Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo crear y compartir un conjunto de datos de varios niveles

Los conjuntos de datos de varios niveles son contenedores útiles al degradar o actualizar información. Para obtener más información, consulte Conjuntos de datos de varios niveles para volver a etiquetar archivos. Los conjuntos de datos de varios niveles también son útiles para servidores de archivos NFS de varios niveles a fin de proporcionar archivos en muchas etiquetas para varios clientes NFS.

Antes de empezar

Para crear un conjunto de datos de varios niveles, debe tener el rol root en la zona global.

  1. Cree un conjunto de datos de varios niveles.
    # zfs create -o mountpoint=/multi -o multilevel=on rpool/multi

    rpool/multi es un conjunto de datos de varios niveles montado en la zona global en /multi.

    Para limitar el rango de etiquetas superior del conjunto de datos, consulte el Example 4–7.

  2. Verifique que el conjunto de datos de varios niveles esté montado y que el punto de montaje tenga la etiqueta ADMIN_LOW.
    # getlabel /multi
    /multi: ADMIN_LOW
  3. Proteja el sistema de archivos principal.

    Defina las siguientes propiedades ZFS en off para todos los sistemas de archivos de la agrupación:

    # zfs set devices=off rpool/multi
    # zfs set exec=off rpool/multi
    # zfs set setuid=off rpool/multi
  4. (Opcional)Defina la propiedad de compresión de la agrupación.

    Normalmente, la compresión está definida en ZFS, en el nivel del sistema de archivos. Sin embargo, debido a que todos los sistemas de archivos de esta agrupación contienen archivos de datos, la compresión se define en el conjunto de datos de nivel superior para la agrupación.

    # zfs set compression=on rpool/multi

    Consulte también Interacciones entre propiedades de compresión, eliminación de datos duplicados y cifrado de ZFS de Gestión de sistemas de archivos ZFS en Oracle Solaris 11.2 .

  5. Cree directorios de nivel superior para cada etiqueta que desea en el conjunto de datos de varios niveles.
    # cd /multi
    # mkdir public internal
    # chmod 777 public internal
    # setlabel PUBLIC public
    # setlabel "CNF : INTERNAL" internal
  6. Utilice LOFS para montar el conjunto de datos de varios niveles en cada zona etiquetada aprobada para tener acceso.

    Por ejemplo, la siguiente serie de comandos zonecfg monta el conjunto de datos en la zona public.

    # zonecfg -z public
    zonecfg:public> add fs
    zonecfg:public:fs> set dir=/multi
    zonecfg:public:fs> set special=/multi
    zonecfg:public:fs> set type=lofs
    zonecfg:public:fs> end
    zonecfg:public> exit

    Los conjuntos de datos de varios niveles permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior. La etiqueta de los archivos montados se puede ver y definir.

  7. Para utilizar NFS para compartir el conjunto de datos de varios niveles con otros sistemas, haga lo siguiente:
    1. Convierta el servicio NFS en la zona global en un servicio de varios niveles.
      # tncfg -z global add mlp_private=2049/tcp
      # tncfg -z global add mlp_private=111/udp
      # tncfg -z global add mlp_private=111/tcp
    2. Reinicie el servicio NFS.
      # svcadm restart nfs/server
    3. Comparta el conjunto de datos de varios niveles.
      # share /multi

    Los conjuntos de datos de varios niveles montados mediante NFS permiten la escritura de archivos en la misma etiqueta que la zona de montaje y la lectura de archivos de nivel inferior. La etiqueta de los archivos montados no se puede ver de forma confiable ni definir. Para obtener más información, consulte Montaje de conjuntos de datos de varios niveles desde otro sistema.

Ejemplo 4-7  Creación de un conjunto de datos de varios niveles con una etiqueta superior por debajo de ADMIN_HIGH

En este ejemplo, el administrador crea un conjunto de datos de varios niveles con un límite superior, o etiqueta superior, que es inferior al valor predeterminado ADMIN_HIGH. En la creación de conjuntos de datos, el administrador especifica el límite de la etiqueta superior en la propiedad mslabel. Este límite superior impide que los procesos de la zona global creen archivos o directorios en el conjunto de datos de varios niveles. Sólo los procesos de zonas etiquetadas pueden crear directorios y archivos en el conjunto de datos. Dado que la propiedad multilevel es on, la propiedad mlslabel define el límite superior, no la etiqueta para un conjunto de datos de una sola etiqueta.

# zfs create -o mountpoint=/multiIUO -o multilevel=on \
   -o mlslabel="CNF : INTERNAL" rpool/multiIUO

A continuación, el administrador inicia sesión en cada zona etiquetada para crear un directorio en esa etiqueta en el conjunto de datos montado.

# zlogin public
# mkdir /multiIUO
# chmod 777 /multiIUO
# zlogin internal
# mkdir /multiIUO
# chmod 777 /multiIUO

Los conjuntos de datos de varios niveles son visibles en la etiqueta de la zona de montaje para los usuarios autorizados después de que se reinicia la zona.

Pasos siguientes

Para permitir que los usuarios vuelvan a etiquetar los archivos, consulte Cómo permitir que los archivos se vuelvan a etiquetar desde una zona con etiquetas.

Para obtener instrucciones sobre el reetiquetado de archivos, consulte Cómo actualizar los datos de un conjunto de datos con varios niveles de Guía del usuario de Trusted Extensions and Cómo disminuir de nivel los datos de un conjunto de datos con varios niveles de Guía del usuario de Trusted Extensions .