Solaris 区域和容器的相关问题

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够使用我登录进去的区域的名字作为我的终端窗口的标签吗？
答: 可以. 登录到域之后，输入类似如下的命令:

zone% /bin/echo "\033]0;Zone `/bin/zonename`\007\c"

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能添加一个文件系统到已经存在的区域中吗？
答: 有四种方法. 下面的列表使用UFS做例子, 但是其它类型的文件系统, 例如 HSFS 和 VxFS, 可以用作 zoncfg "fs" 资源类型属性或者使用mount(1M)挂载.

1. 在全局区域中创建和挂载文件系统，使用 LOFS 在非全局区域中挂载它 (非常安全)
2. 在全局区域中创建文件系统，使用zonecfg挂载文件系统到区域中作为一个UFS文件系统 (非常安全)
3. 输出与磁盘分区关联的设备到非全局区域中, 在非全局区域中创建文件系统并挂载它. 安全事项: 如果一个 _block_ device 已经在区域中存在,一个恶意的用户可以在这个设备上创建一个有漏洞百出的文件系统影像. 这可能导致系统混乱. 对于裸设备问题不是很严重. 磁盘设备仅仅应该放在相对信任的基础结构的区域中.
4. 直接挂载一个UFS文件系统到非全局区域的目录结构中(允许动态的修改挂载而不需要重新启动非全局区域)

参考管理员指南的说明来使用这些方法.

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我如何在稀疏根区域中使用一个可写的 /usr/local目录？
答: 使用楼上的方法之一，例如:

global# mkdir -p /path/to/some/storage/local/twilight
global# zonecfg -z twilight
zonecfg:twilight> add fs
zonecfg:twilight:fs> set dir=/usr/local
zonecfg:twilight:fs> set special=/path/to/some/storage/local/twilight
zonecfg:twilight:fs> set type=lofs
zonecfg:twilight:fs> end
zonecfg:twilight> commit
zonecfg:twilight> exit
global#

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能指派一个SVM meta-device 或者一个Veritas LUN到非全局域吗？
答: 用Solaris 10 1/06, 你能直接指派一个SVM meta-device到非全局域, 使用相同的方法你可以指派更多的其它设备.

Symantec还没有支持指派Veritas LUN到非全局域.

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能否和怎样输入一个裸设备到非全局区域？
答: Solaris区域功能集合提供了全局区域管理员允许非全局区域存取一个裸设备的能力。有很多情况下这是一个解决问题的最好方法。甚至这样的情况就是需要这样用。

首先，无论如何，重要地强调通常有其它的情况不需要直接设备存取。让我们首先讨论一下这个问题。

一个常见问题是 "我能输入VxVM设备到域中吗？" 因为在这个时候这是不可能的，我们寻找其它的解决方案。如果目标是让文件系统在区域中可用，那解决方案是显而易见的：在全局域创建文件系统，使用LOFS让文件系统在区域中可用。另一方面，如果目标是制作一个镜像块设备在区域中可用，必须寻找另一个解决方案。

在任何情况下，如果需要在区域中直接存取设备，你必须进行仔细的错误分析和"灾难的应用程序失败"这种可能结果的评估。如果非全局区域打算使用COTS软件，被可信赖的人们管理，那么风险是很小的。幸运地，多数情况下也有其它的解决方案它不需要从一个区域直接存取设备。

这有两个极端的例子：

1. 生成一个区域用来培训学生使用基本的Unix命令。root账号仅能被全局区域管理员使用。系统被附加到一个没有连接任何其它网络的局域网上。教师需要存取音频设备。使用这样的存取有很少的风险　－　音频设备遭受失败是很难的，即使这样也不可能影响其它的区域。

区域通过zonecfg的子命令来设定存取：:

这里区域可以有权使用音频设备，但是无权使用其它设备。

2. 生成一个区域用来培训学生，一个数据库程序需要存取一个裸磁盘分区。教师知道如何使用UNIX，但是没有系统管理的背景。更进一步，教师需要使用root账号来帮助学生。它是可能的，教师犯错误，一个恶意的学生滥用裸磁盘存取，最后导致内核崩溃。这最终导致所有其它的非全局域停止，全局域也一样。如果其它的区域正在运行产品软件，这需要一个区域的裸磁盘存取不能被执行。需要寻找其它的解决方案，例如为教师创建一个RBAC角色，仅仅授权给教师的Unix账号必要的权限。

其它的例子必须通过它们的细节来判断，例如一个产品数据库需要裸存取. 要考虑的因素包括:

● 谁登录到区域？他们值得信赖吗？
● 对这个系统未经授权的存取使用防火墙保护了吗？
● 在这个域或者其它域运行的应用程序需要什么样的可用性级别？

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能在容器之间共享I/O资源(例如NIC,HBA)吗？
答: 是的, 实际上, 这是一个默认的模型. 每个容器被指派了自己的IP地址，但是通常多个容器共享一个NIC. 更进一步地,多个区域可以指派独立的文件系统存取通过一个.

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

在一个计算机里的区域能够通过网络通讯吗？
答: 共享IP和独占IP的区域，两者都可经由网路来通讯。共享IP区域的网络传输在同一个机器上他们自己之间进行传输，传输不会离开主机，反之，使用独占IP的区域网络传输会离开主机。

完全的IP级别功能在独占IP区域中可用。当前，独占IP区域在网络上彼此通讯 -- 没有到系统的本地通讯。通讯可以使用IP Filter进行限制，就像它们是分开的系统。

在一个计算机中共享IP区域使用IP网络，适用以下规则：

● 内部区域网络反映事件相当的小，带宽相当的高。
● Solaris IP Filter 可以在非全局区域启用通过打开回环过滤(loopback filtering)，在系统管理指南：IP服务中有叙述。

它是可能的通过配置路有来完全地在特定区域之间阻塞传输。

IP类型的更多信息，看系统管理指南：Solaris容器－－资源管理和Solaris区域。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我如何修改正在运行的区域的网络配置？
答: ifconfig(1M)命令可以用来在全局区域中修改一个一个区域的现有的网络配置或者添加一个逻辑接口到一个区域中。这有一些例子，添加然后删除指派给一个区域的逻辑接口：

global# ifconfig bge0 addif 192.168.200.202 zone myzone
global# ifconfig bge0 removeif 192.168.200.202

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

对于区域可以使用IP多路(IP Multipathing-IPMP)吗？
答: 是的.

独占IP的区域能够使用IPMP. 独占IP区域的IPMP的配置方法和没有使用区域的系统是一样。

对于共享IP区域，IPMP可以在全局区域里配置. 被IPMP保护的一个网络连接(例如hme0)的故障转移会为区域产生关联的逻辑接口(例如hme0:3)直到第二个连接(例如bge0)为止。
更多信息, 参看"Using IP Network Multipathing on a Solaris System With Zones Installed" 在系统管理员指南: Solaris 容器-资源管理和 Solaris区域。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能在区域中使用IP Filter吗？
答: 在一个独占IP的区域中你有何全局区域相同的IP Filter功能。在独占IP的区域中IP Filter的配置和全局区域的相同。

对于共享IP的区域，Solaris 10中的IPFilter的功能可以用来过滤一个非全局域和网络上其它计算机之间的经过的传输。这个包括使用NAT功能的能力，也就是重定向全局域到非全局域的传输。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能阻止一个区域使用网络吗？
答: 可以. 一个区域根本不需要网络接口也能运行。如果你生成区域的时候没有指定一个网络接口，它仍然能正确启动。如果一个区域已经指定了一个网络接口，你可以使用zonecfg(1M)移出这个接口，但是如果一个区域正在运行，你必须要么重启区域，要么在下一次重启区域之前使用ifconfig(1M)来移出接口。

也可能允许一个共享IP的区域访问网络，但是不能和同一个机器的其它区域通讯。一个方法是使用带有"-reject"参数的route(1M)命令设置一对线路。例如，如果一个区约有一个IP地址<Addr1>，第二个区域有一个地址<Addr2>，下面的命令会阻止这两个区域之间的网络传输。

global# route add <Addr1> <Addr2> -interface -reject
global# route add <Addr2> <Addr1> -interface -reject

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

区域支持VLAN吗?
答: 是的. 对于一个共享IP的区域，VLAN接口必须被连接到全局区域。在独占IP的非全局区域里LAN和VLAN分别是可用的。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

当我尝试挂在一个文件系统到一个非全局区域时，一个错误显示挂载点忙碌。为什么？
答: 所有到lofs挂载的文件系统里的实体的访问影射到它们的底层文件系统。因此使用lofs的挂载点在多个位置是可用的，它正在被其它位置使用 (像一个挂载点，一个当前工作的目录，等等)，在这个挂载点的一个挂载文件系统的尝试会失败除非覆盖标志(overlay flag)被指定。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能安全地在两个不同的区域挂载一个文件系统吗？
答: 在全局区域创建一个目录，使用lofs在每个非全局区域中重新挂载它。这将允许在两个区域中没有冲突地进行读和写操作。在某些情况下自动挂载器使用了同样的机制。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够创建一个区域拥有自己的/usr或者根文件系统(一个"整个根文件系统")？
答: 默认情况下，区域和全局区域共享/usr和少数其它几个目录。如果一个区域需要它自己独立的/usr拷贝，等等，你必须告诉zonecfg不要使用默认的配置。做这个，使用zonecfg(2)命令子命令"create"的"-b"选项。

如果你这样做，你必须指明每一个你想共享在新区域中的已经存在的文件系统。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我如何在一个容器中配置一个默认路由？
答: 对于一个共享IP配置: 所有路由，包括默认的路由，必须由全局区域的管理员来配置。虽然一个默认路由不能直接分配给一个容器，但是一个默认路由可以指派给每个子网。在一个子网上所有区域将会使用相同的默认路由。

对于一个独占IP的配置:域管理员能以在全局区域中同样的灵活性和选项在这些数据链接上配置IP。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够限制一个区域（或者一些区域）到一个NIC（网络连接器）吗？
答: 独占IP区域有各自的TCP/IP堆栈，因此分离延伸直到数据链接层。一个或者多个数据层名字，他们可能是一个NIC或者一个NIC上的VLAN，全局管理员可以指派给一个独占IP的区域。域管理员可以使用在全局区域中相同的选项设置在这些数据链接上配置IP。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能否限制一个区域（或者少数区域）到一个HBA（存储连接器）上？
答：每个区域使用的空间至少在一个磁盘分区上-它的根目录和其它目录在上面。所有这些文件是Solaris的一部分。另外，每个区域可以访问一个或者多个文件系统或者一个或多个裸磁盘。通过仔细规划，你能够配置一个区域，它的所有文件和设备通过一个HBA访问，另一个区域的所有其它存储通过一个不同的HBA访问。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

一个非全局区域能否NFS-mount一个它自己的全局区域共享出来的一个文件系统吗？
答:不行. 这个可能在将来提出来。然而文件系统可以被LOFS-mount到本地区域，如果必要的话，全局区域能够通过NFS输出相同的文件系统，所以其它的计算机可以访问这些文件。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

一个区域的根目录可以在一个ZFS文件系统上吗？
答: 一个区域的根目录(也就是它的路径名) 能够在一个ZFS文件系统上，但是在你打算升级系统到一个将来的Solaris 10发行版的时候，不推荐这样做。这是因为Solaris 10的软件安装和升级仍然不能识别ZFS，所以不能升级这些区域。

这种情况留给你三种选择：

1. 不要放置区域到ZFS文件系统上
2. 在ZFS文件系统上放置区域，在升级Solarais 10到新版本前卸载它
3. 在ZFS文件系统上放置区域，当你使用一个新Solaris发行版时重新安装它

Sun正在改进安装软件来识别ZFS。这个发行版的日期还没确定，但是预期在2007年底或者2008年初。在那个时候，一个区域在ZFS文件系统上的系统将能够升级了。