Solaris 区域和容器的相关问题

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

当系统正在运行的时候我能够在处理器集合之间移动处理器吗？
答: 你能。这是你要用到的命令：

● 如果你不关心从一个处理器集合中移动的是那个CPU，命令是：
poolcfg -dc "transfer 2 from pset pset1 to pset2"

移动任意两个CPU从pset1到pset2
-d operate directly on the kernel state
-c this signifies the command

●如果你想移动指定的CPU，命令是这样：
poolcfg -dc "transfer to pset pset2 (CPU 0, CPU 1)"

移动CPUs 0和1到pset2

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够防止一个区域填满所有的交换空间 /tmp 吗？
答: 对于手动挂载，使用选项"-o size=sz"，sz是你想设置的限制尺寸。以'k'结尾意味着千字节，以'm'结尾意味着兆字节。例如: "-o size=500m". 这个选项也可以添加到 /etc/vfstab 文件中。详细信息, mount_tmpfs(1M) 和 vfstab(4)联机帮助。

对于Solaris 10 8/07, 你能使用资源控制, zone.max-swap. (capped-memory资源的swap属性是设置这个控制的首选方法。)

同样, 注意 RFE 1177209会给全局区域管理员控制一个区域使用的交换空间的能力。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

如何创建一个区域？
A: 首先收集一些信息，然后使用Solaris容器管理GUI或者下面所示的命令行。这是非常简单的拥有网络访问能力的区域。你可能需要这些信息（例子值在括号中）：

1. 选择区域名称 (my-zone)
2. 选择区域主机名(my-zone)
3. 确定放置区域的操作系统所有文件的在全局区域中的目录名称(/zones/zone_roots/my-zone)
4. 区域IP地址 (10.1.1.1)
5. 区域使用的网络设备的名字 (hme0)

在相应的命令中使用简单的信息，这可能大约花费１０分钟安装一个小的OpenSolaris或者Solaris 10系统：

global# zonecfg -z my-zone
zonecfg:my-zone> create
zonecfg:my-zone> set zonepath=/zones/zone_roots/my-zone
zonecfg:my-zone> add net
zonecfg:my-zone:net> set address=10.1.1.1
zonecfg:my-zone:net> set physical=hm0
zonecfg:my-zone:net> end
zonecfg:my-zone> commit
zonecfg:my-zone> exit
global# zoneadm -z my-zone install
global# zoneadm -z my-zone boot

也看参看docs.sun.com的两个章节，区域的安装和卸载。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

如何删除区域？
答: 使用这些命令，用正确的名字替换<bracketed>文本。

global# zoneadm -z <zonename> uninstall
global# zonecfg -z <zonename> delete

也看参看docs.sun.com的两个章节，区域的安装和卸载。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

如何给区域打补丁？
答:　参看docs.sun.com上的Patching and Packaging章节。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

每一个容器可以有不同的补丁级别吗？这样我可以在应用补丁到产品容器之前，在一个测试容器中测试一下补丁。
答: 这个问题的回答有两部分：
1) 因为系统上仅有一个内核运行，关于内核和核心系统组件所有区域必须在相同的补丁级别。这样的补丁仅能从全局区域安装，它影响全局域和所有本地域。KU的patch是这样的一个例子。
2) 中间件例如java企业级系统可以在每个区域分别打补丁。如果软件在本地区域能够安装，它就同样可以从本地区域进行补丁，不管区域是什么类型，完全根区域或者稀疏根区域。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能把区域从一个计算机移动到另一个计算机吗？
答:可以. 参看　迁移一个非全局区域到一个不同的机器。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

有办法关联多个容器的审计记录吗？
答: 是的, 全局区域能看到所有的审计记录。每个非全局区域进能看到它自己的审计记录。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能仅在全局区域中安装包吗(例如SRS netConnect)？
答: 是的, 使用 pgkadd -G。注意，如果SUNW_PKG_THISZONE设置为true, 你不必使用 -G 参数。参看　安装和补丁章节。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够添加一个包到非全局区域而不添加到全局区域中吗？
答: 这要看创建包时使用的设置。参看docs.sun.com上的包安装章节。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

在一个区域中，什么命令不能工作或者行为不同了？
答: 大部分UNIX命令和程序能正常工作，不需要修改和重新编译。

然而,安全隔离边界的执行限制了一些系统调用和库的功能性。换句话说，一些Solaris命令当在一个区域中运行的时候行为不同了，或者根本不工作。

看章节6.1系统调用、6.2 库函数、6.3 命令、6.4 设备和特殊文件接口在 http://www.sun.com/bigadmin/features/articles/zones_partition.html#limitations 。

区域中特权状态的更多信息，看表26-1 Status of Privileges in Zones

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

系统启动时，区域可自动启动吗？还是必须分别手动启动每一个区域？
答: 区域的 auotboot属性决定了系统启动时区域是否自动启动。全局区域管理员可以设置autoboot属性为"true"或者"false"。区域服务 svc:/system/zones:default 必须也被起用。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

在安装补丁前我要中断系统的区域吗？
答: 不需要做这个。实际上，包和补丁工具会执行它们的操作在所有正在运行的区域上，同样那些当前没有运行但是能够启动的区域(举例来说，他们至少在"installed"状态。正在运行的区域首先被操作，然后是每一个能够启动、当前没运行的区域，启动区域，执行操作，然后中断区域。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

区域的syslog输出到哪里了？
答:默认情况下区域的syslog输出仅在区域的syslog文件里。如果你也想输出到全局区域的log文件里，配置非全局区域的loghost为全局区域。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我从一个区域中移出了一个设备，但是它仍旧在。为什么，我如何去掉它？
答: 这是一个 bug 4963368. 当前的 (2005年二月) 应对措施是:使用zonecfg一处设备后，手动移出{ZONEPATH}/dev中的相应实体。

如果你正在运行Solaris Express,在 builds 46或者更高版本这个bug得到修正。如果你正在运行Solaris 10，Solaris 10 8/07中这个bug得到修正。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我如何升级一个安装了区域的系统？活动升级( Live Upgrade )能工作吗？
答: 如果你正在运行区域关于如何升级你的Solaris 10 系统到新的版本的信息在系统管理员指南：Solaris 容器--资源管理和Solaris区域, 第27章升级一个已经安装了非全局区域的Solaris 10系统.

安装了区域的Solaris Express系统从 SX 7/06开始进行有限的升级。仅能有限制的使用标准升级和受限的JumpStart 关键字。参看安装文档。

安装了区域的Solaris Express系统从 SX 2/07开始进行完全的升级。标准升级没有限制、JumpStart没有限制、包括Solaris(tm) Live Upgrade。参看安装文档。.

安装了区域的Solaris 10系统的完全升级从Solaris 10 8/07开始。你可以使用Solaris Live Upgrade，标准的Solaris交互式安装程序，或者定制的JumpStart安装程序来升级你的安装了区域的Solaris系统。参考安装文档。通过有限制的标准升级进行有限的升级和有限制的JumpStart关键字在Solaris 10 11/06中可用了。

Solaris Release Traditional Upgrade w/ Zones Live Upgrade w/ Zones
Solaris 10 3/05 N/A N/A
Solaris 10 1/06 Yes No
Solaris 10 6/06 Yes No
Solaris 10 11/06 Yes* No
Solaris 10 8/07 Yes* Yes
Solaris Express Yes Yes
★ 注意，仍然有两个限制关于Solaris 10的升级程序如果它有区域使用了ZFS或者LOFS。这两个问题的修正正在开发中，或者已经存在但是没能及时包含在Solaris 10 11/06发行版中。注意LOFS的问题在Solaris 10 8/07中已经被修正。

1. Solaris 10 6/06支持使用ZFS文件系统。安装区域到一个 ZFS fs是可能的，但是安装/升级程序仍然不能很好地识别ZFS来升级在'live'一个ZFS文件系统上的区域。因为这些，升级一个系统其安装了区域在ZFS文件系统上的仍然不能支持。

2. 如果所有的使用"lofs" fs 资源配置的非全局区域正在挂载存在于miniroot的目录，使用标准的升级可以从一个以前的Solaris 10发行版升级到Solaris 10 11/06发行版。例如，一个lofs挂载的/opt目录呈现出没有升级发布。

然而，如果任何一个你的非全局区域使用了非标准的lofs挂载进行配置，例如一个lofs挂载的/usr/local目录，将会显示下面的错误信息：

The zones upgrade failed and the system needs to be restored from backup. More details can be found in the file /var/sadm/install_data/upgrade_log on the upgrade root file system.

错误信息是不正确的: 虽然这个错误信息声明系统必须从备份恢复，系统实际上相当好，它可以被成功的升级，使用替代方案。

替代方案:

1. 重新启动安装了OS的系统。
2. 重新配置区域，移出类型定义为"lofs"的"fs"资源。
3. 移出这些资源后，升级系统到Solaris 10 11/06。
4. 升级之后，你可以重新配置你的区域来恢复你移出的附加的"fs"资源。

这个问题被跟踪作为CR 6454140: "Zones With an "fs" Resource Defined With a Type of "lofs" Cannot Be Upgraded to Solaris 10 11/06"，在Solaris 10 11/06发行版中也有描述。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能配置我的区域在一个ZFS文件系统上吗？
答:
Solaris 10 Update Release:
安装一个区域在ZFS文件系统上是可能。然而，在这个时候，我们不推荐非全局区域的zonepath放在ZFS上，因为升级系统到Solaris 10 update release之后的版本可能存在问题。在ZFS上支持zonepaths正在开发中。 [2006年9月]

Solaris Express Release:
你可以放置非全局区域的zonepath在ZFS上。然而，为相关的要点参看问题"How do I upgrade a system with zones installed? Does Live Upgrade work?"。[2006年9月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

当安装一个非全局区域时，默认的网络服务配置是什么？
答: 在Solaris 10系统上，惯例的开放配置被安装了。On SX 系统，限制的网络配置被安装。

你能够切换区域到任一个网络配置通过使用网络服务(netservices)命令，或者使用SMF命令启用和禁用服务。 [2006年9月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够从一个区域访问另一个区域吗？
答: 仅能通过ＩＰ连接，例如telnet，rlogin。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够'su'从一个区域到另一个吗？
答: 不能, 这将侵犯区域的安全实现。对于这种情况，把区域看作一个单独的计算机 - 你不能'su'从一个UNIX计算机到另一台计算机。

你可以使用zlogin(1)命令从全局区域登陆到非全局区域。你必须拥有使用zlogin的特权！