"Solaris 区域和容器的相关问题" 主题的最后发表文章

Solaris 区域和容器的相关问题

solaris — GMT

[size=24][b]Solaris 区域和容器的相关问题[/b][/size]

[size=15][b]原文地址： http://www.opensolaris.org/os/community/zones/faq/ [/b][/size]

Solaris10 - 什么是区域？

solaris — GMT

[size=18][b]什么是区域？[/b][/size]
答: 一个区域是一个虚拟操作系统抽象，它提供了一个应用程序运行的受保护环境。应用程序彼此受到保护，提供软件错误隔离。这使管理多个应用程序和它们的环境变得容易，他们统一存在一个操作系统实例中，一般作为一个实体来管理。

Solaris10 - 什么是容器？

solaris — GMT

[size=18][b]什么是容器？[/b][/size]
答:一个使用操作系统资源管理功能的区域就叫做容器。多数人不加区分地使用这两个单词"区域"和"容器"。

Solaris10 - 有几种类型的区域可用？

solaris — GMT

[size=18][b]有几种类型的区域可用？[/b][/size]
答: 有下列类型的非全局区域可用：
● 本地区域:
默认的非全局区域是一个本地区域。它和Solaris 10操作系统或者其后续版本具有同样的特性，运行在全局域中。如果你使用Solaris信任扩展配置了你的系统，没一个非全局域和一个安全级别或者标记关联。从Solaris 10 11/06版本开始可以配置标记区域，更多信息参看 [url=http://docs.sun.com/doc/819-0867/]Solaris信任扩展的安装和配置[/url]。

● 标记区域(Branded Zones):
在一个非全局区域运行一个不同的操作环境也是可能的。标记区域(BrandZ) 框架扩展了Solaris区域的基础，包括印记的生成或者说运行时行为集合。"Brand"能够涉及广泛的操作环境。当前有两种印记区域：
○ lx 标记区域在SX DE 和 Solaris 10 8/07 发行版中引入，为你的程序在x86和X64机器上运行程序提供了一个Linux环境。更多信息, 访问开源Solaris社区: [url=http://www.opensolaris.org/os/community/brandz/]BrandZ[/url]和[url=http://docs.sun.com/app/docs/doc/819-6955/6n8ue048m?a=view]Solaris 10系统管理员指南的容器和资源管理中的标记区域[/url]。
○ solaris8印记区域能够让你迁移Solaris 8系统到一个正在运行Solaris 10 8/07操作系统或者S10后续版本主机的Solaris 8容器中。 solaris8区域是一个环境用来运行SPARC机器上的Solaris 8应用程序。这个区域在 2007年10月22日发布的Solaris8迁移助手中引入。更多信息参看系统管理员向导: [url=http://docs.sun.com/doc/820-2914/]Solaris 8 Branded Zones in the Solaris 8 Migration Assistant 1.0 Collection[/url]. 下载90天的评估版, 请到[url=http://www.sun.com/download/products.xml?id=470c4a45]下载中心[/url].

Solaris10 - 什么是全局区域？稀疏根区域？完全根区域？本地区域？

solaris — GMT

[size=18][b]什么是全局区域？稀疏根区域？完全根区域？本地区域？[/b][/size]
答: 在一个系统安装Solaris10之后，但是在你生成其它任何区域之前，所有的进程都运行在“全局区域“中。在你创建一个区域后，它拥有的进程被关联到这个区域上而不是其它的区域。任何“非全局区域中“进程生成的进程也关联在这个“非全局区域“中。
任何域只要不是全局域就称为“非全局区域”。一些人也把“非全局区域“简单地称为“域“。也有人称为“本地域”，但是这个不是很明确。

默认的域文件系统模型是"稀疏根" 。这个模型注重效率以牺牲一些配置的灵活性为代价。稀疏根区域通过共享一些目录来优化物理内存和磁盘空间的使用，例如/etc 和 /var。全局根区域增加了配置的灵活性但是赠加了资源的使用。它们不使用 /usr、/lib和其它的共享目录。

Solaris10 - 我怎样获得区域者容器？

solaris — GMT

[size=18][b]我怎样获得区域者容器？[/b][/size]
答: 基于OpenSolaris代码基础的操作系统可以选择包含域的支持。Sun提供的Solaris 10和Solaris Express包含了完整的区域支持。

Solaris10 - 使用域需要什么样的硬件？

solaris — GMT

[size=18][b]使用域需要什么样的硬件？[/b][/size]
答: 域和资源管理都是OpenSolaris软件的功能，还有其它扩展，Solaris和其它基于OpenSolaris的操作系统。因为是软件功能，它不依赖于任何特殊的平台。任何运行OpenSolaris或者它的发行版之一的硬件，例如Solaris10就具有这些功能。

Solaris10 - 我的软件能运行在一个区域或者容器中吗？

solaris — GMT

[size=18][b]我的软件能运行在一个区域或者容器中吗？[/b][/size]
答：　　大部分Solaris软件可以不经修改地运行在域中、不需要重新编译。非特权软件 (不需要以root或者特殊的特权运行的程序)一般可以不经修改地运行在域中一旦他们被安装成功。安装软件必须假定它没有往共享只读的文件系统有写操作，例如/usr。这个问题可以避开通过添加一个可写的文件系统到域中(例如在/usr/local)或者使用一个完全根区域。
　　然而，一些少数的程序需要非默认的特权去运行 - 在域中这个特权一般不可用，例如设置系统时钟。对于这种情况，"可配置的特权"功能已经被加入了。这个功能允许全局域管理员－在一个系统上管理域的人－去分派附加的非默认特权到一个域中。域的管理员可以允许不同的用户去使用这些非默认的特权。
　　一个应用程序需要的特权，如果不能添加到域中，那么在域中正常运行可能需要做些修改。

这有一些指导原则:

　　● 一个应用程序存取网络和文件，不执行其它的I/O操作，能够正确地运行。
　　● 应用程序需要直接存取某一设备，例如磁盘分区，一般能正常工作，如果正确地进行了域配置。然而，这些情形可能增加安全风险。
　　● 应用程序需要直接存取如下的设备，必须修改才能正确工作：
　　　○ /dev/kmem
　　　○ 一个网络设备
　　　　1. 从OpenSolaris build 37 和 Solaris 10 8/07开始,一个域可以配置成一个"独占IP"的域，这个域独占分配给它的IP。在这样的域中的应用程序能够和域可用的NIC(s)直接通讯。
　　　　2. 运行在共享IP域里的应用程序需要替换为使用这些IP服务中的一个。

更多信息参看白皮书"[url=http://developers.sun.com/solaris/articles/application_in_zone.html]Bringing Your Application Into the Zone[/url]".注意，这个白皮书发行后，区域使用的特权、IP类型等其它内容已经发生了改变。最新消息也可以参看[url=http://docs.sun.com/app/docs/doc/819-2450]管理员指南[/url]。

Solaris10 - 我如何检验我的程序能否在容器中使用？

solaris — GMT

[size=18][b]我如何检验我的程序能否在容器中使用？[/b][/size]
参看文档 [url=http://developers.sun.com/solaris/articles/zone_app_qualif.html]Qualification Best Practices for Application Support in Non-Global Zones[/url]。

Solaris10 - 那些程序被鉴定可以运行在区域或者容器中？

solaris — GMT

[size=18][b]那些程序被鉴定可以运行在区域或者容器中？[/b][/size]
答: 通过ISV来评估一个应用程序运行在容器中的可支持能力。一些软件供应商仅仅把区域作为Solaris的另一个功能集合，没有觉得需要特别确保他们的软件能在域中使用。有些已经明确保证他们的软件可以使用区域。已经报告的官方支持的应用程序包含在下表中。更多信息请看 "[url=http://www.opensolaris.org/os/community/zones/faq/#app]Application-specific Information[/url]"

　　● [url=http://e-docs.bea.com/platform/suppconfigs/configs81/solaris10_sparc/81sp4.html]BEA WebLogic Server 8.1 SP4[/url]
　　● [url=http://www.veritas.com/news/press/PressReleaseDetail.jhtml?NewsId=64154]Veritas Storage Foundation 4.1[/url] - for Solaris 10, requires the newest versions of patches 119255, 118344, and 118844 for x86/x64, or the SPARC equivalents of those patches
　　● [url=http://www.oracle.com/corporate/pricing/partitioning.pdf]Oracle's pricing policy regarding containers[/url]
　　● [url=http://seer.support.veritas.com/docs/275107.htm]Veritas NetBackup 5.0 (MP4) and 5.1 (MP2)[/url]
　　● [url=http://www.sun.com/software/gridware]Sun N1 Grid Engine 6 (Update 4)[/url]
　　● CA Ingres
　　● IBM DB2 8.2
　　● IBM Websphere
　　● Oracle TimesTen
　　● Oracle Ebusiness Suite 11
　　● SAP R/3
　　● Veritas VCS - see " [url=http://www.computerworld.com/action/whitepapers.do?command=viewWhitePaperDetail&contentId=9005992&intsrc=wp_li_spons]Implementing Solaris™ Zones with Veritas™ Cluster Server by Symantec[/url]"

Solaris10 - 一个区域有多“大”？

solaris — GMT

[size=18][b]一个区域有多“大”？[/b][/size]
答: 如果使用默认的配置参数，一个区域大约需要85MB的磁盘空间，当全局区域安装了"所有"Solaris元簇(metacluster)软件包。全局区域安装的附加软件包在非全局区域中需要额外的空间。SVM软件分区可以用来划分磁盘片和强行限制每个区域的磁盘空间。当执行容量规划的时候，每个区域建议附加额外的40MB内存容量。应用程序不会使用任何“额外的”内存，因为他们在域中运行。
一个使用“完全根模型”的区域将会占用和初始Solaris 10安装一样多的磁盘空间，大多数情况下这将多于500MB。

Solaris10 - 一个Solaris下可以使用多少个容器？

solaris — GMT

[size=18][b]一个Solaris下可以使用多少个容器？[/b][/size]
答: 虽然理论上的限制是8000，但是实际的限制依赖于：

● 应用程序使用的硬件资源的数量和系统中实际可用的资源数量。这包括CPU的数量和处理能力，内存大小，网卡数量(NICs)，主机总线适配器数量(HBAs)等等。
● 实际使用的区域数量. 例如,你能创建100个区域, 每个准备用来提供一个web服务,但是这个月你仅仅启动你需要的10个. 没启动的区域仅仅占用磁盘空间，不会使用CPU、内存、I/O等资源。

考虑这些例子工作情况:

● 40个区域, 每一个运行5个Apache web服务的副本, 在一个E250上，使用两个300MHz CPUs, 512MB 内存, 和3个硬盘驱动器总共40GB. 所有区域都运行，一个到每个区域的多个同时的HTTP请求的负载。这些区域的开销非常小可以忽略不计 (<5%)。

Solaris10 - 我可以每个区域使用不同的Solaris版本吗？

solaris — GMT

[size=18][b]我可以每个区域使用不同的Solaris版本吗？[/b][/size]
答: 不行. 所有这些区域使用一个基础内核。内核的版本决定了域中每个容器的版本。

Solaris10 - 什么类型的配置更改需要非全局域重启？

solaris — GMT

[size=18][b]什么类型的配置更改需要非全局域重启？[/b][/size]
答：
● 添加设备到非全局域中.
● 绑定域到一个池.

Solaris10 - 什么样的重新配置需要一个完全的系统重启？

solaris — GMT

[size=18][b]什么样的重新配置需要一个完全的系统重启？[/b][/size]
答:我们不是很清楚.

Solaris10 - 容器可以集群吗？

solaris — GMT

[size=18][b]容器(container)可以集群吗？[/b][/size]
答: 可以,但是不能没有附加的群集管理软件。在写这个的时候，Sun正在开发扩展她的Sun Cluster软件, 因此Resource Groups可以放置在非全局域中。也宣布在Veritas Cluster产品里支持区域。

Solaris10 - 我可以在容器之间使用SysV共享内存吗？

solaris — GMT

[size=18][b]我可以在容器之间使用SysV共享内存吗？[/b][/size]
答: 不行. 这会侵犯一些安全原则.

Solaris10 - 一个区域能包括多个区域吗(容器模型继承)？

solaris — GMT

[size=18][b]一个区域能包括多个区域吗(容器模型继承)？[/b][/size]
答: 不行, 模型是严格的两层: 一个全局区域和多个非全局区域. 只有全局区域可以生成非全局区域，每一个非全局区域必须包含在全局区域中。

Solaris10 - 我能自动化输入系统信息的过程自动化吗，例如sysidcfg？

solaris — GMT

[size=18][b]我能自动化输入系统信息的过程自动化吗，例如sysidcfg？[/b][/size]
A: 是的，一个域安装之后，在第一次启动域之前拷贝 sysidcfg(4) 文件到域的 /etc/sysidcfg。此外, 执行命令：

[color=darkred][b]touch .NFS4inst_state.domain[/b][/color]

Solaris10 - 一些区域可以使用不同的时区吗？

solaris — GMT

[size=18][b]一些区域可以使用不同的时区吗？[/b][/size]
答: 可以. 每一个非全局区域有它自己的/etc/default/init拷贝, 你可以修改以"TZ="开始的行. 时区的可辨认的名字在/usr/share/lib/zoneinfo文件中. 例如, 美国的东方标准时间在/usr/share/lib/zoneinfo/US/Eastern文件中定义. 去设置一个非全局区域的时区到这个时区上, /etc/default/init 文件中的行看起来像这样:

[color=darkblue][b]TZ=US/Eastern[/b][/color]

Solaris10 - 我能够使用我登录进去的区域的名字作为我的终端窗口的标签吗？

solaris — GMT

我能够使用我登录进去的区域的名字作为我的终端窗口的标签吗？
答: 可以. 登录到域之后，输入类似如下的命令:

[b][color=red]zone%[/color] [color=darkblue]/bin/echo "\033]0;Zone `/bin/zonename`\007\c"[/color][/b]

Solaris 10 - 我能添加一个文件系统到已经存在的区域中吗？

solaris — GMT

[size=18][b]我能添加一个文件系统到已经存在的区域中吗？[/b][/size]
答: 有四种方法. 下面的列表使用UFS做例子, 但是其它类型的文件系统, 例如 HSFS 和 VxFS, 可以用作 zoncfg "fs" 资源类型属性或者使用mount(1M)挂载.

1. 在全局区域中创建和挂载文件系统，使用 LOFS 在非全局区域中挂载它 (非常安全)
2. 在全局区域中创建文件系统，使用zonecfg挂载文件系统到区域中作为一个UFS文件系统 (非常安全)
3. 输出与磁盘分区关联的设备到非全局区域中, 在非全局区域中创建文件系统并挂载它. 安全事项: 如果一个 _block_ device 已经在区域中存在,一个恶意的用户可以在这个设备上创建一个有漏洞百出的文件系统影像. 这可能导致系统混乱. 对于裸设备问题不是很严重. 磁盘设备仅仅应该放在相对信任的基础结构的区域中.
4. 直接挂载一个UFS文件系统到非全局区域的目录结构中(允许动态的修改挂载而不需要重新启动非全局区域)

参考[url=http://docs.sun.com/app/docs/doc/817-1592/]管理员指南[/url]的说明来使用这些方法.

Solaris 10 - 我如何在稀疏根区域中使用一个可写的 /usr/local目录？

solaris — GMT

[size=18][b]我如何在稀疏根区域中使用一个可写的 /usr/local目录？[/b][/size]
答: 使用楼上的方法之一，例如:

[color=darkblue][b]global# mkdir -p /path/to/some/storage/local/twilight
global# zonecfg -z twilight
zonecfg:twilight> add fs
zonecfg:twilight:fs> set dir=/usr/local
zonecfg:twilight:fs> set special=/path/to/some/storage/local/twilight
zonecfg:twilight:fs> set type=lofs
zonecfg:twilight:fs> end
zonecfg:twilight> commit
zonecfg:twilight> exit
global# [/b][/color]

Solaris 10 - 我能指派一个SVM meta-device 或者一个Veritas LUN到非全局域吗？

solaris — GMT

[size=18][b]我能指派一个SVM meta-device 或者一个Veritas LUN到非全局域吗？[/b][/size]
答: 用Solaris 10 1/06, 你能直接指派一个SVM meta-device到非全局域, 使用相同的方法你可以指派更多的其它设备.

Symantec还没有支持指派Veritas LUN到非全局域.

Solaris 10 - 我能否和怎样输入一个裸设备到非全局区域？

solaris — GMT

[size=18][b]我能否和怎样输入一个裸设备到非全局区域？[/b][/size]
答: Solaris区域功能集合提供了全局区域管理员允许非全局区域存取一个裸设备的能力。有很多情况下这是一个解决问题的最好方法。甚至这样的情况就是需要这样用。

首先，无论如何，重要地强调通常有其它的情况不需要直接设备存取。让我们首先讨论一下这个问题。

一个常见问题是 "[url=http://www.opensolaris.org/os/community/zones/faq/#cfg_io_svmbug]我能输入VxVM设备到域中吗？[/url]" 因为在这个时候这是不可能的，我们寻找其它的解决方案。如果目标是让文件系统在区域中可用，那解决方案是显而易见的：在全局域创建文件系统，使用LOFS让文件系统在区域中可用。另一方面，如果目标是制作一个镜像块设备在区域中可用，必须寻找另一个解决方案。

在任何情况下，如果需要在区域中直接存取设备，你必须进行仔细的错误分析和"灾难的应用程序失败"这种可能结果的评估。如果非全局区域打算使用COTS软件，被可信赖的人们管理，那么风险是很小的。幸运地，多数情况下也有其它的解决方案它不需要从一个区域直接存取设备。

这有两个极端的例子：

1. 生成一个区域用来培训学生使用基本的Unix命令。root账号仅能被全局区域管理员使用。系统被附加到一个没有连接任何其它网络的局域网上。教师需要存取音频设备。使用这样的存取有很少的风险　－　音频设备遭受失败是很难的，即使这样也不可能影响其它的区域。

区域通过zonecfg的子命令来设定存取：:
[code]
global# zonecfg -z zonename
zonecfg:zonename> add device
zonecfg:zonename:device> set match=/dev/sound/*
zonecfg:zonename:device> end
zonecfg:zonename> exit
[/code]
这里区域可以有权使用音频设备，但是无权使用其它设备。

2. 生成一个区域用来培训学生，一个数据库程序需要存取一个裸磁盘分区。教师知道如何使用UNIX，但是没有系统管理的背景。更进一步，教师需要使用root账号来帮助学生。它是可能的，教师犯错误，一个恶意的学生滥用裸磁盘存取，最后导致内核崩溃。这最终导致所有其它的非全局域停止，全局域也一样。如果其它的区域正在运行产品软件，这需要一个区域的裸磁盘存取不能被执行。需要寻找其它的解决方案，例如为教师创建一个RBAC角色，仅仅授权给教师的Unix账号必要的权限。

其它的例子必须通过它们的细节来判断，例如一个产品数据库需要裸存取. 要考虑的因素包括:

● 谁登录到区域？他们值得信赖吗？
● 对这个系统未经授权的存取使用防火墙保护了吗？
● 在这个域或者其它域运行的应用程序需要什么样的可用性级别？

Solaris 10 - 我能在容器之间共享I/O资源(例如NIC,HBA)吗？

solaris — GMT

[size=18][b]我能在容器之间共享I/O资源(例如NIC,HBA)吗？[/b][/size]
答: 是的, 实际上, 这是一个默认的模型. 每个容器被指派了自己的IP地址，但是通常多个容器共享一个NIC. 更进一步地,多个区域可以指派独立的文件系统存取通过一个.

Solaris 10 - 在一个计算机里的区域能够通过网络通讯吗？

solaris — GMT

[size=18][b]在一个计算机里的区域能够通过网络通讯吗？[/b][/size]
答: 共享IP和独占IP的区域，两者都可经由网路来通讯。共享IP区域的网络传输在同一个机器上他们自己之间进行传输，传输不会离开主机，反之，使用独占IP的区域网络传输会离开主机。

完全的IP级别功能在独占IP区域中可用。当前，独占IP区域在网络上彼此通讯 -- 没有到系统的本地通讯。通讯可以使用IP Filter进行限制，就像它们是分开的系统。

在一个计算机中共享IP区域使用IP网络，适用以下规则：

● 内部区域网络反映事件相当的小，带宽相当的高。
● Solaris IP Filter 可以在非全局区域启用通过打开回环过滤(loopback filtering)，在[url=http://docs.sun.com/app/docs/doc/816-4554/6maoq024k?l=en&a=view]系统管理指南：IP服务中有叙述[/url]。

它是可能的通过配置路有来完全地在特定区域之间阻塞传输。

IP类型的更多信息，看[url=http://docs.sun.com/app/docs/doc/819-2450]系统管理指南：Solaris容器－－资源管理和Solaris区域[/url]。

Solaris 10 - 我如何修改正在运行的区域的网络配置？

solaris — GMT

[size=18][b]我如何修改正在运行的区域的网络配置？[/b][/size]
答: ifconfig(1M)命令可以用来在全局区域中修改一个一个区域的现有的网络配置或者添加一个逻辑接口到一个区域中。这有一些例子，添加然后删除指派给一个区域的逻辑接口：

global# ifconfig bge0 addif 192.168.200.202 zone myzone
global# ifconfig bge0 removeif 192.168.200.202

Solaris 10 - 对于区域可以使用IP多路(IP Multipathing-IPMP)吗？

solaris — GMT

[size=18][b]对于区域可以使用IP多路(IP Multipathing-IPMP)吗？[/b][/size]
答: 是的.

独占IP的区域能够使用IPMP. 独占IP区域的IPMP的配置方法和没有使用区域的系统是一样。

对于共享IP区域，IPMP可以在全局区域里配置. 被IPMP保护的一个网络连接(例如hme0)的故障转移会为区域产生关联的逻辑接口(例如hme0:3)直到第二个连接(例如bge0)为止。
更多信息, 参看"Using IP Network Multipathing on a Solaris System With Zones Installed" 在[url=http://docs.sun.com/app/docs/doc/819-2450/zone?a=view]系统管理员指南: Solaris 容器-资源管理和 Solaris区域[/url]。

Solaris 10 - 我能在区域中使用IP Filter吗？

solaris — GMT

[size=18]我能在区域中使用IP Filter吗？[/size]
答: 在一个独占IP的区域中你有何全局区域相同的IP Filter功能。在独占IP的区域中IP Filter的配置和全局区域的相同。

对于共享IP的区域，Solaris 10中的IPFilter的功能可以用来过滤一个非全局域和网络上其它计算机之间的经过的传输。这个包括使用NAT功能的能力，也就是重定向全局域到非全局域的传输。

Solaris 10 - 我能阻止一个区域使用网络吗？

solaris — GMT

[size=18][b]我能阻止一个区域使用网络吗？[/b][/size]
答: 可以. 一个区域根本不需要网络接口也能运行。如果你生成区域的时候没有指定一个网络接口，它仍然能正确启动。如果一个区域已经指定了一个网络接口，你可以使用zonecfg(1M)移出这个接口，但是如果一个区域正在运行，你必须要么重启区域，要么在下一次重启区域之前使用ifconfig(1M)来移出接口。

也可能允许一个共享IP的区域访问网络，但是不能和同一个机器的其它区域通讯。一个方法是使用带有"-reject"参数的route(1M)命令设置一对线路。例如，如果一个区约有一个IP地址，第二个区域有一个地址，下面的命令会阻止这两个区域之间的网络传输。

[b][color=blue]global# route add -interface -reject
global# route add -interface -reject[/color]
[/b]

Solaris 10 - 区域支持VLAN吗?

solaris — GMT

[size=18][b]区域支持VLAN吗?[/b][/size]
答: 是的. 对于一个共享IP的区域，VLAN接口必须被连接到全局区域。在独占IP的非全局区域里LAN和VLAN分别是可用的。

Solaris 10 - 当我尝试挂在一个文件系统到一个非全局区域时，一个错误显示挂载点忙碌。为什么？

solaris — GMT

[size=18][b]当我尝试挂在一个文件系统到一个非全局区域时，一个错误显示挂载点忙碌。为什么？[/b][/size]
答: 所有到lofs挂载的文件系统里的实体的访问影射到它们的底层文件系统。因此使用lofs的挂载点在多个位置是可用的，它正在被其它位置使用 (像一个挂载点，一个当前工作的目录，等等)，在这个挂载点的一个挂载文件系统的尝试会失败除非覆盖标志(overlay flag)被指定。

Solaris 10 - 我能安全地在两个不同的区域挂载一个文件系统吗？

solaris — GMT

[size=18][b]我能安全地在两个不同的区域挂载一个文件系统吗？[/b][/size]
答: 在全局区域创建一个目录，使用lofs在每个非全局区域中重新挂载它。这将允许在两个区域中没有冲突地进行读和写操作。在某些情况下自动挂载器使用了同样的机制。

Solaris 10 - 我能够创建一个区域拥有自己的/usr或者根文件系统(一个"整个根文件系统")？

solaris — GMT

[size=18][b]我能够创建一个区域拥有自己的/usr或者根文件系统(一个"整个根文件系统")？[/b][/size]
答: 默认情况下，区域和全局区域共享/usr和少数其它几个目录。如果一个区域需要它自己独立的/usr拷贝，等等，你必须告诉zonecfg不要使用默认的配置。做这个，使用zonecfg(2)命令子命令"create"的"-b"选项。

如果你这样做，你必须指明每一个你想共享在新区域中的已经存在的文件系统。

Solaris 10 - 我如何在一个容器中配置一个默认路由？

solaris — GMT

[size=18][b]我如何在一个容器中配置一个默认路由？[/b][/size]
答: 对于一个共享IP配置: 所有路由，包括默认的路由，必须由全局区域的管理员来配置。虽然一个默认路由不能直接分配给一个容器，但是一个默认路由可以指派给每个子网。在一个子网上所有区域将会使用相同的默认路由。

对于一个独占IP的配置:域管理员能以在全局区域中同样的灵活性和选项在这些数据链接上配置IP。

Solaris 10 - 我能够限制一个区域（或者一些区域）到一个NIC（网络连接器）吗？

solaris — GMT

[size=18][b]我能够限制一个区域（或者一些区域）到一个NIC（网络连接器）吗？ [/b][/size]
答: 独占IP区域有各自的TCP/IP堆栈，因此分离延伸直到数据链接层。一个或者多个数据层名字，他们可能是一个NIC或者一个NIC上的VLAN，全局管理员可以指派给一个独占IP的区域。域管理员可以使用在全局区域中相同的选项设置在这些数据链接上配置IP。

Solaris 10 - 我能否限制一个区域（或者少数区域）到一个HBA（存储连接器）上？

solaris — GMT

[size=18][b]我能否限制一个区域（或者少数区域）到一个HBA（存储连接器）上？[/b][/size]
答：每个区域使用的空间至少在一个磁盘分区上-它的根目录和其它目录在上面。所有这些文件是Solaris的一部分。另外，每个区域可以访问一个或者多个文件系统或者一个或多个裸磁盘。通过仔细规划，你能够配置一个区域，它的所有文件和设备通过一个HBA访问，另一个区域的所有其它存储通过一个不同的HBA访问。

Solaris 10 - 一个非全局区域能否NFS-mount一个它自己的全局区域共享出来的一个文件系统吗？

solaris — GMT

[size=18][b]一个非全局区域能否NFS-mount一个它自己的全局区域共享出来的一个文件系统吗？[/b][/size]
答:不行. 这个可能在将来提出来。然而文件系统可以被LOFS-mount到本地区域，如果必要的话，全局区域能够通过NFS输出相同的文件系统，所以其它的计算机可以访问这些文件。

Solaris 10 - 一个区域的根目录可以在一个ZFS文件系统上吗？

solaris — GMT

[size=18][b]一个区域的根目录可以在一个ZFS文件系统上吗？[/b][/size]
答: 一个区域的根目录(也就是它的路径名) 能够在一个ZFS文件系统上，但是在你打算升级系统到一个将来的Solaris 10发行版的时候，不推荐这样做。这是因为Solaris 10的软件安装和升级仍然不能识别ZFS，所以不能升级这些区域。

这种情况留给你三种选择：

1. 不要放置区域到ZFS文件系统上
2. 在ZFS文件系统上放置区域，在升级Solarais 10到新版本前卸载它
3. 在ZFS文件系统上放置区域，当你使用一个新Solaris发行版时重新安装它

Sun正在改进安装软件来识别ZFS。这个发行版的日期还没确定，但是预期在2007年底或者2008年初。在那个时候，一个区域在ZFS文件系统上的系统将能够升级了。

Solaris 10 - 区域可以作为NFS服务器吗？

solaris — GMT

[size=18][b]区域可以作为NFS服务器吗？[/b][/size]
答: 全局区域可以作为NFS服务器。非全局区域不能作为NFS服务器。这个问题可能将来会得到解决。看 [url=http://bugs.opensolaris.org/bugdatabase/view_bug.do?bug_id=5102011]RFE 5102011[/url]。

Solaris 10 - 区域可以作为DHCP服务器吗？

solaris — GMT

[size=18][b]区域可以作为DHCP服务器吗？[/b][/size]
答: 全局区域可以作为DHCP服务器。非全局区域不能作为DHCP服务器。这个问题可能将来会得到解决

Solaris 10 - 区域可以作为DNS服务器吗？

solaris — GMT

[size=18][b]区域可以作为DNS服务器吗？[/b][/size]
答: 是的.

Solaris 10 - 区域可以作为NTP服务器吗？

solaris — GMT

[size=18][b]区域可以作为NTP服务器吗？[/b][/size]
答: 因为NTP服务器软件需要设置适中，非全局区域不允许这样做，所以区域不能作为NTP服务器。

Solaris 10 - 区域可以作为NIS、NIS+、LDAP服务器吗？

solaris — GMT

[size=18][b]区域可以作为NIS、NIS+、LDAP服务器吗？[/b][/size]
答：是的、是的，还是是的！哈哈。

Solaris 10 - 区域能够使用telnet、rlogin、rsh、ssh通过网络登录吗？

solaris — GMT

[size=18][b]区域能够使用telnet、rlogin、rsh、ssh通过网络登录吗？[/b][/size]
答：是的、是的，还是是的！哈哈。

Solaris 10 - 区域可以作为一个FTP服务器吗？

solaris — GMT

[b][size=18]区域可以作为一个FTP服务器吗？[/size][/b]
答: 区域可以作为FTP服务器，但是不可能使用ftpconfig把区域设置成一个匿名的服务器。这是因为ftpconfig尝试设置某些设备特别的文件，区域没有需要的特权。

Solaris 10 - 区域可以运行sendmail吗？

solaris — GMT

[size=18][b]区域可以运行sendmail吗？[/b][/size]
答：是的。

Solaris 10 - 区域中可以使用X windows吗？

solaris — GMT

[size=18][b]区域中可以使用X windows吗？[/b][/size]
答: 有几种不同的方法可在区域中使用X windows:

1. 在系统控制台：当登录屏幕出现时，你能选择 "远程主机" 并输入区域的主机名。 X windows登录屏幕将被远程X windows登录屏幕取代。
2. 在控制台，登录到全局区域：你可以告诉Ｘ来允许从非全局区域进行远程连接，使用telnet登录到那个区域，设置相应的环境变量来让Ｘ会话转到全局区域的X windows会话，例如"setenv DISPLAY my-global-zone"。
3. 在别的系统，你能直接登录到非全局区域，执行与以前方法相似的步骤。

Solaris 10 - 我能够防止一个容器消耗所有的CPU资源吗？

solaris — GMT

[size=18][b]我能够防止一个容器消耗所有的CPU资源吗？[/b][/size]
答: 使用容器的资源管理功能。这需要使用指派的CPUs、资源池和公平共享调度器功能和指派相关参数到每个容器。

相关资源:
[url=http://docs.sun.com/app/docs/doc/819-2450/z.config.ov-1]非全局区域配置[/url]
[url=http://docs.sun.com/app/docs/doc/819-2450/rmfss-1]公平共享调度器[/url]
[url=http://docs.sun.com/app/docs/doc/819-2450/rmpool-1]动态资源池[/url]

Solaris 10 - 什么是分配给一个容器的CPU的资源粒度？

solaris — GMT

[size=18][b]什么是分配给一个容器的CPU的资源粒度？[/b][/size]
答: 专用CPU(Dedicated cpu)和加盖的CPU(Capped CPU，[u]感觉像是受限制CPU的意思[/u]): CPU范围
资源池: 单个线程
公平共享调度器: 任意的(Arbitrary). CPU利用率限制通过"shares"指定被公平共享调度器执行。举个例子, CPU限制分配可能是1, 1000, 999,利用率限制的结果是 0.05%, 50%, 和 (实际上说) 50%.

Solaris 10 - 我能否限制一个应用程序的CPU使用率？

solaris — GMT

[size=18][b]我能否限制一个应用程序的CPU使用率？[/b][/size]
答: 在Solaris Express里，使用capped-cpu资源类型。在Solaris 10 8/07 或者Solaris Express里，你能够使用dedicated-cpu资源类型来生成一个临时池当区域正在运行的时候。看[url=http://docs.sun.com/app/docs/doc/819-2450/z.config.ov-1]非全局区域配置[/url]。
另一种方法，你可以创建一个处理器集(一个或多个CPU)，把它绑定到资源池上。然后创建一个区域，把它绑定到相同的资源池上。在那个区域上运行应用程序。应用程序会仅能"看到"那个处理器集。更多信息，看 [url=http://docs.sun.com/app/docs/doc/819-2450/rmpool-1]Resource Pools[/url] 和 [url=http://docs.sun.com/app/docs/doc/819-2450/rmpool.task-1]Resource Pools[/url]。

Solaris 10 - 我能否限制一个容器的内存使用率？

solaris — GMT

[size=18][b]我能否限制一个容器的内存使用率？[/b][/size]
答: 你可以在所有发行版中使用Resource Capping Daemon (rcapd)。对于Solaris 10 8/07, 你能够使用capped-memory资源来设置 physical、swap、locked memory限制。如果你打算从全局区域使用rcapd为这个区域限制内存，你要为这个资源限定值。capped-memory资源的物理属性被rcapd作为这个区域的max-rss值。

参考资料:
[url=http://docs.sun.com/app/docs/doc/819-2450/z.config.ov-1]Non-Global Zone Configuration[/url]
[url=http://docs.sun.com/app/docs/doc/819-2450/rm.rcapd.task-1]Administering the Resource Capping Daemon[/url]

Solaris 10 - 我能够动态地改变分配给一个容器的资源数量(CPU, memory, network bandwidth)吗？

solaris — GMT

[size=18][b]我能够动态地改变分配给一个容器的资源数量(CPU, memory, network bandwidth)吗？[/b][/size]
答: 改变关联在一个容器上的CPU shares数量而不需要重启，使用prctl命令，例如
[color=red][b]prctl -n zone.cpu-shares -r -v $SHARES `pgrep -z $ZONENAME init`[/b][/color]

这里 $SHARES 是新的share数量， $ZONENAME是区域的名字。

参考资源:
[url=http://docs.sun.com/app/docs/doc/819-2450/rmctrls-1]Resource Controls[/url]
[url=http://docs.sun.com/app/docs/doc/819-2450/z.admin.task-1]Using the prctl Command[/url]
[url=http://docs.sun.com/app/docs/doc/819-2450/rmfss-1]Fair Share Scheduler (Overview)[/url]
[url=http://docs.sun.com/app/docs/doc/819-2239/prctl-1?l=en&a=view&q=prctl]prctl(1) [/url]

Solaris 10 - 可以管理swap空间的使用率吗？

solaris — GMT

[size=18][b]可以管理swap空间的使用率吗？[/b][/size]
答: 整个交换分区被作为一个单个的全局资源来处理，运行在全局区域和非全局区域两者中。对于Solaris 10 GA，你不能限制一个区域的swap数量在每区域基础上。你能够全局地限制基于交换的文件系统（例如/tmp）的大小通过在容器的/etc/vfstab文件使用"size"挂载选项，例如"size=200m"。这个允许你减少在/tmp中很多或者大文件产生的影响。

从[color=red][b]Solaris 10 8/07[/b][/color]开始，你能够使用资源控制，zone.max-swap。(capped-memory资源的swap属性是设置这个控制的首选方法。)

Solaris 10 - 我能够限制一个区域的网络带宽吗？

solaris — GMT

[size=18][b]我能够限制一个区域的网络带宽吗？[/b][/size]
答: 可以，使用Solaris 10中的IPQoS功能。你必须从全局区域为容器管理这个功能。

Solaris 10 - 容器会耗尽大量CPU资源吗？

solaris — GMT

[size=18][b]容器会耗尽大量CPU资源吗？[/b][/size]
答: 对于少量区域甚至更多区域，容器的CPU开销是难以测量的(也就是 <1%)，依赖应用程序。

Solaris 10 - 正在运行的项目或者区域的share值可以改变吗？

solaris — GMT

[size=18][b]正在运行的项目或者区域的share值可以改变吗？[/b][/size]
答: 是的. 这有一个例子:

[color=darkblue][b]prctl -n project.cpu-shares -v 10 -r -i project group.staff[/b][/color]

prctl允许对一个活动的系统的进程、任务、项目上的资源控制的检查和修改，它允许存取指定实体上的基本和特权的限制。

-n 指明获取或者设置的资源名称
-r 指明一个替换操作
-v 为资源指定新值
-i 指明资源拥有的进程、任务和项目

Solaris 10 - 我能绑定一个区域到池上吗？

solaris — GMT

[size=18][b]我能绑定一个区域到池上吗？[/b][/size]
答: 是的. 首先创建池，然后使用zonecfg把区域绑定到上面。
1. 在你的系统上使用svcadm或者pooladm -e 启用资源池。
2. 使用 pooladm -s 创建池配置。
3. 使用 pooladm -c 提交配置，在 /etc/pooladm.conf。
4. 使用 poolcfg -c 修改配置。

[color=darkblue][b]poolcfg -c 'create pset pset_zone (uint pset.min = 3; uint pset.max = 3)'
poolcfg -c 'create pool pool_zone (string pool.scheduler="FSS")'
poolcfg -c 'associate pool pool_zone (pset pset_zone)'[/b][/color]

5. 使用 pooladm -c 提交配置，在 /etc/pooladm.conf。
[url=http://docs.sun.com/app/docs/doc/819-2450]参看管理员指南[/url]。

从全局区域执行命令绑定，就是:
zonecfg -z zone1 set pool=pool_zone

如果区域正在运行，你必须重启才能生效，除非你也动态地指派区域到池中，参看 "[url＝http://www.opensolaris.org/os/community/zones/faq/#rm_reassign_zone2pool]Can projects/zones be reassigned to a different resource pool while they are running?[/url]"

Solaris 10 - 项目／区域当他们正在运行的时候可以重新分配到不同的资源池吗？

solaris — GMT

[size=18][b]项目／区域当他们正在运行的时候可以重新分配到不同的资源池吗？[/b][/size]
答: 可以. 这有一个例子:

[b]poolbind -p web_app -i zoneid myzone[/b]

poolbind命令绑定区域、项目、任务、进程到一个池。

-p 池名称(is the name of the pool to bind)
-i 指明区域、项目、任务、进程的id(specifies the process id, zone id, task id or project id to be bound to the pool).

Solaris 10 - 当系统正在运行的时候我能够在处理器集合之间移动处理器吗？

solaris — GMT

[size=18][b]当系统正在运行的时候我能够在处理器集合之间移动处理器吗？[/b][/size]
答: 你能。这是你要用到的命令：

● 如果你不关心从一个处理器集合中移动的是那个CPU，命令是：
poolcfg -dc "transfer 2 from pset pset1 to pset2"

移动任意两个CPU从pset1到pset2
-d operate directly on the kernel state
-c this signifies the command

●如果你想移动指定的CPU，命令是这样：
poolcfg -dc "transfer to pset pset2 (CPU 0, CPU 1)"

移动CPUs 0和1到pset2

Solaris 10 - 我能够防止一个区域填满所有的交换空间 /tmp 吗？

solaris — GMT

[size=18][b]我能够防止一个区域填满所有的交换空间 /tmp 吗？[/b][/size]
答: 对于手动挂载，使用选项"-o size=sz"，sz是你想设置的限制尺寸。以'k'结尾意味着千字节，以'm'结尾意味着兆字节。例如: "-o size=500m". 这个选项也可以添加到 /etc/vfstab 文件中。详细信息, mount_tmpfs(1M) 和 vfstab(4)联机帮助。

对于Solaris 10 8/07, 你能使用资源控制, zone.max-swap. (capped-memory资源的swap属性是设置这个控制的首选方法。)

同样, 注意 [url=http://bugs.opensolaris.org/bugdatabase/view_bug.do?bug_id=1177209]RFE 1177209[/url]会给全局区域管理员控制一个区域使用的交换空间的能力。

Solaris 10 - 如何创建一个区域？

solaris — GMT

[size=18][b]如何创建一个区域？[/b][/size]
A: 首先收集一些信息，然后使用Solaris容器管理GUI或者下面所示的命令行。这是非常简单的拥有网络访问能力的区域。你可能需要这些信息（例子值在括号中）：

1. 选择区域名称 (my-zone)
2. 选择区域主机名(my-zone)
3. 确定放置区域的操作系统所有文件的在全局区域中的目录名称(/zones/zone_roots/my-zone)
4. 区域IP地址 (10.1.1.1)
5. 区域使用的网络设备的名字 (hme0)

在相应的命令中使用简单的信息，这可能大约花费１０分钟安装一个小的OpenSolaris或者Solaris 10系统：

[color=darkblue][b]global# zonecfg -z my-zone
zonecfg:my-zone> create
zonecfg:my-zone> set zonepath=/zones/zone_roots/my-zone
zonecfg:my-zone> add net
zonecfg:my-zone:net> set address=10.1.1.1
zonecfg:my-zone:net> set physical=hm0
zonecfg:my-zone:net> end
zonecfg:my-zone> commit
zonecfg:my-zone> exit
global# zoneadm -z my-zone install
global# zoneadm -z my-zone boot[/b][/color]

也看参看docs.sun.com的两个章节，[url=http://docs.sun.com/app/docs/doc/817-1592]区域的安装和卸载[/url]。

Solaris 10 - 如何删除区域？

solaris — GMT

[size=18][b]如何删除区域？[/b][/size]
答: 使用这些命令，用正确的名字替换文本。

[color=darkblue][b]global# zoneadm -z uninstall
global# zonecfg -z delete[/b][/color]

也看参看docs.sun.com的两个章节，[url=http://docs.sun.com/app/docs/doc/817-1592]区域的安装和卸载[/url]。

Solaris 10 - 如何给区域打补丁？

solaris — GMT

[size=18][b]如何给区域打补丁？[/b][/size]
答:　参看docs.sun.com上的[url=http://docs.sun.com/app/docs/doc/817-1592]Patching and Packaging[/url]章节。

Solaris 10 - 每一个容器可以有不同的补丁级别吗？这样我可以在应用补丁到产品容器之前，在一个测试容器中测试一下补丁。

solaris — GMT

[size=18][b]每一个容器可以有不同的补丁级别吗？这样我可以在应用补丁到产品容器之前，在一个测试容器中测试一下补丁。[/b][/size]
答: 这个问题的回答有两部分：
1) 因为系统上仅有一个内核运行，关于内核和核心系统组件所有区域必须在相同的补丁级别。这样的补丁仅能从全局区域安装，它影响全局域和所有本地域。KU的patch是这样的一个例子。
2) 中间件例如java企业级系统可以在每个区域分别打补丁。如果软件在本地区域能够安装，它就同样可以从本地区域进行补丁，不管区域是什么类型，完全根区域或者稀疏根区域。

Solaris 10 - 我能把区域从一个计算机移动到另一个计算机吗？

solaris — GMT

[size=18][b]我能把区域从一个计算机移动到另一个计算机吗？[/b][/size]
答:可以. 参看　[url=http://docs.sun.com/app/docs/doc/819-2450]迁移一个非全局区域到一个不同的机器[/url]。

Solaris 10 - 有办法关联多个容器的审计记录吗？

solaris — GMT

[size=18][b]有办法关联多个容器的审计记录吗？[/b][/size]
答: 是的, 全局区域能看到所有的审计记录。每个非全局区域进能看到它自己的审计记录。

Solaris 10 - 我能仅在全局区域中安装包吗(例如SRS netConnect)？

solaris — GMT

[size=18][b]我能仅在全局区域中安装包吗(例如SRS netConnect)？[/b][/size]
答: 是的, 使用 pgkadd -G。注意，如果SUNW_PKG_THISZONE设置为true, 你不必使用 -G 参数。参看　[url=http://docs.sun.com/app/docs/doc/819-2450]安装和补丁章节[/url]。

Solaris 10 - 我能够添加一个包到非全局区域而不添加到全局区域中吗？

solaris — GMT

[size=18][b]我能够添加一个包到非全局区域而不添加到全局区域中吗？[/b][/size]
答: 这要看创建包时使用的设置。参看docs.sun.com上的包[url=http://docs.sun.com/app/docs/doc/817-1592/pkginst.ov-1]安装章节[/url]。

Solaris 10 - 在一个区域中，什么命令不能工作或者行为不同了？

solaris — GMT

[size=18][b]在一个区域中，什么命令不能工作或者行为不同了？[/b][/size]
答: 大部分UNIX命令和程序能正常工作，不需要修改和重新编译。

然而,安全隔离边界的执行限制了一些系统调用和库的功能性。换句话说，一些Solaris命令当在一个区域中运行的时候行为不同了，或者根本不工作。

看章节6.1系统调用、6.2 库函数、6.3 命令、6.4 设备和特殊文件接口在 http://www.sun.com/bigadmin/features/articles/zones_partition.html#limitations 。

区域中特权状态的更多信息，看表26-1 [url=http://docs.sun.com/app/docs/doc/819-2450/z.admin.task-1]Status of Privileges in Zones[/url]

Solaris 10 - 系统启动时，区域可自动启动吗？还是必须分别手动启动每一个区域？

solaris — GMT

[size=18][b]系统启动时，区域可自动启动吗？还是必须分别手动启动每一个区域？[/b][/size]
答: 区域的 auotboot属性决定了系统启动时区域是否自动启动。全局区域管理员可以设置autoboot属性为"true"或者"false"。区域服务 svc:/system/zones:default 必须也被起用。

Solaris 10 - 在安装补丁前我要中断系统的区域吗？

solaris — GMT

[size=18][b]在安装补丁前我要中断系统的区域吗？[/b][/size]
答: 不需要做这个。实际上，包和补丁工具会执行它们的操作在所有正在运行的区域上，同样那些当前没有运行但是能够启动的区域(举例来说，他们至少在"installed"状态。正在运行的区域首先被操作，然后是每一个能够启动、当前没运行的区域，启动区域，执行操作，然后中断区域。

Solaris 10 - 区域的syslog输出到哪里了？

solaris — GMT

[size=18][b]区域的syslog输出到哪里了？[/b][/size]
答:默认情况下区域的syslog输出仅在区域的syslog文件里。如果你也想输出到全局区域的log文件里，配置非全局区域的loghost为全局区域。

Solaris 10 - 我从一个区域中移出了一个设备，但是它仍旧在。为什么，我如何去掉它？

solaris — GMT

[size=18][b]我从一个区域中移出了一个设备，但是它仍旧在。为什么，我如何去掉它？[/b][/size]
答: 这是一个 bug 4963368. 当前的 (2005年二月) 应对措施是:使用zonecfg一处设备后，手动移出{ZONEPATH}/dev中的相应实体。

如果你正在运行Solaris Express,在 builds 46或者更高版本这个bug得到修正。如果你正在运行Solaris 10，Solaris 10 8/07中这个bug得到修正。

Solaris 10 - 我如何升级一个安装了区域的系统？活动升级( Live Upgrade )能工作吗？

solaris — GMT

[size=18][b]我如何升级一个安装了区域的系统？活动升级( Live Upgrade )能工作吗？[/b][/size]
答: 如果你正在运行区域关于如何升级你的Solaris 10 系统到新的版本的信息在系统管理员指南：Solaris 容器--资源管理和Solaris区域, [url=http://docs.sun.com/app/docs/doc/817-1592]第27章升级一个已经安装了非全局区域的Solaris 10系统[/url].

安装了区域的Solaris Express系统从 SX 7/06开始进行有限的升级。仅能有限制的使用标准升级和受限的JumpStart 关键字。参看[url=http://docs.sun.com/app/docs/doc/820-0724/gdatc?l=en&q=Solaris+Express&a=view]安装文档[/url]。

安装了区域的Solaris Express系统从 SX 2/07开始进行完全的升级。标准升级没有限制、JumpStart没有限制、包括Solaris(tm) Live Upgrade。参看[url=http://docs.sun.com/app/docs/doc/820-0157/]安装文档[/url]。.

安装了区域的Solaris 10系统的完全升级从Solaris 10 8/07开始。你可以使用Solaris Live Upgrade，标准的Solaris交互式安装程序，或者定制的JumpStart安装程序来升级你的安装了区域的Solaris系统。参考安装文档。[url=http://docs.sun.com/app/docs/doc/820-0175]通过有限制的标准升级进行有限的升级和有限制的JumpStart关键字在Solaris 10 11/06中可用了[/url]。

Solaris Release Traditional Upgrade w/ Zones Live Upgrade w/ Zones
Solaris 10 3/05 N/A N/A
Solaris 10 1/06 Yes No
Solaris 10 6/06 Yes No
Solaris 10 11/06 Yes* No
Solaris 10 8/07 Yes* Yes
Solaris Express Yes Yes
★ 注意，仍然有两个限制关于Solaris 10的升级程序如果它有区域使用了ZFS或者LOFS。这两个问题的修正正在开发中，或者已经存在但是没能及时包含在Solaris 10 11/06发行版中。注意LOFS的问题在Solaris 10 8/07中已经被修正。

1. Solaris 10 6/06支持使用ZFS文件系统。安装区域到一个 ZFS fs是可能的，但是安装/升级程序仍然不能很好地识别ZFS来升级在'live'一个ZFS文件系统上的区域。因为这些，升级一个系统其安装了区域在ZFS文件系统上的仍然不能支持。

2. 如果所有的使用"lofs" fs 资源配置的非全局区域正在挂载存在于miniroot的目录，使用标准的升级可以从一个以前的Solaris 10发行版升级到Solaris 10 11/06发行版。例如，一个lofs挂载的/opt目录呈现出没有升级发布。

然而，如果任何一个你的非全局区域使用了非标准的lofs挂载进行配置，例如一个lofs挂载的/usr/local目录，将会显示下面的错误信息：

The zones upgrade failed and the system needs to be restored from backup. More details can be found in the file /var/sadm/install_data/upgrade_log on the upgrade root file system.

错误信息是不正确的: 虽然这个错误信息声明系统必须从备份恢复，系统实际上相当好，它可以被成功的升级，使用替代方案。

替代方案:

1. 重新启动安装了OS的系统。
2. 重新配置区域，移出类型定义为"lofs"的"fs"资源。
3. 移出这些资源后，升级系统到Solaris 10 11/06。
4. 升级之后，你可以重新配置你的区域来恢复你移出的附加的"fs"资源。

这个问题被跟踪作为CR 6454140: "Zones With an "fs" Resource Defined With a Type of "lofs" Cannot Be Upgraded to Solaris 10 11/06"，在Solaris 10 11/06发行版中也有描述。

Solaris 10 - 我能配置我的区域在一个ZFS文件系统上吗？

solaris — GMT

[b][size=18]我能配置我的区域在一个ZFS文件系统上吗？[/size][/b]
答:
Solaris 10 Update Release:
安装一个区域在ZFS文件系统上是可能。然而，在这个时候，我们不推荐非全局区域的zonepath放在ZFS上，因为升级系统到Solaris 10 update release之后的版本可能存在问题。在ZFS上支持zonepaths正在开发中。 [2006年9月]

Solaris Express Release:
你可以放置非全局区域的zonepath在ZFS上。然而，为相关的要点参看问题"[url=http://www.opensolaris.org/os/community/zones/faq/#sa_upgrade]How do I upgrade a system with zones installed? Does Live Upgrade work?[/url]"。[2006年9月]

Solaris 10 - 当安装一个非全局区域时，默认的网络服务配置是什么？

solaris — GMT

[size=18][b]当安装一个非全局区域时，默认的网络服务配置是什么？[/b][/size]
答: 在Solaris 10系统上，惯例的开放配置被安装了。On SX 系统，限制的网络配置被安装。

你能够切换区域到任一个网络配置通过使用网络服务(netservices)命令，或者使用SMF命令启用和禁用服务。 [2006年9月]

Solaris 10 - 我能够从一个区域访问另一个区域吗？

solaris — GMT

[size=18][b]我能够从一个区域访问另一个区域吗？[/b][/size]
答: 仅能通过ＩＰ连接，例如telnet，rlogin。

Solaris 10 - 我能够'su'从一个区域到另一个吗？

solaris — GMT

[size=18][b]我能够'su'从一个区域到另一个吗？[/b][/size]
答: 不能, 这将侵犯区域的安全实现。对于这种情况，把区域看作一个单独的计算机 - 你不能'su'从一个UNIX计算机到另一台计算机。

你可以使用zlogin(1)命令从全局区域登陆到非全局区域。你必须拥有使用zlogin的特权！

Solaris 10 - 我能够防止区域的root帐号影响其它的区域吗？

solaris — GMT

[size=18][b]我能够防止区域的root帐号影响其它的区域吗？[/b][/size]
答: 因为每一个容器有它自己的命名空间，每个容器有它自己的root帐号。每一个区域的root帐号以任何方式都不可能存取其它的容器。

Solaris 10 - 运行在一个区域的程序能够修改运行在另一个区域正在运行的程序的操作吗？

solaris — GMT

[size=18][b]运行在一个区域的程序能够修改运行在另一个区域正在运行的程序的操作吗？[/b][/size]
答: 已经做了大量的工作用来防止容器之间互相影响。默认情况下，一个本地区域影响另一个是很困难的，但是这也是可能。它也是很容易的，对于全局系统管理员没有安全地配置容器。考虑这些因素:

● 首先，有很多未知的方法，对于一个本地区域的一个用户"侵占"另一个区域 (全局或者非全局 )。

可以，一个现代的计算机有很多资源，一些是真实的，一些是虚拟的。拒绝式服务攻击经常尝试去使用一个虚拟资源的所有实例。一个在UNIX系统上早期的攻击时产生相当多的进程以至于所有的PIDs都被占用，阻止了新进程的创建。现在有方法防止这些攻击，这些方法自动地应用，或者已经被应用于区域。在某些情况下防止的手段包括Solaris功能的人工使用，举例来说 projects。

● 默认情况下，破坏区域的操作很难的。然而全局管理能够让一个非全局用户侵犯一个或者多个其它区域变得容易，甚至是全局区域。尝试避免直接分派磁盘设备到非全局区域：那个区域的root用户可能利用这个来导致一个SCSI总线重置或者甚至内核混乱。同样，避免分派同样的设备或者文件系统给多个区域，除非你有特别的目的。如果需要这样，确保在那样的两个区域中所有的软件使用了一个同步机制当使用设备或者文件系统的时候。

Solaris 10 - 运行在一个区域的程序能够修改运行在另一个区域正在运行的程序的操作吗？

solaris — GMT

Solaris 10 - 我如何防止一个'叉子炸弹(fork bomb)'影响所有的区域？

solaris — GMT

[size=18][b]我如何防止一个'叉子炸弹(fork bomb)'影响所有的区域？[/b][/size]
答: 一个 'fork bomb'是一个进程，它会生成尽可能多的子进程，尝试使用一个系统的所有虚拟内存或者PIDs，最终导致拒绝其它用户的使用。如果你想防止某人在非全局区域使用叉子炸弹，添加这个到区域的配置中，使用zonecfg(1M)：

[b]add rctl
set name=zone.max-lwps
add value (priv=privileged,limit=1000,action=deny)
end[/b]

这个会防止一个区域的进程同时地拥有多于1000个的LWPS。[December 2005年12月]

Solaris 10 - Oracle能够使用容器中的共享内存吗？

solaris — GMT

[size=18][b]Oracle能够使用容器中的共享内存吗？[/b][/size]
答: 因为我们一直在改进容器，对于这个问题有两个不同的回答。

1. Solaris 10 11/06 或者之后: 可以, Oracle能够在容器中使用ISM或者DISM。为了能够使用DISM，全局区域管理员必须添加特权"proc_lock_memory" 到容器中。做这个，使用 zonecfg(1M)添加行

[b]set limitpriv=default,proc_lock_memory[/b]

到容器的配置中。[2007年1月]

2. Solaris 10, Releases 3/05, 1/06, 6/06: 可以, 然而 Oracle仅能在区域中使用ISM (Intimate Shared Memory) 。不能在区域中使用DISM (Dynamic ISM)。这是区域彼此间安全边界实现的副作用。 [2006年6月]

Solaris 10 - 在有Oracle的Solaris容器中，我能够使用Solaris 10公平共享调度器吗？

solaris — GMT

[size=18][b]在有Oracle的Solaris容器中，我能够使用Solaris 10公平共享调度器吗？[/b][/size]
答: 当前(2006年6月)有两个截然不同的关切，关于在一个容器中使用FSS，当运行Oracle数据库的时候：

1. 测试中 - Oracle进程使用内部的方法把它们自己区分优先次序来提高效率。它是可能的，这些方法不工作，与Solaris FSS冲突。尽管有未知的问题对于non-RAC配置，Sun和Oracle正在测试这种类型的配置来发现任何消极的交互作用。这个测试可能不久完成。
2.在一个有Oracle RAC的容器中，使用Solaris FSS是不可能的。一个补丁正在测试来修正这个问题。

Solaris 10 - 区域对比其它服务器的虚拟化方案有什么优势？

solaris — GMT

[size=18][b]区域对比其它服务器的虚拟化方案有什么优势？[/b][/size]
答 : Solaris区域相对其它服务器虚拟化方案有很多优势，包括：

● 成本: 区域是操作系统的一个功能。使用它们不需要附加的开支。
● 集成: 区域被集成到操作系统中，提供了无缝的功能性和一个平稳的升级方式。
● 移植性: 区域没有绑定到任何一个硬件平台。作为一个OpenSolaris的设备不依赖的功能集合，在所有已被移植OpenSolaris的硬件平台上它的功能性完全相同的。
● 可观察性: 全局区域可以察看所有区域的活动，包括察看进程、网络活动、系统范围的计帐和审计，等等。这个让发现性能问题和解决区域之间的冲突是可能的，这两个是很困难的问题在大多数其它服务器虚拟化方案中。甚至可以重新布置一些在不同系统上的典型程序(例如 web服务器)到同一个系统的不同区域中，然后使用DTrace去分析它们的交互作用。
● 可管理性: 你可以作为一个集合管理一个系统上的所有区域，而不是作为单独的服务器。这包括添加软件包和打补丁每系统一次，而不是每区域一次。
● Sun动态系统域(Sun Dynamic System Domains )

Solaris 10 - 容器和VMware类似吗？

solaris — GMT

[size=18][b]容器和VMware类似吗？[/b][/size]
答: 它们仅含糊地相似。两种技术对于合并服务器非常有用。然而，基本模型是不同的：容器形成隔离的应用程序环境但共享一个OS实例，然而VMware创建多个OS实例。区别也包括:

● 容器仅在Solaris 10 和　SX Nevada中可用。 VMware同时支持Solaris, Microsoft Windows 和Linux客户端。
● VMware使用大量的CPU能力来管理多种环境。对于少数区域甚至更多区域，容器的CPU耗费几乎可忽略不计(一般 <1%)，有点儿依赖应用程序。
● 容器不需要任何财务成本除了Solaris协议或者技术支持费用。VMware生产环境成本为数千美元，对于驻留在VMware之上的每一个Windows或者RH实例都需要一个协议。

Solaris 10 - 容器和HP的vPars或者nPars类似吗？

solaris — GMT

[size=18][b]容器和HP的vPars或者nPars类似吗？[/b][/size]
答: 容器和二者都不相似，除了使用目的：服务器合并。然而, 区别包括:

● HP nPars 和Sun的 Dynamic System Domains是相似的，二者提供完整的数据、应用软件和程序隔离。有关Domains和nPars的完整对比超出了本文的范围。
● vPars是HP的软件分区技术。vPars和Containers每一个都能够让多个应用共存在一组硬件资源上提供一定程度的隔离。
● 每一个vPar有它自己的一个操作系统实例，必须分别管理。每一个容易是一个虚拟的Solaris实例，但是它仅仅有一个Solaris拷贝需要维护。
● 容器仅在Solaris 10中可用。 vPars仅支持HP-UX (versions ??)。
● 所有的vPars共享相同的root password. 某人获得了一个vPar的root 存取，就能对任何vPar做任何事。相反，每一个Solaris容器有它自己的命名空间，包括自己的root帐号。某人获取了一个容区的root存取权，只能损坏那个容器（除非特权被移出）但是不能算坏其它的容器。然而，注意，如果一个vPar或者容器被简单地配置，潜在的内部分割区域的算坏会增加。

Solaris 10 - 容器和IBM Micro-Partitions相似吗？

solaris — GMT

[size=18][b]容器和IBM Micro-Partitions相似吗？[/b][/size]
答: 它们仅是含糊地相似。二者的技术对于合并服务器非常有用。但是不同包括：

● 容器仅为Solaris 10可用。 MicroPars仅支持AIX 5.3、RH。
● 每一个MicroPartition需要一个单独的协议来运行一个操作系统。这有一个和每一个AIX协议相关联的费用。
● 容器几乎没有开销，例如，运行10应用程序在10个区域中与10个应用程序运行在没有区域的系统中的效率仅仅稍差一点点而已差距一般是<1%. MicroPartitions效率差有很高的开销。依照IBM文档，10个MicroPartitions能够有35%的计算开销，除了应用程序的工作负载之外。
● 容器和MicroPartitions都能够共享资源，但是实现不同。MicroPars如果想共享一个I/O连接器，必须使用一个LPAR专门用于多路I/O。这个LPAR会有与之相关的附加成本：一个或者多个Power处理器、另一个AIX协议等等。 [2005年7月]

Solaris 10 - 容器和Linux vServers相似吗？

solaris — GMT

[size=18][b]容器和Linux vServers相似吗？[/b][/size]
答: 实现Solaris 10 容器功能集合的基本模型和Linux vServers相当相似。但是，实现是不同的。(More coming soon!) [2005年8月]

Solaris 10 - 我创建了一个区域并启动，但是它不工作，我该怎么做？

solaris — GMT

[size=18][b]我创建了一个区域并启动，但是它不工作，我该怎么做？[/b][/size]
答: 最普遍的问题是区域还没有它自己的系统标示信息。你能确定是否是这样的一个问题，通过在全局区域中运行"ps -fz"。如果输出仅仅显示zsched、init和与SMF相关的 3-6个进程(/lib/svc/..., /usr/sbin/svccfg)，那么系统标示是不完整的。为了完成这个，通过在全局区域中运行 "zlogin -C "连接到区域的控制台，一旦按下，跟随指令操作。 [2006年3月]

Solaris 10 - 我给区域中的一个用户添加了一些特权，但是现在用户无法登录，我该怎么做？

solaris — GMT

[size=18][b]我给区域中的一个用户添加了一些特权，但是现在用户无法登录，我该怎么做？[/b][/size]
答: 这是一个BUG导致的，已经在Solaris Express 4/06得到修正。同样在Solaris 10 11/06会被修正。

关于特权和区域的更新信息已经被添加到系统管理指南： Solaris 容器--资源管理和 Solaris区域。一个Solaris特权列表和关于区域每一个特权的状态参看 [url=http://docs.sun.com/app/docs/doc/819-2450/z.admin.ov-1]documentation[/url] 。改变区域中的特权，在zonecfg中使用limitpriv属性。[2006年9月]

Solaris 10 - 我尝试升级到Solaris 10 11/06，它告诉我升级失败，我需要重备份中恢复它，现在怎么做？

solaris — GMT

[size=18][b]我尝试升级到Solaris 10 11/06，它告诉我升级失败，我需要重备份中恢复它，现在怎么做？[/b][/size]
答: 虽然这个信息声明系统必须从备份中恢复，实际上系统能正常运行，它能够被升级成功。更多信息参看"[url=http://www.opensolaris.org/os/community/zones/faq/#sa_upgrade]How do I upgrade a system with zones installed? Does Live Upgrade work[/url]?" 和一个变通方法你能用来升级你的系统。

Workaround的中文意思

solaris — GMT

这里翻译成 "工作区" 不是很适合，应该是如下几个意思。
[color=orange][b]变通方法，迂回办法，替代方案，应对措施[/b][/color]

本站有关Solaris容器和区域的其它文章

Admin — GMT

[size=18][b]本站有关Solaris容器和区域的其它文章[/b][/size]
[url=http://bbs.163jsp.com/posts/list/666.html][b]Solaris 10 8/07 的系统管理指南： Solaris Containers －资源管理和Solaris Zones[/b][/url]

[url=http://bbs.163jsp.com/posts/list/665.html][b]Solaris快递社区版建构号56 - 增强的资源管理和区域集成[/b][/url]

[url=http://bbs.163jsp.com/posts/list/663.html][b]Solaris 区域的新特性[/b][/url]

[url=http://bbs.163jsp.com/posts/list/656.html][b]Solaris 区域（容器）相关命令[/b][/url]

[url=http://bbs.163jsp.com/posts/list/649.html][b]Solaris 区域身份、CPU 可见性和打包[/b][/url]

[url=http://bbs.163jsp.com/posts/list/648.html][b]Solaris 区域联网的两种类型[/b][/url]

[url=http://bbs.163jsp.com/posts/list/647.html][b]Solaris标记区域(Branded Zone, BrandZ)[/b][/url]

[url=http://bbs.163jsp.com/posts/list/645.html ][b]Solaris 区域安装示例[/b][/url]

[url=http://bbs.163jsp.com/posts/list/644.html][b]Solaris 区域管理相关命令[/b][/url]

[url=http://bbs.163jsp.com/posts/list/39.html][b]Solaris Zones 分区技术[/b][/url]

[url=http://bbs.163jsp.com/posts/list/51.html][b]Solaris Zones 入门[/b][/url]

[url=http://bbs.163jsp.com/posts/list/52.html][b]在安装有区域 (Zone) 的系统上执行备份、恢复和灾难恢复[/b][/url]

Solaris 区域和容器的相关问题

bear — GMT

终于明白了Solaris区域和容器的大致样子。

Solaris 区域和容器的相关问题

gcc — GMT

Solaris 容器技术确实不错，使用一个内核实现多个虚拟服务器，易于管理，特别是效率高！配置了好几天终于了解了容器的大致用法。我在Vmware上安装了Windows 2003、Solaris 10、Ubuntu Server 7.1，一台机器想学那个就学那个。

Solaris 区域和容器的相关问题

car — GMT

[color=#FF0066][size=72][b]《狂顶》[/b][/size][/color]

Solaris 区域和容器的相关问题

tangmonk — GMT

Solaris真是顶级的操作系统啊，还免费，支了。娃哈哈哈。

回复:Solaris 区域和容器的相关问题

aixlover — GMT

Got it. Thanks.