개인 및 공유 MLP를 레이블이 있는 영역 및 전역 영역에 추가할 수 있습니다.
이 절차는 레이블이 있는 영역에서 실행되는 응용 프로그램이 영역과 통신하기 위해 다중 레벨 포트(MLP)가 필요한 경우 사용됩니다. 이 절차에서 웹 프록시는 영역과 통신합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다. 시스템에는 둘 이상의 IP 주소가 있어야 하고 레이블이 있는 영역은 정지됩니다.
## /etc/hosts file ... proxy-host-name IP-address web-service-host-name IP-address
예를 들어, 명시적으로 PUBLIC 레이블이 지정된 패킷을 인식하도록 public 영역을 구성합니다. 이 구성의 경우 보안 템플리트의 이름은 webprox입니다.
# tncfg -t webprox tncfg:public> set name=webprox tncfg:public> set host_type=cipso tncfg:public> set min_label=public tncfg:public> set max_label=public tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone tncfg:public> add host=10.1.2.3/16IP address of public zone tncfg:public> exit
예를 들어, 웹 프록시 서비스는 8080/tcp 인터페이스를 통해 PUBLIC 영역과 통신할 수 있습니다.
# tncfg -z public add mlp_shared=8080/tcp # tncfg -z public add mlp_private=8080/tcp
# zoneadm -z zone-name boot
경로를 추가하려면 기본 경로를 추가하는 방법을 수행합니다.
관리자는 Labeled Zone Manager(레이블이 있는 영역 관리자)를 열어 웹 프록시 서비스를 구성합니다.
# txzonemgr &
관리자는 PUBLIC 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 두 번 누릅니다. 그런 다음 관리자는 Private interfaces(개인 인터페이스) 행을 선택하고 두 번 누릅니다. 선택이 다음과 유사한 입력 필드로 바뀝니다.
Private interfaces:111/tcp;111/udp
관리자는 세미콜론 구분자를 사용하여 웹 프록시 입력을 시작합니다.
Private interfaces:111/tcp;111/udp;8080/tcp
개인 입력을 완료한 후 관리자는 웹 프록시를 Shared interfaces(공유 인터페이스) 필드에 입력합니다.
Shared interfaces:111/tcp;111/udp;8080/tcp
public 영역에 대한 다중 레벨 포트가 영역의 다음 부트 시 활성화된다는 팝업 메시지가 나타납니다.
예 16-22 udp를 통해 NFSv3에 대한 개인 다중 레벨 포트 구성이 예에서 관리자는 udp를 통해 NFSv3 하위 읽기 마운트를 사용으로 설정합니다. 관리자는 tncfg 명령을 사용할 수도 있습니다.
# tncfg -z global add mlp_private=2049/udp
txzonemgr GUI는 MLP를 정의할 수 있는 또 하나의 방법을 제공합니다.
Labeled Zone Manager(레이블이 있는 영역 관리자)에서 관리자는 global 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 두 번 누릅니다. MLP 메뉴에서 관리자는 Private interfaces(개인 인터페이스) 행을 선택하고 두 번 누른 다음 포트/프로토콜을 추가합니다.
Private interfaces:111/tcp;111/udp;8080/tcp
global 영역에 대한 다중 레벨 포트가 다음 부트 시 활성화된다는 팝업 메시지가 나타납니다.
예 16-23 시스템의 다중 레벨 포트 표시이 예에서 시스템은 레이블이 있는 여러 영역으로 구성되어 있습니다. 모든 영역은 동일한 IP 주소를 공유합니다. 또한 일부 영역은 영역별 주소로 구성되어 있습니다. 이 구성에서 웹 브라우징을 위한 TCP 포트인 8080 포트는 공용 영역의 공유 인터페이스에서 MLP입니다. 또한 관리자는 telnet용 TCP 포트 23이 공용 영역에서 MLP가 되도록 설정했습니다. 이러한 두 MLP는 공유 인터페이스에 있으므로 전역 영역을 비롯한 다른 영역에서는 공유 인터페이스의 8080 및 23 포트에서 패킷을 받을 수 없습니다.
또한 ssh에 대한 TCP 포트인 22 포트는 공용 영역에서 영역별 MLP입니다. 공용 영역의 ssh 서비스는 주소의 레이블 범위 내에 있는 영역별 주소에서 패킷을 수신할 수 있습니다.
다음 명령은 공용 영역에 대한 MLP를 보여줍니다.
# tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
다음 명령은 전역 영역에 대한 MLP를 보여줍니다. 전역 영역은 공용 영역과 동일한 주소를 공유하므로 23 및 8080 포트는 전역 영역에서 MLP가 될 수 없습니다.
# tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp