Go to main content
Trusted Extensions 構成と管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

ゾーンにマルチレベルポートを作成する

ラベル付きゾーンや大域ゾーンにプライベート MLP と共有 MLP を追加できます。

この手順は、あるラベル付きゾーンで実行されているアプリケーションが、そのゾーンと通信するためにマルチレベルポート (MLP) を必要とする場合に使用します。この手順では、Web プロキシがゾーンと通信します。

始める前に

大域ゾーンで root 役割になっている必要があります。システムに少なくとも 2 つの IP アドレスが存在していなければならず、ラベル付きゾーンが停止されています。

  1. プロキシホストと Web サービスホストを /etc/hosts ファイルに追加します。
    ## /etc/hosts file
...
proxy-host-name  IP-address
web-service-host-name IP-address
  2. ゾーンを構成します。

    たとえば、PUBLIC というラベルが明示的に付けられたパケットを認識するように、public ゾーンを構成します。この構成では、セキュリティーテンプレートの名前は webprox です。

    # tncfg -t webprox
tncfg:public> set name=webprox
tncfg:public> set host_type=cipso
tncfg:public> set min_label=public
tncfg:public> set max_label=public
tncfg:public> add host=mywebproxy.oracle.compublic ゾーンに関連付けられたホスト名
tncfg:public> add host=10.1.2.3/16public ゾーンの IP アドレス
tncfg:public> exit
  3. MLP を構成します。

    たとえば、Web プロキシサービスは 8080/tcp インタフェース経由で PUBLIC ゾーンと通信を行うとします。

    # tncfg -z public add mlp_shared=8080/tcp
# tncfg -z public add mlp_private=8080/tcp
  4. MLP をカーネルに追加するには、ゾーンをブートします。 
    # zoneadm -z zone-name boot
  5. 大域ゾーンで、新しいアドレスの経路を追加します。

    経路を追加するには、デフォルトルートを追加するを実行します。

使用例 48  txzonemgr GUI を使用した MLP の構成

管理者は、Web プロキシサービスを構成するために Labeled Zone Manager を開きます。

# txzonemgr &

管理者は、PUBLIC ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。次に、管理者は「Private interfaces」行を選択してダブルクリックします。選択領域が次のような入力フィールドに変わります。

Private interfaces:111/tcp;111/udp

管理者は、セミコロン区切り文字を使用して Web プロキシの入力を開始します。

Private interfaces:111/tcp;111/udp;8080/tcp

プライベートの入力が完了したら、管理者は「Shared interfaces」フィールドに Web プロキシを入力します。

Shared interfaces:111/tcp;111/udp;8080/tcp

public ゾーンのマルチレベルポートには次回のゾーンブート時に有効になることを示すポップアップメッセージが表示されます。

使用例 49  udp 経由 NFSv3 用のプライベートマルチレベルポートの構成

この例では、管理者は udp 経由の NFSv3 下位読み取りマウントを有効にします。管理者は tncfg コマンドを使用できます。

# tncfg -z global add mlp_private=2049/udp

また、txzonemgr GUI を使用して MLP を定義することもできます。

Labeled Zone Manager で、管理者は global ゾーンをダブルクリックしたあと、「Configure Multilevel Ports」をダブルクリックします。MLP のメニューで、管理者は「Private interfaces」行を選択してダブルクリックし、ポート/プロトコルを追加します。

Private interfaces:111/tcp;111/udp;8080/tcp

global ゾーンのマルチレベルポートには次回ブート時に有効になることを示すポップアップメッセージが表示されます。

使用例 50  システム上のマルチレベルポートの表示

この例のシステムには、複数のラベル付きゾーンが構成されています。すべてのゾーンが、同じ IP アドレスを共有します。一部のゾーンは、ゾーン固有のアドレスでも構成されます。この構成では、Web ブラウザ用の TCP ポートであるポート 8080 が、Public ゾーンの共有インタフェース上の MLP です。管理者は、telnet、TCP ポート 23 も、Public ゾーンの MLP として設定します。これら 2 つの MLP は共有インタフェース上にあるので、大域ゾーンも含めたほかのゾーンは、ポート 8080 および 23 の共有インタフェース上ではパケットを受信できません。

さらに、ssh 用の TCP ポートであるポート 22 は、Public ゾーンのゾーンごとの MLP です。Public ゾーンの ssh サービスは、ゾーン固有のアドレスで、そのアドレスのラベル範囲にあるどのパケットも受信できます。

次のコマンドが Public ゾーンの MLP を示します。

# tninfo -m public
private: 22/tcp
shared:  23/tcp;8080/tcp

次のコマンドが大域ゾーンの MLP を示します。大域ゾーンは Public ゾーンと同じアドレスを共有するため、ポート 23 および 8080 は大域ゾーンでは MLP になれません。

# tninfo -m global
private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp;
6000-6003/tcp;38672/tcp;60770/tcp;
shared:  6000-6003/tcp
Copyright © 1992, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ