区域管理
4 • 配置区域23
区域联网
系统使用一个TCP/IP 栈,从而不必对区域进行有关设备、路由等详细信
息的配置。可为每个区域分配IPv4/IPv6 地址,每个区域都有自己的端口
空间。应用程序可绑定到INADDR_ANY,从而只有与对应区域相关的流
量。区域看不到其他区域的流量。
来自一个区域的包有属于该区域的源地址。区域只能通过其具有地址的接
口发送包。区域只能使用从该区域可直接连接到的缺省路由器。该缺省路
由器必须与该区域在同一IP 子网中。
区域不能更改其网络配置或路由表,也看不到其他区域配置。区域中没有
/dev/ip。SNMP 代理必须改为打开/dev/arp。多个区域可共享一个广播
地址,并可连接同一个多址广播组。
区域具有以下联网限制:
■ 不能在区域中放置物理接口
■ 不能在区域之间使用IPFilter
■ 没有适用于区域IP 地址的DHCP
■ 无动态路由
区域联网
24 操作系统介绍:OpenSolaris 项目简明使用手册• 2006 年12 月
区域身份、CPU 可见性和打包
每个区域都可控制其节点名称、时区和命名服务(如LDAP 和NIS)。
sysidtool 可用于实现上述功能。使用单独的/etc/passwd 文件表示可以向
区域授予root 权限。如果域不同,用户ID 可映射到不同的名称。
缺省情况下,所有区域都可看到所有CPU。启用资源池时会自动启用限制
视图。
区域可添加其自己的软件包。可以为这些软件包添加修补程序。先在全局
区域中应用系统修补程序。然后,在非全局区域中,区域将自动执行boot
-s 来应用相应修补程序。对于SUNW_PKG_ALLZONES 软件包,应在全局
区域与非全局区域中之间保持一致。出于相关性原因,
SUNW_PKG_HOLLOW软件包的名称会出现在非全局区域(non-global
zone,NGZ) 中,但并不会安装该软件包中的内容。
区域身份、CPU 可见性和打包
4 • 配置区域25
区域设备
每个区域都有其自己的设备。区域的/dev 目录中有一部分安全伪设备。
应用程序引用的是/dev 中设备的逻辑路径。非全局区域中存在/dev 目
录,而没有/devices 目录。随机设备、控制台设备和空设备等是安全设
备,但其他设备(如/dev/ip 中的设备)不是安全设备。
区域可以修改其设备的权限,但不能发出mknod(2)。物理设备文件(如原
始磁盘的文件)可放在区域中,但应慎重。可以在区域之间共享设备,但
在此之前应仔细了解安全注意事项。
例如,您可能拥有希望指定给特定区域的设备。允许非特权用户访问块设
备可能会使他人可以使用这些设备,从而导致系统崩溃、总线复位或其他
不利影响。将物理设备放入多个区域可以在区域之间创建隐藏通道。使用
此类设备的全局区域应用程序会存在非全局区域危及数据或损坏数据的风
险。
区域设备
26 操作系统介绍:OpenSolaris 项目简明使用手册• 2006 年12 月
区域管理入门
本实践练习介绍如何创建区域。
总结
本练习使用详细的示例帮助您了解创建、安装和引导区域的过程。
注– 该过程不适用于lx 标记区域。
区域管理入门
4 • 配置区域27
创建、安装和引导区域
按照以下示例配置新区域:
# zonecfg -z Apache
Apache: No such zone configured
Use ’create’ to begin configuring a new zone.
zonecfg:Apache> create
zonecfg:Apache> set zonepath=/export/home/Apache
zonecfg:Apache> add net
zonecfg:Apache:net> set address=192.168.0.50
zonecfg:Apache:net> set physical=bge0
zonecfg:Apache:net> end
zonecfg:Apache> verify
zonecfg:Apache> commit
zonecfg:Apache> exit
按照以下示例安装和引导新区域:
# zoneadm -z Apache install
Preparing to install zone
.
Creating list of files to copy from the global zone.
Copying <6029> files to the zone.
Initializing zone product registry.
Determining zone package initialization order.
Preparing to initialize <1038> packages on the zone.
Initialized <1038> packages on zone.
Zone is initialized.
Installation of these packages generated warnings: ....
The file
contains a log of the zone installation.
此时创建了必要的目录。区域已就绪,可以进行引导。
查看以下目录:
# ls /export/home/Apache/root
bin etc home mnt platform sbin
tmp var dev export lib opt
proc system usr
未重新安装软件包。
# /etc/mount
/export/home/Apache/root/lib on /lib read only
/export/home/Apache/root/platform on /platform read only
/export/home/Apache/root/sbin on /sbin read only
1
2
3
区域管理入门
28 操作系统介绍:OpenSolaris 项目简明使用手册• 2006 年12 月
/export/home/Apache/root/usr on /usr read only
/export/home/Apache/root/proc on proc
read/write/setuid/nodevices/zone=Apache
引导区域。
# ifconfig -a
lo0: flags=2001000849
mtu 8232 index 1 inet 127.0.0.1 netmask ff000000
bge0: flags=1004803 mtu 1500 index 2
inet 192.168.0.4 netmask ffffff00 broadcast 192.168.0.255
ether 0:c0:9f:61:88:c9
# zoneadm -z Apache boot
# ifconfig -a
lo0: flags=2001000849
mtu 8232 index 1 inet 127.0.0.1 netmask ff000000
lo0:1: flags=2001000849
mtu 8232 index 1 zone Apache inet 127.0.0.1
bge0: flags=1004803 inet 192.168.0.4 netmask ffffff00 broadcast
192.168.0.255 ether 0:c0:9f:61:88:c9
bge0:1: flags=1000803mtu 1500 index 2 zone Apache inet
192.168.0.50 netmask ffffff00 broadcast 192.168.0.255
配置区域并登录:
# zlogin -C Apache
[Connected to zone ’Apache’ pts/5]
# ifconfig -a
lo0:2: flags=2001000849 mtu 8232 index 1 inet 127.0.0.1
netmask ff000000
bge0:2: flags=1000803 inet 192.168.0.50 netmask ffffff00
broadcast 192.168.0.255
# ping -s 192.168.0.50
64 bytes from 192.168.0.50: icmp_seq=0. time=0.146 ms
# exit
[Connection to zone ’Apache’ pts/5 closed]
4
5
区域管理入门
4 • 配置区域29
使用区域实现Web 服务器虚拟化
本实践练习说明如何在一个物理主机上支持两组不同的Web 服务器用户
组。
总结
将对同时访问两个Web 服务器的情况进行配置,以使在一个服务器和系
统受损时,另一个服务器和系统不受影响。
使用区域实现Web 服务器虚拟化
30 操作系统介绍:OpenSolaris 项目简明使用手册• 2006 年12 月
创建两个非全局区域
创建非全局区域Apache1:
# zonecfg -z Apache1 info
zonepath: /export/home/Apache1
autoboot: false
pool:
inherit-pkg-dir: dir: /lib
inherit-pkg-dir: dir: /platform
inherit-pkg-dir: dir: /sbin
inherit-pkg-dir: dir: /usr
net: address: 192.168.0.100/24
physical: bge0
创建非全局区域Apache2:
# zonecfg -z Apache2 info
zonepath: /export/home/Apache2
autoboot: false
pool:
inherit-pkg-dir: dir: /lib
inherit-pkg-dir: dir: /platform
inherit-pkg-dir: dir: /sbin
inherit-pkg-dir: dir: /usr
net: address: 192.168.0.200/24
physical: bge0
登录到Apache1 并安装应用程序:
# zlogin Apache1
# zonename
Apache1
# ls /Apachedir
apache_1.3.9 apache_1.3.9-i86pc-sun-solaris2.270.tar
#cd /Apachedir/apache_1.3.9 ; ./install-bindist.sh /local
You now have successfully installed the Apache 1.3.9 HTTP server.
登录到Apache2 并安装应用程序:
# zlogin Apache2
# zonename
Apache2
# ls /Apachedir
httpd-2.0.50 httpd-2.0.50-i386-pc-solaris2.8.tar
# cd /Apachedir/httpd-2.0.50; ./install-bindist.sh /local
You now have successfully installed the Apache 2.0.50 HTTP server.
1
2
3
4
使用区域实现Web 服务器虚拟化
4 • 配置区域31
启动Apache1 的应用程序:
# zonename
Apache1
# hostname
Apache1zone
# /local/bin/apachectl start
/local/bin/apachectl start: httpd started
启动Apache2 的应用程序:
# zonename
Apache2
# hostname
Apache2zone
# /local/bin/apachectl start
/local/bin/apachectl start: httpd started
在全局区域中,编辑/etc/hosts 文件:
# cat /etc/hosts
#
# Internet host table
#
127.0.0.1 localhost
192.168.0.1 loghost
192.168.0.100 Apache1zone
192.168.0.200 Apache2zone
打开Web 浏览器并访问以下URL:
Apache1 Web 服务器将启动并运行。
打开Web 浏览器并访问以下URL:
Apache2 Web 服务器将启动并运行。
5
6
7
8
9
10
使用区域实现Web 服务器虚拟化
32 操作系统介绍:OpenSolaris 项目简明使用手册• 2006 年12 月
讨论
最终用户看到的每个区域都是不同的系统。每个Web 服务器都有自己的
名称服务:
■ /etc/nsswitch.conf
■ /etc/resolv.conf
对一个Web 服务器的恶意攻击仅限于相应区域中。端口冲突不再是问题
!
使用区域实现Web 服务器虚拟化
4 • 配置区域33
34
配置ZFS 文件系统
目的
本章旨在通过说明如何创建具有镜像文件系统的简单ZFS 池来介绍ZFS。
55
35
其他资源
ZFS Administration Guide 和手册页
:
配置ZFS 文件系统
36 操作系统介绍:OpenSolaris 项目简明使用手册• 2006 年12 月
使用挂载的文件系统创建池
每个存储池都由一个或多个虚拟设备组成,这些虚拟设备体现了物理存储
的布局及其故障特征。
存储池最基本的构建块是一块物理存储。它可以是大小至少为128MB的
任何块设备。通常是/dev/dsk 目录中系统可见的硬盘驱动器。存储池可
以是整块磁盘(c0t0d0),也可以是单个片(c0t0d0s7)。推荐的操作模式是
使用整个磁盘,这种情况下就不需要对磁盘进行专门的格式化。ZFS 使用
EFI 标号来格式化磁盘以包含单个大型片。
本章首先介绍镜像存储池配置。然后介绍如何配置RAID-Z。
在使用分区或卷的传统存储配置中,存储分散于多个磁盘上。ZFS 使用的
是池存储,避免了与卷有关的管理问题,也使得可以共享所有存储。共享
存储的意义在于可以修复损坏的数据。
使用挂载的文件系统创建池