Introducción a zonas de Oracle® Solaris

Salir de la Vista de impresión

 
Actualización: Diciembre de 2014
 
 

Interfaces de red de zona

Las interfaces de red de zona configuradas por la utilidad zonecfg para proporcionar conectividad de red se configurarán automáticamente y se colocarán en la zona cuando se inicie.

La capa de protocolo de Internet (IP) acepta y entrega paquetes para la red. Esta capa incluye rutas IP, el protocolo de resolución de dirección (ARP), la arquitectura de seguridad IP (IPsec) y el filtro IP.

Hay dos tipos de IP disponibles para las zonas no globales: direcciones IP compartidas y direcciones IP exclusivas. IP exclusiva es el tipo predeterminado de IP. Una zona de IP compartida comparte una interfaz de red con la zona global. La utilidad ipadm debe realizar la configuración en la zona global para utilizar zonas de IP compartida. Una zona de IP exclusiva debe tener una interfaz de red dedicada. Si la zona de IP exclusiva se configura mediante el recurso anet, se crea una VNIC dedicada de forma automática y se asigna a esa zona. Mediante el recurso anet automatizado, se elimina el requisito para crear y configurar enlaces de datos en la zona global y para asignar enlaces de datos a zonas no globales. Utilice el recurso anet para llevar a cabo lo siguiente:

  • Permitir que el administrador de la zona global seleccione nombres específicos para los enlaces de datos asignados a zonas no globales.

  • Permitir que varias zonas utilicen enlaces de datos con el mismo nombre.

Para la compatibilidad con versiones anteriores, los enlaces de datos preconfigurados se pueden asignar a zonas no globales.

Para obtener información sobre las funciones de IP en cada tipo, consulte Redes en zonas no globales de IP exclusiva de Creación y uso de zonas de Oracle Solaris y Redes en zonas no globales de IP compartida de Creación y uso de zonas de Oracle Solaris .

Notas -  La protección de enlaces descrita en Protección de la red en Oracle Solaris 11.2 se puede utilizar en un sistema que ejecuta zonas. Esta funcionalidad está configurada en la zona global.

Acerca de enlaces de datos

Un enlace de datos es una interfaz física en la capa 2 de la pila de protocolos OSI, que está representada en un sistema como una interfaz STREAMS DLPI (v2). Esta interfaz se podrá sondear en virtud de una pila de protocolos, como TCP/IP. Un enlace de datos también se denomina interfaz física, por ejemplo, una tarjeta de interfaz de red (NIC). El enlace de datos es la propiedad physical configurada mediante zonecfg (1M) . La propiedad physical puede ser una VNIC.

De forma predeterminada en Oracle Solaris 11, los nombres de dispositivos de red física utilizan nombres genéricos, como net0, en lugar de nombres de controladores de dispositivos, como nxge0.

Para obtener información sobre el uso de IP sobre Infiniband (IPoIB) para zonas solaris, consulte la descripción de anet en Propiedades del tipo de recurso.

Acerca del conmutador virtual elástico y las zonas

Para un recurso anet que se conecta a un conmutador virtual elástico (EVS) con el juego de propiedades evs y vport, las propiedades de ese recurso anet están encapsuladas en el par evs y vport. No puede cambiar ninguna de las siguientes propiedades para un recurso EVS anet:

  • mac-address

  • mtu

  • maxbw

  • priority

  • allowed-address

  • vlan-id

  • defrouter

  • lower-link

Las únicas propiedades que se pueden definir para un recurso EVS anet son las siguientes:

  • linkname

  • evs

  • vport

  • configure-allowed-address

También debe establecer el recurso tenant. Los clientes se utilizan para la gestión del espacio de nombres. Los recursos EVS definidos dentro de un tenant no son visibles fuera del espacio de nombre de ese cliente.

La siguiente entrada para una zona denominada evszone define el recurso tenant para un cliente denominado tenantA. Las propiedades del recurso zonecfg anet crean una VNIC para una zona que tiene un recurso anet que se conecta a un EVS denominado evsa y un VPort denominado vport0:

zonecfg:evszone> set tenant=tenantA

zonecfg:evszone> add anet

zonecfg:evszone> set evs=EVSA

zonecfg:evszone> set vport=vport0

Para obtener más información, consulte Capítulo 5, Acerca de los conmutadores virtuales elásticos de Gestión de virtualización de red y recursos de red en Oracle Solaris 11.2 .

Zonas no globales de dirección IP compartida

Una zona de IP compartida usa una interfaz IP existente de la zona global. La zona debe tener una o más direcciones IP dedicadas. Una zona de IP compartida comparte el estado y la configuración de capa IP con la zona global. La zona debe utilizar la instancia de IP compartida si se cumplen las dos condiciones siguientes:

  • La zona no global utilizará el mismo enlace de datos utilizado por la zona global, independientemente de si las zonas globales y no globales se encuentran en la misma subred.

  • No desea utilizar las otras funciones que proporciona la zona de IP exclusiva.

A las zonas de IP compartida se asignan una o más direcciones IP utilizando el recurso net del comando zonecfg. Los nombres del vínculo de datos también deben configurarse en la zona global.

En el recurso zonecfg net, se deben definir las propiedades address y physical. La propiedad defrouter es opcional.

Para utilizar la configuración de red de tipo de IP compartida en la zona global, debe utilizar la configuración de red no automática ipadm. Para determinar si la configuración de red está siendo realizada por ipadm, ejecute el siguiente comando. La respuesta indicada debe ser DefaultFixed. 

# svcprop -p netcfg/active_ncp svc:/network/physical:default
DefaultFixed

Las direcciones IP asignadas a zonas de IP compartida se asocian con las interfaces de red lógicas.

El comando ipadm puede utilizarse desde la zona global para asignar o eliminar interfaces lógicas en una zona en ejecución.

Para agregar interfaces, utilice el siguiente comando: 

global# ipadm set-addrprop -p zone=my-zone net0/addr1

Para eliminar interfaces, utilice uno de los siguientes comandos: 

global# ipadm set-addrprop -p zone=global net0/addr

o:

global# ipadm reset-addrprop -p zone net0/addr1

Para obtener más información, consulte Interfaces de red de IP compartida de Creación y uso de zonas de Oracle Solaris .

Zonas no globales de IP exclusiva

IP exclusiva es la configuración de red predeterminada para las zonas no globales.

Una zona de IP exclusiva tiene su propio estado relacionado con la IP y uno o más enlaces de datos dedicados.

Las siguientes funciones se pueden utilizar en una zona de IP exclusiva:

  • Configuración automática de direcciones sin estado DHCPv4 y IPv6

  • Filtro IP, incluida la función de traducción de direcciones de red (NAT)

  • Multirruta de red IP (IPMP)

  • Rutas IP

  • ipadm para configurar TCP/UDP/SCTP y parámetros ajustables de nivel IP/ARP

  • Seguridad IP (IPsec) e intercambio de claves de Internet (IKE), que automatiza la provisión de materiales de claves autenticado para la asociación de seguridad de IPsec

Existen dos maneras de configurar zonas de IP exclusiva:

  • Utilice el recurso anet de la utilidad zonecfg para crear automáticamente una VNIC temporal para la zona cuando la zona se inicia y para suprimirla cuando la zona se detiene.

  • Preconfigure el enlace de datos en la zona global y asígnelo a la zona de IP exclusiva mediante el recurso net de la utilidad zonecfg. El enlace de datos se especifica mediante la propiedad physical del recurso net. La propiedad physical puede ser una VNIC. La propiedad address del recurso net no está configurada.

De manera predeterminada, una zona de IP exclusiva puede configurar y utilizar cualquier dirección IP en la interfaz asociada. Si lo desea, puede especificar una lista de direcciones IP separadas por comas usando la propiedad allowed-address. La zona de IP exclusiva no puede utilizar direcciones IP que no están en la lista de allowed-address. Además, todas las direcciones de la lista de allowed-address se configurarán persistentemente de forma automática para la zona de IP exclusiva cuando se inicie la zona. Si no desea esta configuración de interfaz, debe configurar la propiedad configure-allowed-address en false. El valor predeterminado es true.

Tenga en cuenta que el vínculo de datos asignado permite utilizar el comando snoop.

El comando dladm puede utilizarse con el subcomando show-linkprop para mostrar la asignación de enlaces de datos a las zonas de IP exclusiva en ejecución. El comando dladm puede utilizarse con el subcomando set-linkproppara asignar enlaces de datos adicionales a las zonas en ejecución. Para obtener ejemplos de uso, consulte Administración de enlaces de datos en zonas no globales de IP exclusiva de Creación y uso de zonas de Oracle Solaris .

En una zona de IP exclusiva en ejecución a la que se le asigna su propio conjunto de enlaces de datos, el comando ipadm se puede utilizar para configurar la dirección IP, que incluye la posibilidad de agregar o eliminar interfaces lógicas. La configuración de la dirección IP de una zona puede establecerse del mismo modo que en la zona global, utilizando la interfaz sysconfigdescrita en la página del comando man sysconfig(1M).

La configuración IP de una zona de IP exclusiva sólo puede verse desde la zona global utilizando el comando zlogin. 

global# zlogin zone1 ipadm show-addr
ADDROBJ           TYPE     STATE        ADDR
lo0/v4            static   ok           127.0.0.1/8
nge0/v4           dhcp     ok           10.134.62.47/24
lo0/v6            static   ok           ::1/128
nge0/_a           addrconf ok           fe80::2e0:81ff:fe5d:c630/10

Compatibilidad con Reliable Datagram Sockets en zonas no globales

El protocolo IPC Reliable Datagram Sockets (RDS) se admite en zonas no globales de IP exclusiva y de IP compartida. El controlador RDSv3 está activado como un servicio SMF rds. De manera predeterminada, el servicio se desactiva después de la instalación. Un administrador de zona con las autorizaciones correspondientes puede activar el servicio dentro de una determinada zona no global. Después de zlogin, rds se puede activar en cada zona en las que se ejecutará.

Ejemplo 2-1  Cómo activar el servicio rds en una zona no global

  1. Para activar el servicio RDSv3 en una zona de IP exclusiva o de IP compartida, utilice zlogin y ejecute el comando svcadm enable:

    # svcadm enable rds

  2. Verifique que rds esté activado:

    # svcs rds
    STATE          STIME    FMRI
    online         22:50:53 svc:/system/rds:default

Para obtener más información, consulte la página de comando man svcadm(1M).

Diferencias de seguridad entre las zonas globales de IP compartida y de IP exclusiva

En una zona de IP compartida, las aplicaciones de la zona, incluido el superusuario, no pueden enviar paquetes con direcciones IP de origen que no sean las asignadas a la zona con la utilidad zonecfg. Este tipo de zona no tiene acceso para enviar y recibir paquetes de vínculos de datos arbitrarios (capa 2).

En una zona de IP exclusiva, zonecfg concede el vínculo de datos completo especificado a la zona. Como resultado, en una zona de IP exclusiva, el superusuario o un usuario con el perfil de derechos necesario puede enviar paquetes falsificados en esos enlaces de datos, como se puede hacer en la zona global. La falsificación de direcciones IP se puede desactivar estableciendo la propiedad allowed-address. Para el recurso anet, se pueden activar protecciones adicionales, como mac-nospoof y dhcp-nospoof, mediante la definición de la propiedad link-protection.

Uso simultáneo de zonas no globales de IP compartida e IP exclusiva

Las zonas de IP compartida siempre comparten la capa IP con la zona global, y las zonas de IP exclusiva siempre tienen su propia instancia de la capa IP. Pueden utilizarse tanto zonas de IP compartida como zonas de IP exclusiva en el mismo equipo.

Copyright © 2004, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente