les adresses IP affectées aux zones en mode IP partagé sont associées à des interfaces réseau logiques.
La commande ipadm peut être utilisée dans la zone globale pour assigner ou supprimer des interfaces logiques dans une zone en cours d'exécution.
Pour ajouter des interfaces, utilisez la commande suivante :
global# ipadm set-addrprop -p zone=my-zone net0/addr1
Pour supprimer des interfaces, utilisez l'une des commandes suivantes :
global# ipadm set-addrprop -p zone=global net0/addr
ou :
global# ipadm reset-addrprop -p zone net0/addr1
Pour plus d'informations, reportez-vous à la section Interfaces réseau en mode IP partagé du manuel Création et utilisation d’Oracle Solaris Zones .
Le mode IP exclusif est la configuration réseau par défaut des zones non globales.
Une zone en mode IP exclusif possède son propre état d'IP, ainsi qu'une ou plusieurs liaisons de données dédiées.
Les fonctions suivantes peuvent être utilisées dans une zone en mode IP exclusif :
La configuration automatique d'adresse sans état via DHCPv4 et IPv6
Le multipathing sur réseau IP (IPMP, IP Network Multipathing)
La commande ipadm permettant de définir les paramètres TCP/UDP/SCTP, ainsi que les paramètres réglables IP/ARP
Les protocoles IPsec (IP security) et IKE (Internet Key Exchange), qui automatisent l'approvisionnement en matériel de chiffrement authentifié pour l'association de sécurité IPsec
Il existe deux façons de configurer les zones en mode IP exclusif :
Utilisez la ressource anet de l'utilitaire zonecfg pour créer automatiquement une VNIC temporaire à de l'initialisation de la zone et la supprimer lorsque la zone s'arrête.
Préconfigurez la liaison de données dans la zone globale et affectez-la à la zone en mode IP exclusif à l'aide de la ressource net de l'utilitaire zonecfg. La liaison de données est spécifiée à l'aide de la propriété physical de la ressource net. La propriété physical peut être une carte d'interface réseau virtuelle (VNIC). La propriété address de la ressource net n'est pas définie.
Par défaut, une zone en mode IP exclusif peut configurer et utiliser toute adresse IP de l'interface associée. En option, une liste d'adresses IP séparées par des virgules peut être spécifiée à l'aide de la propriété allowed-address. La zone en mode IP exclusif ne peut pas utiliser les adresses IP qui ne figurent pas dans la liste allowed-address. En outre, toutes les adresses de la liste allowed-address sont automatiquement configurées de façon permanente pour la zone en mode IP exclusif lorsque celle-ci est initialisée. Si cette configuration d'interface n'est pas souhaitée, la propriété configure-allowed-address doit être réglée sur false. La valeur par défaut est true.
Notez que la liaison de données assignée active la commande snoop.
La commande dladm peut être utilisée avec la sous-commande show-linkprop pour afficher l'assignation de liaisons de données aux zones en mode IP exclusif en cours d'exécution. La commande dladm peut également être utilisée avec la sous-commande set-linkprop pour assigner des liaisons de données supplémentaires aux zones en cours d'exécution. Vous trouverez des exemples d'utilisation à la section Gestion des liaisons de données dans les zones non globales en mode IP exclusif du manuel Création et utilisation d’Oracle Solaris Zones .
Dans une zone en mode IP exclusif en cours d'exécution qui possède son propre jeu de liaisons de données, la commande ipadm permet de définir la configuration IP, ce qui inclut la possibilité d'ajouter ou de supprimer des interfaces logiques. Vous pouvez procéder à la configuration IP d'une zone de la même façon que pour une zone globale, à l'aide de l'interface sysconfig décrite dans la page de manuel sysconfig(1M).
La configuration IP d'une zone en mode IP exclusif ne peut être affichée que depuis la zone globale, à l'aide de la commande zlogin.
global# zlogin zone1 ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 nge0/v4 dhcp ok 10.134.62.47/24 lo0/v6 static ok ::1/128 nge0/_a addrconf ok fe80::2e0:81ff:fe5d:c630/10
Le protocole IPC RDS (Reliable Datagram Sockets) est pris en charge à la fois dans les zones non globales en mode IP exclusif et IP partagé. Le pilote RDSv3 est activé en tant que rds de service SMF. Par défaut, le service est désactivé après l'installation. Le service peut être activé dans une zone non globale par un administrateur de zone disposant des autorisations adéquates. Après zlogin, rds peut être activée dans chacune des zones dans laquelle elle doit être exécutée.
Exemple 2-1 Activation du service rds dans une zone non globalePour activer un service RDSv3 dans une zone en mode IP exclusive ou IP partagé, exécutez zlogin ou la commande svcadm enable :
# svcadm enable rds
Vérifiez que rds est activé :
# svcs rds
STATE STIME FMRI
online 22:50:53 svc:/system/rds:default
Pour plus d'informations, reportez-vous à la page de manuel svcadm(1M).
Dans une zone en mode IP partagé, les applications de la zone (superutilisateur compris) ne peuvent pas envoyer de paquets avec des adresses IP source autres que celles assignées à la zone par le biais de l'utilitaire zonecfg. Dans ce type de zone, il est impossible d'envoyer ou de recevoir des paquets de liaisons de données arbitraires (couche 2).
Par contre, dans les zones en mode IP exclusif, zonecfg attribue la totalité de la liaison de données spécifiée à la zone. Par conséquent, le superutilisateur ou l'utilisateur disposant du profil de droits requis peut envoyer les paquets falsifiés sur les liaisons de données dans une zone en mode IP exclusif, comme il peut le faire dans la zone globale. Vous pouvez désactiver l'usurpation d'adresse IP en définissant la propriété allowed-address. Pour la ressource anet, vous pouvez activer d'autres protections telles que mac-nospoof et dhcp-nospoof en définissant la propriété link-protection.
Les zones en mode IP partagé partagent la couche IP avec la zone globale alors que les zones en mode IP exclusif possèdent leur propre instance de la couche IP. Ces deux types de zones peuvent être utilisées sur une même machine.