zonecfg 유틸리티에서 네트워크 연결을 제공하기 위해 구성된 영역 네트워크 인터페이스는 영역이 부트될 때 자동으로 설정되어 영역에 배치됩니다.
IP(인터넷 프로토콜) 계층은 네트워크의 패킷을 받고 전달합니다. 이 계층에는 IP 경로 지정, ARP(Address Resolution Protocol), IPsec(IP 보안 구조) 및 IP 필터가 포함됩니다.
비전역 영역에 사용할 수 있는 IP 유형에는 공유 IP와 배타적 IP라는 두 가지 유형이 있습니다. 배타적 IP는 기본 IP 유형입니다. 공유 IP 영역은 전역 영역과 네트워크 인터페이스를 공유합니다. 공유 IP 영역을 사용하려면 ipadm 유틸리티를 통해 전역 영역의 구성을 수행해야 합니다. 배타적 IP 영역에는 전용 네트워크 인터페이스가 있어야 합니다. anet 리소스를 사용하여 배타적 IP 영역이 구성된 경우 전용 VNIC가 자동으로 만들어지고 해당 영역에 지정됩니다. 자동화된 anet 리소스를 사용하면 전역 영역에서 데이터 링크를 만들어 구성하고 데이터 링크를 비전역 영역에 지정할 필요가 없습니다. anet 리소스를 사용하여 다음을 수행합니다.
전역 영역 관리자가 비전역 영역에 지정된 데이터 링크에 대한 특정 이름을 선택할 수 있습니다.
여러 영역에서 동일한 이름의 데이터 링크를 사용할 수 있습니다.
이전 버전과의 호환성을 위해 미리 구성된 데이터 링크를 비전역 영역에 지정할 수 있습니다.
유형별 IP 기능에 대한 자세한 내용은 Oracle Solaris 영역 만들기 및 사용 의 배타적 IP 비전역 영역의 네트워킹 및 Oracle Solaris 영역 만들기 및 사용 의 공유 IP 비전역 영역의 네트워킹을 참조하십시오.
데이터 링크는 OSI 프로토콜 스택의 계층 2에 있는 물리적 인터페이스로, 시스템에서 STREAMS DLPI(v2) 인터페이스로 표시됩니다. 이러한 인터페이스는 TCP/IP 등 프로토콜 스택에서 연결될 수 있습니다. 데이터 링크는 NIC(네트워크 인터페이스 카드)과 같은 물리적 인터페이스라고도 합니다. 데이터 링크는 zonecfg (1M)를 사용하여 구성된 physical 등록 정보입니다. physical 등록 정보는 VNIC일 수 있습니다.
기본적으로 Oracle Solaris 11에서 물리적 네트워크 장치 이름에는 장치 드라이버 이름(예: nxge0) 대신 일반 이름(예: net0)이 사용됩니다.
solaris 영역에서의 IPoIB(IP over Infiniband) 사용에 대한 자세한 내용은 리소스 유형 등록 정보에서 anet 설명을 참조하십시오.
evs 및 vport 등록 정보 세트를 사용하여 EVS(탄력적 가상 스위치)에 연결되는 anet 리소스의 경우, 해당 anet 리소스의 등록 정보가 evs 및 vport 쌍에 캡슐화됩니다. EVS anet 리소스에 대한 다음 등록 정보는 변경할 수 없습니다.
mac-address
mtu
maxbw
priority
allowed-address
vlan-id
defrouter
lower-link
EVS anet 리소스에 대해 설정할 수 있는 등록 정보는 다음과 같습니다.
linkname
evs
vport
configure-allowed-address
tenant 리소스도 설정해야 합니다. 테넌트는 이름 공간 관리에 사용됩니다. tenant 내에 정의된 EVS 리소스는 테넌트 이름 공간 외부에 표시되지 않습니다.
evszone이라는 영역에 대한 다음 입력은 tenantA라는 테넌트에 대해 tenant 리소스를 설정합니다. zonecfg anet 리소스 등록 정보는 anet 리소스를 포함하는 영역에 대해 VNIC를 만드는데, 이 리소스는 evsa라는 EVS 및 vport0이라는 VPort에 연결됩니다.
zonecfg:evszone> set tenant=tenantA
zonecfg:evszone> add anet
zonecfg:evszone> set evs=EVSA
zonecfg:evszone> set vport=vport0
자세한 내용은 Oracle Solaris 11.2의 네트워크 가상화 및 네트워크 리소스 관리 의 5 장, 탄력적 가상 스위치 정보를 참조하십시오.
공유 IP 영역은 전역 영역의 기존 IP 인터페이스를 사용합니다. 영역에는 전용 IP 주소가 하나 이상 있어야 합니다. 공유 IP 영역은 IP 계층 구성 및 상태를 전역 영역과 공유합니다. 다음 두 가지 조건이 모두 참이면 영역은 공유 IP 인스턴스를 사용해야 합니다.
비전역 영역은 전역 및 비전역 영역이 동일 서브넷에 있는지 여부와 상관없이 전역 영역에서 사용되는 동일한 데이터 링크를 사용합니다.
배타적 IP 영역이 제공하는 다른 기능은 필요하지 않습니다.
공유 IP 영역에는 zonecfg 영역의 net 리소스를 사용하여 하나 이상의 IP 주소가 지정됩니다. 전역 영역에서 데이터 링크 이름도 구성해야 합니다.
zonecfg net 리소스에서 address 및 physical 등록 정보를 설정해야 합니다. defrouter 등록 정보는 선택 사항입니다.
전역 영역의 공유 IP 네트워킹 구성을 사용하려면 자동 네트워크 구성이 아닌 ipadm를 사용해야 합니다. ipadm을 통해 네트워킹 구성이 수행되는지 여부를 확인하려면 다음 명령을 실행합니다. 표시되는 응답이 DefaultFixed여야 합니다.
# svcprop -p netcfg/active_ncp svc:/network/physical:default DefaultFixed
공유 IP 영역에 지정된 IP 주소는 논리 네트워크 인터페이스와 연결됩니다.
전역 영역에서 ipadm 명령을 사용하여 실행 중인 영역에서 논리 인터페이스를 지정하거나 제거할 수 있습니다.
인터페이스를 추가하려면 다음 명령을 사용합니다.
global# ipadm set-addrprop -p zone=my-zone net0/addr1
인터페이스를 제거하려면 다음 명령 중 하나를 사용합니다.
global# ipadm set-addrprop -p zone=global net0/addr
또는
global# ipadm reset-addrprop -p zone net0/addr1
자세한 내용은 Oracle Solaris 영역 만들기 및 사용 의 공유 IP 네트워크 인터페이스를 참조하십시오.
배타적 IP는 비전역 영역을 위한 기본 네트워킹 구성입니다.
하나의 배타적 IP 영역에는 하나 이상의 전용 데이터 링크와 고유한 IP 관련 상태가 지정됩니다.
배타적 IP 영역에서 다음 기능을 사용할 수 있습니다.
TCP/UDP/SCTP 및 IP/ARP 레벨 조정 가능 매개변수 설정용 ipadm
IPsec 보안 연결을 위한 인증된 키 관련 자료 프로비저닝을 자동화하는 IKE(Internet Key Exchange)와 IPSec(IP 보안)
배타적 IP 영역을 구성하는 방법에는 두 가지가 있습니다.
zonecfg 유틸리티의 anet 리소스 사용을 사용하여 영역이 부트될 때 영역의 임시 VNIC를 자동으로 생성하고 영역이 정지할 때 삭제합니다.
zonecfg 유틸리티의 net 리소스를 사용하여 전역 영역에서 데이터 링크를 미리 구성하고 배타적 IP 영역에 지정합니다. net 리소스의 physical 등록 정보를 사용하여 데이터 링크가 지정됩니다. physical 등록 정보는 VNIC일 수 있습니다. net 리소스의 address 등록 정보는 설정되지 않습니다.
기본적으로 배타적 IP 영역은 연결된 인터페이스의 IP 주소를 구성하고 사용할 수 있습니다. 또는 allowed-address 등록 정보를 사용하여 쉼표로 구분된 IP 주소 목록을 지정할 수 있습니다. 배타적 IP 영역은 allowed-address 목록에 없는 IP 주소를 사용할 수 없습니다. 또한, allowed-address 목록의 모든 주소는 영역이 부트될 때 배타적 IP 영역에 대해 자동으로 영구 구성됩니다. 이 인터페이스 구성을 원치 않는 경우에는 configure-allowed-address 등록 정보를 false로 설정해야 합니다. 기본값은 true입니다.
지정된 데이터 링크는 snoop 명령을 사용으로 설정합니다.
dladm 명령을 show-linkprop 하위 명령과 함께 사용하여 실행 중인 배타적 IP 영역에 데이터 링크의 할당을 표시할 수 있습니다. dladm 명령을 set-linkprop 하위 명령과 함께 사용하여 실행 중인 영역에 추가 데이터 링크를 지정할 수 있습니다. 사용 예는 Oracle Solaris 영역 만들기 및 사용 의 배타적 IP 비전역 영역에서 데이터 링크 관리를 참조하십시오.
고유한 데이터 링크 세트가 지정된 실행 중인 배타적 IP 영역 내부에서는 ipadm 명령을 사용하여 IP를 구성합니다. 여기에는 논리적 인터페이스를 추가하거나 제거할 수 있는 기능이 포함됩니다. sysconfig(1M) 매뉴얼 페이지에 설명된 sysconfig 인터페이스를 사용하여 전역 영역에서와 똑같이 영역 내 IP 구성을 설정할 수 있습니다.
배타적 IP 영역의 IP 구성은 zlogin 명령을 사용하여 전역 영역에서만 볼 수 있습니다.
global# zlogin zone1 ipadm show-addr ADDROBJ TYPE STATE ADDR lo0/v4 static ok 127.0.0.1/8 nge0/v4 dhcp ok 10.134.62.47/24 lo0/v6 static ok ::1/128 nge0/_a addrconf ok fe80::2e0:81ff:fe5d:c630/10
RDS(Reliable Datagram Socket) IPC 프로토콜은 배타적 IP 및 공유 IP 비전역 영역 모두에서 지원됩니다. RDSv3 드라이버는 SMF 서비스 rds로 사용 가능합니다. 기본적으로 이 서비스는 설치 후 사용 안함으로 설정됩니다. 적절한 권한이 부여된 영역 관리자가 주어진 비전역 영역 내에서 이 서비스를 사용으로 설정할 수 있습니다. zlogin 후 rds를 실행할 각 영역에서 사용으로 설정할 수 있습니다.
예 2-1 비전역 영역에서 rds 서비스를 사용으로 설정하는 방법배타적 IP 또는 공유 IP 영역에서 RDSv3 서비스를 사용으로 설정하려면 zlogin하고 svcadm enable 명령을 실행합니다.
# svcadm enable rds
rds가 사용으로 설정되어 있는지 확인합니다.
# svcs rds
STATE STIME FMRI
online 22:50:53 svc:/system/rds:default
자세한 내용은 svcadm(1M) 매뉴얼 페이지를 참조하십시오.
공유 IP 영역에서는 슈퍼 유저를 비롯하여 영역의 응용 프로그램이 zonecfg 유틸리티를 통해 영역에 지정된 주소와는 다른 소스 IP 주소와 함께 패킷을 전송할 수 없습니다. 이 영역 유형에는 임의 데이터 링크(계층 2) 패킷을 보내고 받을 수 있는 권한이 없습니다.
배타적 IP 영역의 경우 대신에 zonecfg는 지정된 전체 데이터 링크를 영역에 부여합니다. 결과적으로 배타적 IP 영역에서는 슈퍼 유저나 필요한 권한 프로파일을 가진 사용자가 전역 영역에서처럼 이러한 데이터 링크를 통해 스푸핑된 패킷을 보낼 수 있습니다. allowed-address 등록 정보를 설정하여 IP 주소 스푸핑을 사용 안함으로 설정할 수 있습니다. anet 리소스의 경우 mac-nospoof 및 dhcp-nospoof 등 추가 보호는 link-protection 등록 정보를 설정하여 사용으로 설정할 수 있습니다.
공유 IP 영역은 항상 IP 계층을 전역 영역과 공유하며 배타적 IP 영역은 항상 IP 계층의 고유 인스턴스를 가지고 있습니다. 공유 IP 영역과 배타적 IP 영역 둘 다 동일한 시스템에서 사용할 수 있습니다.