ラベル付きゾーンや大域ゾーンにプライベート MLP と共有 MLP を追加できます。
この手順は、あるラベル付きゾーンで実行されているアプリケーションが、そのゾーンと通信するためにマルチレベルポート (MLP) を必要とする場合に使用します。この手順では、Web プロキシがゾーンと通信します。
始める前に
大域ゾーンで root 役割になっている必要があります。システムに少なくとも 2 つの IP アドレスが存在していなければならず、ラベル付きゾーンが停止されています。
## /etc/hosts file ... proxy-host-name IP-address web-service-host-name IP-address
たとえば、PUBLIC というラベルが明示的に付けられたパケットを認識するように、public ゾーンを構成します。この構成では、セキュリティーテンプレートの名前は webprox です。
# tncfg -t webprox tncfg:public> set name=webprox tncfg:public> set host_type=cipso tncfg:public> set min_label=public tncfg:public> set max_label=public tncfg:public> add host=mywebproxy.oracle.compublic ゾーンに関連付けられたホスト名 tncfg:public> add host=10.1.2.3/16public ゾーンの IP アドレス tncfg:public> exit
たとえば、Web プロキシサービスは 8080/tcp インタフェース経由で PUBLIC ゾーンと通信を行うとします。
# tncfg -z public add mlp_shared=8080/tcp # tncfg -z public add mlp_private=8080/tcp
# zoneadm -z zone-name boot
経路を追加するには、デフォルトルートを追加するを実行します。
管理者は、Web プロキシサービスを構成するために Labeled Zone Manager を開きます。
# txzonemgr &
管理者は、PUBLIC ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。次に、管理者は「Private interfaces」行を選択してダブルクリックします。選択領域が次のような入力フィールドに変わります。
Private interfaces:111/tcp;111/udp
管理者は、セミコロン区切り文字を使用して Web プロキシの入力を開始します。
Private interfaces:111/tcp;111/udp;8080/tcp
プライベートの入力が完了したら、管理者は「Shared interfaces」フィールドに Web プロキシを入力します。
Shared interfaces:111/tcp;111/udp;8080/tcp
public ゾーンのマルチレベルポートには次回のゾーンブート時に有効になることを示すポップアップメッセージが表示されます。
使用例 49 udp 経由 NFSv3 用のプライベートマルチレベルポートの構成この例では、管理者は udp 経由の NFSv3 下位読み取りマウントを有効にします。管理者は tncfg コマンドを使用できます。
# tncfg -z global add mlp_private=2049/udp
また、txzonemgr GUI を使用して MLP を定義することもできます。
Labeled Zone Manager で、管理者は global ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。MLP のメニューで、管理者は「Private interfaces」行を選択してダブルクリックし、ポート/プロトコルを追加します。
Private interfaces:111/tcp;111/udp;8080/tcp
global ゾーンのマルチレベルポートには次回ブート時に有効になることを示すポップアップメッセージが表示されます。
使用例 50 システム上のマルチレベルポートの表示この例のシステムには、複数のラベル付きゾーンが構成されています。すべてのゾーンが、同じ IP アドレスを共有します。一部のゾーンは、ゾーン固有のアドレスでも構成されます。この構成では、Web ブラウザ用の TCP ポートであるポート 8080 が、Public ゾーンの共有インタフェース上の MLP です。管理者は、telnet、TCP ポート 23 も、Public ゾーンの MLP として設定します。これら 2 つの MLP は共有インタフェース上にあるので、大域ゾーンも含めたほかのゾーンは、ポート 8080 および 23 の共有インタフェース上ではパケットを受信できません。
さらに、ssh 用の TCP ポートであるポート 22 は、Public ゾーンのゾーンごとの MLP です。Public ゾーンの ssh サービスは、ゾーン固有のアドレスで、そのアドレスのラベル範囲にあるどのパケットも受信できます。
次のコマンドが Public ゾーンの MLP を示します。
# tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
次のコマンドが大域ゾーンの MLP を示します。大域ゾーンは Public ゾーンと同じアドレスを共有するため、ポート 23 および 8080 は大域ゾーンでは MLP になれません。
# tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp