Chinaunix首页 | 论坛 | 博客
  • 博客访问: 732287
  • 博文数量: 288
  • 博客积分: 3124
  • 博客等级: 中校
  • 技术积分: 5206
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-24 23:42
个人简介

Bomi

文章存档

2015年(1)

2013年(1)

2012年(283)

2008年(3)

分类: 虚拟化

2012-02-05 12:46:58

Sun Java System Web Server 7、Solaris Zones 和 DMZ 的用户方案

随着由服务器和软件组件构成的庞大网络的管理成本的不断增加,人们的注意力开始转向建立各种新方法,以此降低 IT 基础结构的成本和提升系统的管理。虽然服务器整合与虚拟化技术有助于改善数据中心管理,但是还有更好的方法,用来置备应用程序和提升安全性与可维护性。为了使这些资源管理技术行之有效,我们必须可以独立管理应用程序,根据业务需要控制资源的利用,快速隔离故障,并确保多个应用程序之间的安全。

Solaris Zones(Solaris Containers 技术的组成部分)可以提供一种简单高效的方法,使这种环境可在 OS 级实现。我们将了解使用区域 (Zone) 如何实现服务器的虚拟化和整合,以及 Sun Java System Web Server 7(下面简称 Web Server 7)如何使用这种环境改善应用程序的置备和可维护性。

本文介绍了下列主题:

    * Solaris Zones:含义和使用原因
    * Web Server 方案中各个区域的相关性
    * 区域的类型以及如何创建区域
    * 各种区域中均支持安装 Web Server 7
    * Web Server 7 的实际实现
    * 配置步骤:
          o 管理服务器
          o 管理代理
          o 注册
          o 群集
          o 会话复制
          o 部署 Web 应用程序
          o 监视
          o 反向代理


什么是 Solaris Zones?

区域是 Solaris 10 OS 的一项应用程序和资源管理功能。借助这项功能,该 OS 可以作为安全隔离的虚拟 OS 环境(或区域)显示给应用程序。这些区域将 OS 独立性的优点与一定程度的集中式资源管理完美结合。因此,应用程序可以通过安装并运行在不同的区域中来实现相互隔离,同时,某些 OS 资源可以进行集中分配和管理。从区域环境的角度讲,OS 资源包括诸如进程管理、内存、网络配置、文件系统、软件包注册表、用户帐户、共享库之类的资源,在某些情况下还包括安装的应用程序。

使用区域提供了一种在 Solaris OS 的实例中创建虚拟操作系统环境的方法,从而使一个或多个进程可在系统中按照与其他活动隔离的方式运行。无论用户 ID 和其他证书信息如何,这种隔离方式都能防止指定区域中运行的进程监视或影响其他区域中运行的进程。区域是一个沙箱。一个或多个应用程序在其中运行时,既不会影响系统的其余部分,也不会与这些部分进行交互。使用区域还提供了一个抽象层,可将应用程序与部署这些应用程序的计算机的物理属性分开,例如物理设备路径、网络接口名称和网络路由表等。

为何使用区域?

安全性

网络服务可在区域中运行,这便限制了安全受到侵犯时可能出现的损坏。如果入侵者成功利用了区域中运行的软件中的安全漏洞,则此入侵者只能在该区域中执行一部分可能的操作。例如,在大多数区域中运行的应用程序不能装入定制的内核模块、修改内核内存或创建设备节点。区域中可用的权限集是那些在整个系统中可用的权限集的子集。

隔离

使用区域,可以在同一计算机上部署多个应用程序,即使这些应用程序运行在不同的信任域中,要求独占访问全局资源或者需要进行逐个配置也是如此。例如,使用与每个区域关联的特定 IP 地址,可以将(同一系统内)不同区域中运行的多个应用程序绑定到同一网络端口。此外,可以阻止这些应用程序监视或拦截其他应用程序的网络通信流量、文件系统数据或进程活动等。

虚拟化

区域提供了一个虚拟环境,此环境可以在应用程序中隐藏详细信息(例如物理设备、系统的主 IP 地址以及主机名)。因为可以在不同的物理计算机上维护同一应用程序环境,所以,这对支持快速部署(和重新部署)应用程序很有用。虚拟环境功能十分强大,通过它可以单独管理每个区域:如果用户知道区域管理员执行的任何操作都不会影响该系统的其余部分,可以向该管理员提供超级用户口令。这种功能引起了正在寻求更加细化的方法以在客户(内部和外部)之间划分系统的服务提供商的关注。

粒度

与物理分区技术(如域或使用逻辑分区的 LPAR)不同的是,区域提供的隔离几乎可细化到任何程度。区域不需要专用的 CPU、物理设备或物理内存块。可以在单个域或系统中运行的多个区域之间复用这些资源,也可借助操作系统中可用的资源管理功能为每个区域分别分配这些资源。结果是,即使小型单处理器系统也能支持同时运行多个区域。主要限制(除每个区域中运行的应用程序的性能要求外)在于保存每个区域内特有文件的磁盘空间。

透明化

区域的一项基本设计原则是,避免更改正在执行应用程序的环境,但为实现安全和隔离目标而必须更改的情况除外。区域不显示应用程序必须连接的新 API 或 ABI。相反,使用区域可以提供具有某些限制的标准 Solaris OS 接口和应用程序环境。这些限制主要影响尝试执行特权操作的应用程序。
阅读(560) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~
评论热议
请登录后评论。

登录 注册