Solaris 区域和容器的相关问题

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我能够防止区域的root帐号影响其它的区域吗？
答: 因为每一个容器有它自己的命名空间，每个容器有它自己的root帐号。每一个区域的root帐号以任何方式都不可能存取其它的容器。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

运行在一个区域的程序能够修改运行在另一个区域正在运行的程序的操作吗？
答: 已经做了大量的工作用来防止容器之间互相影响。默认情况下，一个本地区域影响另一个是很困难的，但是这也是可能。它也是很容易的，对于全局系统管理员没有安全地配置容器。考虑这些因素:

● 首先，有很多未知的方法，对于一个本地区域的一个用户"侵占"另一个区域 (全局或者非全局 )。

可以，一个现代的计算机有很多资源，一些是真实的，一些是虚拟的。拒绝式服务攻击经常尝试去使用一个虚拟资源的所有实例。一个在UNIX系统上早期的攻击时产生相当多的进程以至于所有的PIDs都被占用，阻止了新进程的创建。现在有方法防止这些攻击，这些方法自动地应用，或者已经被应用于区域。在某些情况下防止的手段包括Solaris功能的人工使用，举例来说 projects。

● 默认情况下，破坏区域的操作很难的。然而全局管理能够让一个非全局用户侵犯一个或者多个其它区域变得容易，甚至是全局区域。尝试避免直接分派磁盘设备到非全局区域：那个区域的root用户可能利用这个来导致一个SCSI总线重置或者甚至内核混乱。同样，避免分派同样的设备或者文件系统给多个区域，除非你有特别的目的。如果需要这样，确保在那样的两个区域中所有的软件使用了一个同步机制当使用设备或者文件系统的时候。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

运行在一个区域的程序能够修改运行在另一个区域正在运行的程序的操作吗？
答: 已经做了大量的工作用来防止容器之间互相影响。默认情况下，一个本地区域影响另一个是很困难的，但是这也是可能。它也是很容易的，对于全局系统管理员没有安全地配置容器。考虑这些因素:

● 首先，有很多未知的方法，对于一个本地区域的一个用户"侵占"另一个区域 (全局或者非全局 )。

可以，一个现代的计算机有很多资源，一些是真实的，一些是虚拟的。拒绝式服务攻击经常尝试去使用一个虚拟资源的所有实例。一个在UNIX系统上早期的攻击时产生相当多的进程以至于所有的PIDs都被占用，阻止了新进程的创建。现在有方法防止这些攻击，这些方法自动地应用，或者已经被应用于区域。在某些情况下防止的手段包括Solaris功能的人工使用，举例来说 projects。

● 默认情况下，破坏区域的操作很难的。然而全局管理能够让一个非全局用户侵犯一个或者多个其它区域变得容易，甚至是全局区域。尝试避免直接分派磁盘设备到非全局区域：那个区域的root用户可能利用这个来导致一个SCSI总线重置或者甚至内核混乱。同样，避免分派同样的设备或者文件系统给多个区域，除非你有特别的目的。如果需要这样，确保在那样的两个区域中所有的软件使用了一个同步机制当使用设备或者文件系统的时候。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我如何防止一个'叉子炸弹(fork bomb)'影响所有的区域？
答: 一个 'fork bomb'是一个进程，它会生成尽可能多的子进程，尝试使用一个系统的所有虚拟内存或者PIDs，最终导致拒绝其它用户的使用。如果你想防止某人在非全局区域使用叉子炸弹，添加这个到区域的配置中，使用zonecfg(1M)：

add rctl
set name=zone.max-lwps
add value (priv=privileged,limit=1000,action=deny)
end

这个会防止一个区域的进程同时地拥有多于1000个的LWPS。[December 2005年12月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

Oracle能够使用容器中的共享内存吗？
答: 因为我们一直在改进容器，对于这个问题有两个不同的回答。

1. Solaris 10 11/06 或者之后: 可以, Oracle能够在容器中使用ISM或者DISM。为了能够使用DISM，全局区域管理员必须添加特权"proc_lock_memory" 到容器中。做这个，使用 zonecfg(1M)添加行

set limitpriv=default,proc_lock_memory

到容器的配置中。[2007年1月]

2. Solaris 10, Releases 3/05, 1/06, 6/06: 可以, 然而 Oracle仅能在区域中使用ISM (Intimate Shared Memory) 。不能在区域中使用DISM (Dynamic ISM)。这是区域彼此间安全边界实现的副作用。 [2006年6月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

在有Oracle的Solaris容器中，我能够使用Solaris 10公平共享调度器吗？
答: 当前(2006年6月)有两个截然不同的关切，关于在一个容器中使用FSS，当运行Oracle数据库的时候：

1. 测试中 - Oracle进程使用内部的方法把它们自己区分优先次序来提高效率。它是可能的，这些方法不工作，与Solaris FSS冲突。尽管有未知的问题对于non-RAC配置，Sun和Oracle正在测试这种类型的配置来发现任何消极的交互作用。这个测试可能不久完成。
2.在一个有Oracle RAC的容器中，使用Solaris FSS是不可能的。一个补丁正在测试来修正这个问题。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

区域对比其它服务器的虚拟化方案有什么优势？
答 : Solaris区域相对其它服务器虚拟化方案有很多优势，包括：

● 成本: 区域是操作系统的一个功能。使用它们不需要附加的开支。
● 集成: 区域被集成到操作系统中，提供了无缝的功能性和一个平稳的升级方式。
● 移植性: 区域没有绑定到任何一个硬件平台。作为一个OpenSolaris的设备不依赖的功能集合，在所有已被移植OpenSolaris的硬件平台上它的功能性完全相同的。
● 可观察性: 全局区域可以察看所有区域的活动，包括察看进程、网络活动、系统范围的计帐和审计，等等。这个让发现性能问题和解决区域之间的冲突是可能的，这两个是很困难的问题在大多数其它服务器虚拟化方案中。甚至可以重新布置一些在不同系统上的典型程序(例如 web服务器)到同一个系统的不同区域中，然后使用DTrace去分析它们的交互作用。
● 可管理性: 你可以作为一个集合管理一个系统上的所有区域，而不是作为单独的服务器。这包括添加软件包和打补丁每系统一次，而不是每区域一次。
● Sun动态系统域(Sun Dynamic System Domains )

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

容器和VMware类似吗？
答: 它们仅含糊地相似。两种技术对于合并服务器非常有用。然而，基本模型是不同的：容器形成隔离的应用程序环境但共享一个OS实例，然而VMware创建多个OS实例。区别也包括:

● 容器仅在Solaris 10 和　SX Nevada中可用。 VMware同时支持Solaris, Microsoft Windows 和Linux客户端。
● VMware使用大量的CPU能力来管理多种环境。对于少数区域甚至更多区域，容器的CPU耗费几乎可忽略不计(一般 <1%)，有点儿依赖应用程序。
● 容器不需要任何财务成本除了Solaris协议或者技术支持费用。VMware生产环境成本为数千美元，对于驻留在VMware之上的每一个Windows或者RH实例都需要一个协议。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

容器和HP的vPars或者nPars类似吗？
答: 容器和二者都不相似，除了使用目的：服务器合并。然而, 区别包括:

● HP nPars 和Sun的 Dynamic System Domains是相似的，二者提供完整的数据、应用软件和程序隔离。有关Domains和nPars的完整对比超出了本文的范围。
● vPars是HP的软件分区技术。vPars和Containers每一个都能够让多个应用共存在一组硬件资源上提供一定程度的隔离。
● 每一个vPar有它自己的一个操作系统实例，必须分别管理。每一个容易是一个虚拟的Solaris实例，但是它仅仅有一个Solaris拷贝需要维护。
● 容器仅在Solaris 10中可用。 vPars仅支持HP-UX (versions ??)。
● 所有的vPars共享相同的root password. 某人获得了一个vPar的root 存取，就能对任何vPar做任何事。相反，每一个Solaris容器有它自己的命名空间，包括自己的root帐号。某人获取了一个容区的root存取权，只能损坏那个容器（除非特权被移出）但是不能算坏其它的容器。然而，注意，如果一个vPar或者容器被简单地配置，潜在的内部分割区域的算坏会增加。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

容器和IBM Micro-Partitions相似吗？
答: 它们仅是含糊地相似。二者的技术对于合并服务器非常有用。但是不同包括：

● 容器仅为Solaris 10可用。 MicroPars仅支持AIX 5.3、RH。
● 每一个MicroPartition需要一个单独的协议来运行一个操作系统。这有一个和每一个AIX协议相关联的费用。
● 容器几乎没有开销，例如，运行10应用程序在10个区域中与10个应用程序运行在没有区域的系统中的效率仅仅稍差一点点而已差距一般是<1%. MicroPartitions效率差有很高的开销。依照IBM文档，10个MicroPartitions能够有35%的计算开销，除了应用程序的工作负载之外。
● 容器和MicroPartitions都能够共享资源，但是实现不同。MicroPars如果想共享一个I/O连接器，必须使用一个LPAR专门用于多路I/O。这个LPAR会有与之相关的附加成本：一个或者多个Power处理器、另一个AIX协议等等。 [2005年7月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

容器和Linux vServers相似吗？
答: 实现Solaris 10 容器功能集合的基本模型和Linux vServers相当相似。但是，实现是不同的。(More coming soon!) [2005年8月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我创建了一个区域并启动，但是它不工作，我该怎么做？
答: 最普遍的问题是区域还没有它自己的系统标示信息。你能确定是否是这样的一个问题，通过在全局区域中运行"ps -fz"。如果输出仅仅显示zsched、init和与SMF相关的 3-6个进程(/lib/svc/..., /usr/sbin/svccfg)，那么系统标示是不完整的。为了完成这个，通过在全局区域中运行 "zlogin -C "连接到区域的控制台，一旦按下，跟随指令操作。 [2006年3月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我给区域中的一个用户添加了一些特权，但是现在用户无法登录，我该怎么做？
答: 这是一个BUG导致的，已经在Solaris Express 4/06得到修正。同样在Solaris 10 11/06会被修正。

关于特权和区域的更新信息已经被添加到系统管理指南： Solaris 容器--资源管理和 Solaris区域。一个Solaris特权列表和关于区域每一个特权的状态参看 documentation 。改变区域中的特权，在zonecfg中使用limitpriv属性。[2006年9月]

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

我尝试升级到Solaris 10 11/06，它告诉我升级失败，我需要重备份中恢复它，现在怎么做？
答: 虽然这个信息声明系统必须从备份中恢复，实际上系统能正常运行，它能够被升级成功。更多信息参看"How do I upgrade a system with zones installed? Does Live Upgrade work?" 和一个变通方法你能用来升级你的系统。

骑士 注册时间: 14/11/2007 09:28:21 文章: 149 离线

这里翻译成 "工作区" 不是很适合，应该是如下几个意思。
变通方法，迂回办法，替代方案，应对措施

本站有关Solaris容器和区域的其它文章
Solaris 10 8/07 的系统管理指南： Solaris Containers －资源管理和Solaris Zones

Solaris快递社区版建构号56 - 增强的资源管理和区域集成

Solaris 区域的新特性

Solaris 区域（容器）相关命令

Solaris 区域身份、CPU 可见性和打包

Solaris 区域联网的两种类型

Solaris标记区域(Branded Zone, BrandZ)

Solaris 区域安装示例

Solaris 区域管理相关命令

Solaris Zones 分区技术

Solaris Zones 入门

在安装有区域 (Zone) 的系统上执行备份、恢复和灾难恢复

注册时间: 08/12/2007 13:44:00 文章: 4 离线

终于明白了Solaris区域和容器的大致样子。

注册时间: 10/12/2007 23:16:25 文章: 6 离线

Solaris 容器技术确实不错，使用一个内核实现多个虚拟服务器，易于管理，特别是效率高！配置了好几天终于了解了容器的大致用法。我在Vmware上安装了Windows 2003、Solaris 10、Ubuntu Server 7.1，一台机器想学那个就学那个。

注册时间: 12/12/2007 11:20:27 文章: 5 离线

《狂顶》

注册时间: 16/12/2007 12:15:06 文章: 5 离线

Solaris真是顶级的操作系统啊，还免费，支了。娃哈哈哈。