Guide d`administration Logical Domains (LDoms) 1.0.2
Contents
1. Utilisation des gestionnaires de volume dans un environnement Logical Domains Les sujets suivants sont trait s dans cette section m Utilisation de disques virtuels sur des gestionnaires de volume la page 104 m Utilisation de gestionnaires de volume sur des disques virtuels la page 107 Utilisation de disques virtuels sur des gestionnaires de volume Tout syst me de fichiers ZFS Zettabyte File System ou gestionnaire de volume SVM Solaris Volume Manager ou VxVM Veritas Volume Manager peut tre export partir d un domaine de service vers un domaine h te en tant que disque virtuel Le volume export apparait comme un disque virtuel avec une seule tranche s0 dans le domaine h te Remarque Le reste de cette section utilise un volume SVM comme exemple Cependant les explications s appliquent galement aux volumes ZFS et VxVM Par exemple si un domaine de service exporte le volume SVM dev md dsk d0 vers domaini et si domain1 voit ce disque virtuel comme dev dsk c0d2 alors domain1 poss de uniquement un p riph rique s0 en l occurrence dev dsk c0d2s0 Le disque virtuel du domaine h te par exemple dev dsk c0d2s0 est directement mapp au volume associ par exemple dev md dsk d0 et les donn es stock es sur le disque virtuel partir du domaine h te sont directement stock es sur le volume associ sans m tadonn es suppl mentaires Ainsi les donn es stock es sur le di2. V Facultatif Proc dure d installation manuelle du logiciel Solaris Security Toolkit 4 2 Si vous souhaitez s curiser le syst me t l chargez et installez le package SUNWjass Les patchs n cessaires 122608 03 et 125672 01 sont inclus dans le package SUNWjass Reportez vous la section Proc dure de t l chargement de Logical Domains Manager Solaris Security Toolkit et Logical Domains MIB la page 22 pour obtenir des instructions sp cifiques sur le t l chargement de logiciel Reportez vous au chapitre 2 de ce document pour en savoir plus sur les consid rations relatives la s curit lors de l utilisation du logiciel Logical Domains Manager Vous pouvez obtenir des informations suppl mentaires dans la documentation sur Solaris Security Toolkit 4 2 disponible l adresse suivante http docs sun com 1 Utilisez la commande pkgadd 1M pour installer le package SUNWjass pkgadd d SUNWjass 2 Utilisez la commande pkginfo 1 pour v rifier que le package SUNWjass du logiciel Solaris Security Toolkit 4 2 est bien install pkginfo 1 SUNWjass grep VERSION VERSION 4 2 0 V Facultatif Proc dure de s curisation manuelle du domaine de contr le Effectuez la proc dure suivante uniquement si vous avez install le package Solaris Security Toolkit 4 2 34 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Remarque Lorsque vous s curisez le domain
3. un utilisateur ce dernier ne peut pas assumer ce r le en ex cutant la commande su role_name m me s il dispose du mot de passe correct V Proc dure de cr ation d un r le et d attribution un utilisateur 1 Cr ez un r le roleadd A solaris ldoms read ldm read 2 Attribuez un mot de passe ce r le passwd ldm read 3 Attribuez ce r le un utilisateur par exemple user_1 useradd R ldm_ read user_1 Chapitre 3 Installation et activation du logiciel 39 4 Attribuez un mot de passe l utilisateur user_1 passwd user_1 5 Attribuez l acc s au compte user_1 uniquement afin qu il devienne le compte 1dm_read su user_1 6 Entrez le mot de passe utilisateur si vous tes invit le faire 7 V rifiez l ID utilisateur et l acc s au r le 1dm_ read id uid nn user_ 1 gid nn lt group name gt roles ldm_read 8 Autorisez l utilisateur acc der aux sous commandes 1dm ayant des autorisations en lecture su ldm read 9 Entrez le mot de passe utilisateur si vous tes invit le faire 10 Entrez la commande id pour indiquer l utilisateur id uid nn ldm_ read gid nn lt group name gt 40 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 CHAPITRE 4 Configuration des services et des domaines logiques Ce chapitre d crit les proc dures requises pour configurer les services par d
4. 4 V rifiez que les services ont bien t cr s l aide de la sous commande list services Le contenu de votre message doit ressembler a celui ci primary s ldm list services primary VDS NAME VOLUME OPTIONS DEVICE primary vds0 VCC NAME PORT RANGE Chapitre 4 Configuration des services et des domaines logiques 43 primary vcc0 5000 5100 VSW NAME MAC NET DEV DEVICE MODE primary vsw0 02 04 4f fb 9f 0d e1000g0 switched prog promisc Configuration initiale du domaine de contr le l origine toutes les ressources syst me sont affect es au domaine de contr le Pour pouvoir cr er d autres domaines logiques vous devez lib rer certaines de ces ressources Remarque Les messages signalant que LDoms Manager s ex cute en mode de configuration dans les exemples suivants s appliquent uniquement aux processeurs Sun UltraSPARC T1 Vv Proc dure de configuration du domaine de contr le Remarque Cette proc dure contient des exemples de ressources configurer pour votre domaine de contr le Il s agit uniquement d exemples et les valeurs indiqu es ne sont pas forc ment appropri es votre domaine de contr le 1 Affectez des ressources cryptographiques au domaine de contr le Remarque Si le domaine de contr le contient des p riph riques cryptographiques vous ne pouvez pas reconfigurer dynamiquement les CPU S il ne contient pas de p riph riques cryp
5. CPU CWQ D DHCP DMP DO Domaine de contr le Domaine d E S Domaine de service Domaine h te Domaine logique 112 Command Line Interface interface de ligne de commande Multithreading de puce Fonction permettant de d terminer si une configuration d un syst me est conforme un profil de s curit pr d fini Nom de la configuration de domaine logique enregistr e sur le contr leur syst me Dans le logiciel Logical Domains Manager les contraintes repr sentent une ou plusieurs ressources affecter un domaine sp cifique En fonction de la disponibilit des ressources vous recevez toutes celles que vous souhaitez ajouter un domaine ou vous n en recevez aucune Central Processing Unit unit de calcul centrale Control Word Queue unit cryptographique pour plates formes Sun UltraSPARC T2 Abr viation de Dynamic Host Configuration Protocol Dynamic Multipathing Veritas multiacheminement dynamique Description de l ordinateur dans la base de donn es des serveurs Domaine qui cr e et g re d autres domaines logiques et d autres services Domaine d tenant et ayant un acc s direct aux p riph riques d E S physiques et partageant ces p riph riques avec les autres domaines logiques sous forme de p riph riques virtuels Domaine logique fournissant des services de p riph rique tels que des commutateurs virtuels des connecteurs de consoles virtuelles et des serveurs de disques vi
6. Utilisation des gestionnaires de volume dans un environnement Logical Domains 104 Utilisation de disques virtuels sur des gestionnaires de volume 104 Utilisation de disques virtuels sur SVM 105 Utilisation de disques virtuels lorsque VxVM est install 106 Utilisation de gestionnaires de volume sur des disques virtuels 107 Utilisation de ZFS sur des disques virtuels 107 Utilisation de SVM sur des disques virtuels 107 Utilisation de VxVM sur des disques virtuels 108 Configuration d IPMP dans un environnement Logical Domains 108 Contenu ix Configuration de p riph riques r seau virtuels dans un groupe IPMP au sein d un domaine logique 108 Configuration et utilisation d IPMP dans un domaine de service 110 Glossaire 111 x Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 FIGURE 1 1 FIGURE 5 1 FIGURE 5 2 FIGURE 5 3 Figures Hyperviseur prenant en charge deux domaines logiques 2 Deux r seaux virtuels connect s des instances de commutateur virtuel distinctes Connexion des p riph riques r seau virtuels diff rents domaines de service Deux interfaces r seau configur es en groupe IPMP 110 109 109 xi xii Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Tableaux TABLEAU 1 1 R les d un domaine logique 4 TABLEAU 2 1 Sous commandes 1dm et autorisations utilisateur 13 TABLEAU 5 1 Comportement pr vu pour la halte ou le red marrage du domaine de contr
7. a Pour minimiser le domaine de contr le de LDoms entrez une ligne minimal ldm control profile dans le fichier de r gles semblable celle ci hostname imbulu Profiles minimal ldm_control profile Drivers ldm_control secure abc driver Remarque N oubliez pas que vous devez installer manuellement le package du logiciel LDoms MIB apr s avoir install les packages LDoms et Solaris Security Toolkit Il n est pas install automatiquement avec les autres packages Reportez vous au Guide d administration Logical Domains LDoms Management Information Base 1 0 2 pour plus d informations sur l installation et l utilisation du logiciel LDoms MIB 32 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 m Si vous ne souhaitez pas minimiser le domaine de contr le de LDoms entrez une ligne dans le fichier semblable celle ci hostname imbulu Profiles oem profile Drivers ldm_control secure abc driver 11 En cas d annulation de la s curisation lors d une installation JumpStart vous devez ex cuter la commande SMF pour red marrer le logiciel Logical Domains Manager svcadm enable svc ldoms 1dmd default Installation manuelle de Logical Domains Manager et de Solaris Security Toolkit Effectuez les proc dures d crites dans les sections ci apr s pour installer manuellement les logiciels Logical Domains Manager et Solaris Security Toolkit m Proc dure d installation manuelle d
8. cet effet L adresse MAC est s lectionn e de fa on al atoire pour diminuer la probabilit d une adresse MAC dupliqu e choisie comme candidate L adresse s lectionn e est ensuite v rifi e avec les autres instances de Logical Domains Manager sur les autres syst mes pour viter l assignation d adresses MAC dupliqu es L algorithme employ est d crit dans la section D tection d adresses MAC dupliqu es la page 76 Si l adresse est d j assign e Logical Domains Manager it re il choisit une autre adresse et v rifie nouveau les conflits potentiels Il continue jusqu trouver une adresse MAC pas encore allou e ou que le d lai de 30 secondes soit coul Lorsque le d lai est atteint la cr ation du p riph rique choue et un message d erreur similaire au suivant est affich Automatic MAC allocation failed Please set the vnet MAC address manually D tection d adresses MAC dupliqu es Pour viter que la m me adresse MAC soit allou e a diff rents p riph riques Logical Domains Manager proc de une v rification avec les instances de Logical Domains Manager des autres syst mes en envoyant un message par multidiffusion via l interface r seau par d faut du domaine de contr le contenant l adresse qu il souhaite assigner au p riph rique L instance Logical Domains Manager essayant d attribuer l adresse MAC attend une r ponse pendant une seconde Si cette adresse MAC est d j as
9. galement tre utilis e sur d autres serveurs Sun UltraSPARC T1 tels que Sun Fire T1000 et Netra T2000 Les instructions pour les autres serveurs peuvent diff rer l g rement des suivantes mais cet exemple vous donne les principes de base Vous devez surtout conserver le n ud terminal qui poss de le disque d initialisation et supprimer l autre n ud terminal du domaine principal et l assigner un autre domaine 1 V rifiez que le domaine primary poss de les deux n uds terminaux du bus PCI Express primary ldm list bindings primary IO DEVICE PSEUDONYM OPTIONS pci 780 bus_a pci 7c0 bus_b 2 D terminez le chemin du p riph rique du disque d initialisation qui doit tre conserv primary df dev dsk c1t0d0s0 1309384 blocks 457028 files 82 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 3 D terminez le p riph rique physique auquel le p riph rique de bloc cit0d0s0 est reli primary 1s 1 dev dsk cit0d0s0 lrwxrwxrwx 1 root root 65 Feb 2 17 19 dev dsk c1t0d0s0 gt devices pci 7c0 pci 0 pci l pci 0 2 LSILogic sas 2 sd 0 0 a Dans cet exemple le p riph rique physique pour le disque d initialisation du domaine primary se trouve sous le nceud terminal pci 7c0 qui correspond a notre pr c dent listage de bus_b Cela signifie que nous pouvons assigner bus_a pci 780 du bus PCI Express un autre domaine 4 V rifiez e
10. la suivante metaset s test a c2d2 metaset domainl test failed to reserve any drives Utilisation de VxVM sur des disques virtuels Actuellement VxVM ne fonctionne pas avec des disques virtuels Vous pouvez installer le logiciel VxVM dans un domaine poss dant des disques virtuels mais VxVM n a pas la capacit de les voir comme disques disponibles Configuration d IPMP dans un environnement Logical Domains Le multiacheminement IPMP Internet Protocol Network Multipathing fournit la tol rance de pannes et l quilibrage de charge sur de multiples cartes d interface r seau En utilisant IPMP vous pouvez configurer une ou plusieurs interfaces dans un groupe de multiacheminement IP Apr s la configuration IPMP le syst me contr le automatiquement les interfaces du groupe IPMP pour d tecter les pannes Si une interface du groupe tombe en panne ou est retir e pour maintenance IPMP migre ou bascule automatiquement les adresses IP de cette interface Dans un environnement Logical Domains vous pouvez configurer les interfaces physiques ou virtuelles pour le basculement en utilisant IPMP Configuration de p riph riques r seau virtuels dans un groupe IPMP au sein d un domaine logique Il est possible de configurer un domaine logique pour la tol rance de pannes en configurant ses p riph riques r seau virtuels en groupe IPMP Pour configurer un groupe IPMP avec des p riph riques r seau virtuels dans une c
11. Ex cutez les commandes suivantes sous le SE Solaris cd firmware_location sysfwdownload system_firmware_file 2 Arr tez l instance du SE Solaris shutdown i5 g0 y 3 Mettez le contr leur syst me hors tension et mettez le microprogramme niveau sur ce dernier sc gt poweroff fy sc gt flashupdate s 127 0 0 1 4 R initialisez et mettez le contr leur syst me sous tension sc gt resetsc y sc gt poweron V Proc dure de mise niveau inf rieure de la version du microprogramme syst me Une fois que vous avez mis niveau le microprogramme syst me afin de l utiliser avec le logiciel Logical Domains vous pouvez le r trograder vers le microprogramme d origine autre que ce logiciel Ex cutez la commande flashupdate 1M et indiquez le chemin d acc s au microprogramme d origine autre que Logical Domains Chapitre 3 Installation et activation du logiciel 21 T l chargement de Logical Domains Manager et de Solaris Security Toolkit V Proc dure de t l chargement de Logical Domains Manager Solaris Security Toolkit et Logical Domains MIB 1 T l chargez le fichier tar LDoms_Manager 1_0_2 zip contenant le package Logical Domains Manager SUNW1dm le logiciel Solaris Security Toolkit SUNWjass le script d installation insta11 1dm et le package Logical Domains Management Information Base SUNWldmib v partir du site de t l chargement de logiciels de Sun L adresse
12. Formation http docs sun com http www sun com support http www sun com training Sites Web tiers Sun d cline toute responsabilit quant la disponibilit des sites Web de parties tierces mentionn s dans ce document Sun n avalise pas et n est pas responsable des contenus des publicit s des produits ou autres mat riaux disponibles sur ou par le biais de ces sites ou ressources Sun ne saurait pas non plus tre tenue responsable de toute perte ou dommage r el le ou pr tendu e caus e par l utilisation desdits contenus biens ou services disponibles sur ou via ces sites et ressources ou d coulant de la confiance accord e auxdits contenus Pr face xxi Vos commentaires sont les bienvenus Dans le souci d am liorer notre documentation tous vos commentaires et suggestions sont les bienvenus Vous pouvez nous faire part de vos commentaires l adresse suivante http www sun com hwdocs feedback Veuillez mentionner le titre et le num ro de r f rence du document dans votre message Guide d administration Logical Domains LDoms 1 0 2 num ro de r f rence 820 4450 10 xxii Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 CHAPITRE 1 Pr sentation du logiciel Logical Domains Ce chapitre pr sente le logiciel Logical Domains de fa on succincte Toutes les fonctionnalit s du SE Solaris et tous les patchs requis pour utiliser la technologie Logical Domains de S
13. JumpStart Installations b Configurez les syst mes r seau en suivant les proc dures de la section Creating a Profile Server for Network Systems c Cr ez le fichier rules en suivant les proc dures de la section Creating the rules File 2 Validez le fichier rules en suivant les proc dures de la section Validating the rules File Le logiciel Solaris Security Toolkit fournit les profils et les scripts finish Reportez vous au document Solaris Security Toolkit 4 2 Reference Manual pour plus d informations sur les profils et les scripts finish V Proc dure d installation l aide du logiciel JumpStart 1 Allez dans le r pertoire dans lequel vous avez t l charg le package Solaris Security Toolkit SUNWjass cd path to download 2 Installez le logiciel SUNWjass afin de cr er la structure de r pertoire JumpStart jumpstart pkgadd R jumpstart d SUNWjass 3 l aide de votre diteur de texte modifiez le fichier jumpstart opt SUNWjass Sysidcfg Solaris_10 sysidcfg en fonction de votre environnement r seau 4 Copiez le fichier jumpstart opt SUNWjass Drivers user init SAMPI dans le fichier jumpstart opt SUNWjass Drivers user init Cp user init SAMPLE user init GI 5 Modifiez le fichier user init en fonction des chemins d acc s Chapitre 3 Installation et activation du logiciel 31 6 Pour installer le package Solaris Security Toolkit SUNWjass sur le syst me cible lors d
14. console elle m me Vous pouvez lier la console un groupe existant l aide de la sous commande set vcons Chapitre 5 Informations et t ches compl mentaires 85 V Proc dure de combinaison de plusieurs consoles dans un groupe 1 Liez les consoles pour les domaines dans un seul groupe L exemple suivant montre la liaison de la console pour trois domaines diff rents 1dg1 1dg2 et 1dg3 au m me groupe de consoles group1 primary ldm set vcons group groupl service primary vec0 ldg1 primary ldm set vcons group groupl service primary vec0 ldg2 primary ldm set vcons group groupl service primary vcc0 ldg3 2 Connectez vous au port TCP associ localhost au port 5000 dans cet exemple telnet localhost 5000 primary vnts groupl h 1 c id n name q Vous tes invit a choisir l une des consoles du domaine 3 Listez les domaines du groupe en s lectionnant l option 1 list primary vnts groupl h 1 c id n name q 1 DOMAIN ID DOMAIN NAME DOMAIN STATE 0 ldg1 online 1 ldg2 online 2 ldg3 online Remarque Pour r assigner la console un autre groupe ou une autre instance vec le domaine doit tre dissoci donc doit tre dans l tat inactif Reportez vous la page de manuel du SE Solaris 10 vnt sd 1M pour en savoir plus sur la configuration et l utilisation de SMF pour g rer vntsd et sur l utilisation des groupes de consoles 86 Guide d administration Logical Do
15. est un commutateur de couche 2 qui est galement utilisable comme p riph rique r seau dans le domaine de service Vous pouvez configurer le commutateur virtuel pour qu il agisse uniquement comme un commutateur entre les p riph riques r seau virtuels vnet sur les divers domaines logiques mais sans connectivit avec un r seau particulier via un p riph rique physique Dans ce mode le raccordement de vswitch en tant que p riph rique r seau en activant le routage IP dans le domaine de service permet aux r seaux virtuels de communiquer en utilisant le domaine de service comme un routeur Ce mode de fonctionnement est essentiel pour fournir la connectivit externe aux domaines lorsque l adaptateur du r seau physique n est pas compatible GLDv3 Les avantages de cette configuration sont les suivants Le commutateur virtuel ne n cessite pas l utilisation d un p riph rique physique directement et peut fournir une connectivit externe m me si le p riph rique sous jacent n est pas compatible GLDv3 m La configuration peut tirer avantage des capacit s de routage et de filtrage IP du SE Solaris Chapitre 5 Informations et t ches compl mentaires 97 V Proc dure de configuration du commutateur virtuel afin de fournir la connectivit externe aux domaines 1 Cr ez un commutateur virtuel sans p riph rique physique associ Si vous assignez une adresse v rifiez que le commutateur virtuel poss de une adresse MAC uni
16. le primary 91 xiii xiv Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Exemples de code EXEMPLE DE CODE 3 1 EXEMPLE DE CODE 3 2 EXEMPLE DE CODE 3 3 EXEMPLE DE CODE 3 4 EXEMPLE DE CODE 3 5 none EXEMPLE DE CODE 5 1 EXEMPLE DE CODE 5 2 EXEMPLE DE CODE 5 3 EXEMPLE DE CODE 5 4 EXEMPLE DE CODE 5 5 EXEMPLE DE CODE 5 6 EXEMPLE DE CODE 5 7 EXEMPLE DE CODE 5 8 EXEMPLE DE CODE 5 9 EXEMPLE DE CODE 5 10 EXEMPLE DE CODE 5 11 EXEMPLE DE CODE 5 12 EXEMPLE DE CODE 5 13 EXEMPLE DE CODE 5 14 EXEMPLE DE CODE 5 15 Structure de r pertoires du logiciel Logical Domains 1 0 2 t l charg 22 Exemple de message dans la configuration s curis e Solaris pour LDoms 25 Exemple de message de choix de profil de configuration personnalis 26 Exemple de message indiquant l ex cution correcte du script install Idm d 28 Exemple de message indiquant l ex cution correcte du script install Idm d 29 Utilisation de la syntaxe pour les toutes sous commandes 1dm 57 Versions des logiciels install es 60 Liste courte pour tous les domaines 61 Liste longue pour tous les domaines 61 Liste tendue pour tous les domaines 63 Liste lisible par une machine 65 tat d un domaine 65 Listage d une variable pour un domaine 65 Listage des liaisons pour un domaine 66 Listage de configurations 67 Listage de toutes les ressources du serveur 67 Listage des services 69 Listage des contraintes pour un domaine 69 Contraintes pour un domaine au
17. 2 Man Page Guide pour en savoir plus sur l utilisation de la reconfiguration diff r e Chapitre 1 Pr sentation du logiciel Logical Domains 7 Remarque Vous ne pouvez pas utiliser la commande 1dm remove reconf si d autres commandes 1dm remove ont t mises sur les p riph riques d E S virtuels Le cas ch ant la commande 1dm remove reconf choue Configurations permanentes La configuration d un domaine logique peut tre stock e sur le contr leur syst me l aide des commandes de la CLI de Logical Domains Manager Vous pouvez ajouter ou supprimer une configuration indiquer celle utiliser et toutes les r pertorier sur le contr leur syst me Reportez vous la page de manuel 1dm 1M ou au Logical Domains LDoms Manager 1 0 2 Man Page Guide La commande ALOM CMT Version 1 3 en outre vous permet de s lectionner la configuration initialiser reportez vous la section Utilisation de LDoms avec ALOM CMT la page 93 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 CHAPITRE 2 S curit Ce chapitre d crit le logiciel Solaris Security Toolkit et de quelle mani re vous pouvez l utiliser pour s curiser le SE Solaris dans vos domaines logiques Consid rations relatives la s curit Le logiciel Solaris Security Toolkit couramment appel kit d outils JumpStart Architecture and Security Scripts JASS propose un m canisme automatis extensible et volu
18. S donn ou une option PCI E puisse acc der uniquement a la m moire physique assign e au sein du domaine E S L unit MMU E S emp che toute tentative d acc s la m moire d un autre domaine h te Cela conf re un niveau de s curit plus lev entre le domaine E S et les autres domaines Cependant dans le rare cas o la carte d option PCI E ou PCI X ne se charge pas ou ne fonctionne pas lorsque le mode vitement MMU E S est d sactiv cette option vous permet d activer ce dernier Toutefois si vous activez le mode vitement la protection mise en ceuvre au niveau mat riel des acc s m moire partir du domaine n existe plus L option bypass on active le mode vitement de MMU E S Vous ne devez activer le mode vitement que si le domaine E S respectif et les p riph riques E S au sein de celui ci sont valid s par l ensemble des domaines h tes Cet exemple active le mode vitement primary ldm add io bypass on pci 780 1dg1 Le r sultat indique bypass on sous OPTIONS Utilisation des groupes de consoles Le d mon de serveur de terminal r seau virtuel vnt sd 1M vous permet de fournir l acc s a plusieurs consoles de domaines en utilisant un seul port TCP Au moment de la cr ation d un domaine Logical Domains Manager assigne un port TCP unique a chaque console en cr ant un nouveau groupe par d faut pour cette console du domaine Le port TCP est ensuite assign au groupe de consoles plut t qu la
19. UTIL UPTIME ldg8 active s 5000 22 3328M 0 3 1d 14h 31m La liste pr c dente indique que le domaine est actif mais l indicateur s signale que le domaine est dans le processus d arr t Cela devrait tre un tat transitoire L exemple suivant indique que le domaine est maintenant arr t ldm list domain ldg8 NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME ldg8 bound 5000 22 3328M 72 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 D termination du nom de l interface r seau Solaris correspondant un p riph rique r seau virtuel Il n y a pas moyen de d terminer le nom de l interface r seau du SE Solaris sur un h te correspondant un p riph rique virtuel donn directement partir du r sultat fourni par les commandes 1dm 1ist Cependant vous pouvez l obtenir en combinant le r sultat de la commande 1dm list 1 avec les entr es sous devices sur l h te SE Solaris Proc dure permettant de trouver le nom de l interface r seau du SE Solaris Dans cet exemple le domaine h te 1dg1 contient deux p riph riques r seau virtuels net a et net c Pour trouver le nom de l interface r seau du SE Solaris dans 1dg1 qui correspond net c effectuez l op ration suivante 1 Utilisez la commande 1dm pour trouver l instance de p riph rique r seau virtuel net c ldm list 1 ldg1 N NAME ETWORK net a net c SERVICE D
20. commande prtvtoc 1M et la commande fmthard 1M au lieu de la commande format 1M Vous pouvez galement utiliser la commande format 1M a partir du domaine de service sur les disques r els 92 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Utilisation de LDoms avec ALOM CMT Cette section d crit ce qu il faut savoir pour utiliser le multithreading de puce CMT chip multithreading d Advanced Lights Out Manager ALOM avec Logical Domains Manager Pour plus d informations sur l utilisation du logiciel ALOM CMT reportez vous au Advanced Lights Out Management ALOM CMT v1 3 Guide Attention La documentation ALOM CMT fait r f rence un seul domaine vous devez donc tre conscient que Logical Domains Manager introduit plusieurs domaines Si un domaine logique est red marr les services E S pour les domaines h tes risquent de ne pas tre disponibles tant que le domaine de contr le n a pas red marr Cela est d au fait que le domaine de contr le fonctionne comme un domaine de service dans le logiciel Logical Domains Manager 1 0 2 Les domaines h tes semblent se geler durant le processus de red marrage Une fois le domaine de contr le compl tement red marr les domaines h tes reprennent leurs op rations normales Il est n cessaire d arr ter les domaines h tes uniquement lorsque le serveur entier va tre mis hors tension Une option suppl mentaire est disponible pour la commande ALOM CMT
21. db xml OVERWRITE Ainsi la base de donn es sera copi e automatiquement de l environnement d initialisation actif vers le nouvel environnement d initialisation lors de la permutation de ces environnements Pour plus d informations sur etc lu synclist et la synchronisation des fichiers entre environnements d initialisation reportez vous la section Synchronisation de fichiers entre environnements d initialisation du Guide d installation de Solaris 10 8 07 Solaris Live Upgrade et planification de la mise niveau Mise niveau vers LDoms 1 0 2 Les configurations LDoms 1 0 1 existantes fonctionnent sous LDoms 1 0 2 il est donc inutile d effectuer la proc dure suivante si vous r alisez une mise niveau de LDoms 1 0 1 vers LDoms 1 0 2 Cependant vous devez la suivre pour utiliser les configurations LDoms 1 0 existantes avec le logiciel LDoms 1 0 2 V Proc dure de mise niveau de LDoms 1 0 vers LDoms 1 0 2 Les configurations LDoms version 1 0 existantes ne fonctionnent pas dans la version 1 0 2 du logiciel La proc dure suivante d crit une m thode pour enregistrer et reconstruire une configuration l aide de fichiers de contraintes XML et de l option i de la commande 1dm start domain Cette m thode ne permet pas de conserver les liaisons mais uniquement les contraintes utilis es pour les cr er Cela signifie qu une fois cette proc dure effectu e les domaines disposent des m mes ressources virtu
22. de post installation uniquement passez la section Proc dure d installation l aide du script install 1dm et de l option p la page 30 b A la fin du processus vous recevez des messages semblables ceux qui suivent m Le message de l exemple de code 3 2 indique l ex cution correcte du script install 1dm si vous choisissez le profil de s curit par d faut suivant a Configuration Solaris s curis e pour LDoms recommand e m Le message de l exemple de code 3 3 indique l ex cution correcte du script install 1dm si vous choisissez le profil de s curit par d faut suivant c Votre profil de s curit Solaris personnalis Les pilotes qui s affichent sont ceux dont le nom se termine par secure driver Pour indiquer un pilote personnalis dont le nom ne se termine pas par secure driver utilisez l option install 1dm d Reportez vous la section Proc dure d installation l aide du script install 1dm et de l option d la page 28 EXEMPLE DE CODE 3 2 Exemple de message dans la configuration s curis e Solaris pour LDoms Install install ldm Welcome to the LDoms installer You are about to install the domain manager package that will enable you to create destroy and control other domains on your system Given the capabilities of the domain manager you can now change the security configuration of this Solaris instance using the Solaris Security Chapitre 3 Installation
23. et activation du logiciel 25 EXEMPLE DE CODE 3 2 Exemple de message dans la configuration s curis e Solaris pour LDoms suite Toolkit Select a security profile from this list a Hardened Solaris configuration for LDoms recommended b Standard Solaris configuration c Your custom defined Solaris security configuration profile Enter a b or c a a The changes made by selecting this option can be undone through the Solaris Security Toolkit s undo feature This can be done with the opt SUNWjass bin jass execute u command Installing LDoms and Solaris Security Toolkit packages pkgadd n d var tmp install Product Logical_Domain_Manager a pkg_admin SUNW1dm v Copyright 2006 Sun Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWldm gt was successful pkgadd n d var tmp install Product Solaris_Security_Toolkit a pkg_admin SUNWjass Copyright 2005 Sun Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWjass gt was successful Verifying that all packages are fully installed OK Enabling services svc ldoms 1ldmd default Running Solaris Security Toolkit 4 2 0 driver ldm control secure driver Please wait opt SUNWjass bin jass execute q d ldm_control secure driver Executing driver l1dm_control secure driver Solaris Security Toolkit hardening executed successfully log file var opt SUNWjass run 20
24. et ce sans limitation ces droits de propri t intellectuelle peuvent inclure un ou plus des brevets am ricains list s l adresse http www sun com patents et un ou les brevets suppl mentaires ou les applications de brevet en attente aux Etats Unis et dans les autres pays Des parties de ce produit pourront tre d riv es des syst mes Berkeley BSD licenci s par l Universit de Californie UNIX est une marque d pos e aux Etats Unis et dans d autres pays et licenci e exclusivement par X Open Company Ltd Sun Sun Microsystems le logo Sun Java Solaris JumpStart OpenBoot Sun Fire Netra SunSolve Sun BluePrints Sun Blade Sun Ultra et SunVTS sont des marques de fabrique ou des marques d pos es de Sun Microsystems Inc aux Etats Unis et dans d autres pays Toutes les marques SPARC sont utilis es sous licence et sont des marques de fabrique ou des marques d pos es de SPARC International Inc aux Etats Unis et dans d autres pays Les produits portant les marques SPARC sont bas s sur une architecture d velopp e par Sun Microsystems Inc Le logo Adobe PostScript est une marque d pos e de Adobe Systems Incorporated Les produits qui font l objet de ce manuel d entretien et les informations qu il contient sont regis par la legislation americaine en matiere de controle des exportations et peuvent etre soumis au droit d autres pays dans le domaine des exportations et importations Les utilisations finales ou u
25. faut le domaine de contr le et les domaines h tes Messages des commandes En fonction de votre plate forme diff rents messages s affichent suite aux commandes que vous utilisez pour cr er les services par d faut et configurer le domaine de contr le primary m processeurs Sun UltraSPARC T1 m processeurs Sun UltraSPARC T2 Processeurs Sun UltraSPARC T1 Si votre serveur est dot d un processeur Sun UltraSPARC T1 vous recevez le message suivant apr s l ex cution de la commande setup pour le domaine primary Notice the LDom Manager is running in configuration mode Any configuration changes made will only take effect after the machine configuration is downloaded to the system controller and the host is reset 41 Processeurs Sun UltraSPARC T2 Premi re op ration si votre serveur est dot d un processeur Sun UltraSPARC T2 vous recevez le message suivant apr s la premi re op ration sur un p riph rique quelconque ou suite au lancement d un service sur le domaine primary Initiating delayed reconfigure operation on LDom primary All configuration changes for other LDoms are disabled until the LDom reboots at which time the new configuration for LDom primary will also take effect Op rations suivantes jusqu au red marrage si votre serveur est dot d un processeur Sun UltraSPARC T2 vous recevez le message suivant apr s chaque op ration sur le domaine primary et ce jusqu ce
26. fonctions Dans ce mod le client serveur les p riph riques d E S virtuels communiquent soit entre eux soit par l interm diaire d un service via des canaux de communication interdomaine appel s canaux de domaine logique LDC Logical Domain Channel Dans le logiciel Logical Domains 1 0 2 la fonctionnalit d E S virtualis e offre une prise en charge des consoles de la mise en r seau et du stockage virtuels Chapitre 1 Pr sentation du logiciel Logical Domains 5 R seau virtuel La prise en charge du r seau virtuel s effectue l aide de deux composants le p riph rique r seau virtuel et le p riph rique commutateur r seau virtuel Le p riph rique r seau virtuel vnet mule un p riph rique Ethernet et communique avec d autres p riph riques vnet du syst me l aide d un canal point point Le p riph rique commutateur virtuel vsw fonctionne principalement comme un multiplexeur des paquets entrants et sortants du r seau virtuel Le p riph rique vsw s interface directement avec un adaptateur de r seau physique sur un domaine de service et envoie et re oit des paquets au nom d un r seau virtuel Ce p riph rique vsw fonctionne en outre comme un simple commutateur de niveau 2 et commute les paquets entre les p riph riques vnet qui lui sont connect s au sein du syst me Stockage virtuel L infrastructure de stockage virtuel permet aux domaines logiques d acc der au stockage de niveau bloc non affect dir
27. format XML 70 Contraintes pour tous les domaines dans un format lisible par une machine 71 XV EXEMPLE DE CODE 5 16 Longue liste analysable de configurations de domaines logiques 80 xvi Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Pr face Le Guide d administration Logical Domains LDoms 1 0 2 fournit des proc dures et des informations d taill es sur la pr sentation la s curit l installation la configuration la modification et l ex cution des t ches courantes via le logiciel Logical Domains Manager 1 0 2 sur les serveurs les lames et les modules serveurs pris en charge Reportez vous la section Serveurs pris en charge des Notes de version Logical Domains LDoms 1 0 2 pour obtenir la liste compl te des serveurs pris en charge Ce guide s adresse aux administrateurs syst me de ces serveurs ma trisant les syst mes UNIX et le syst me d exploitation Solaris SE Solaris Avant de lire ce document Si vous ne ma trisez ni les proc dures et commandes UNIX ni le syst me d exploitation Solaris familiarisez vous avec les guides de l utilisateur et de l administrateur du SE Solaris fournis avec le mat riel Il est galement conseill de suivre une formation en administration syst me UNIX Pr sentation du guide Le chapitre 1 pr sente le logiciel Logical Domains Le chapitre 2 d crit le logiciel Solaris Security Toolkit et explique comment l utiliser pour s curiser l
28. g0 y 7 teignez puis remettez sous tension le contr leur syst me pour que la configuration factory default soit recharg e sc gt poweroff sc gt poweron Fonctionnement du SE Solaris avec Logical Domains Cette section d crit les changements dans l utilisation du SE Solaris qui se produisent apr s qu une configuration cr e par Logical Domains Manager est instanci e c est dire que la mise en domaine est activ e Remarque Les questions concernant l activation ou non de la mise en domaine s appliquent uniquement aux plates formes Sun UltraSPARC T1 Dans les autres cas la mise en domaine est toujours activ e Microprogramme OpenBoot non disponible apr s le d marrage du SE Solaris si la mise en domaine est activ e Si la mise en domaine est activ e le microprogramme OpenBoot n est plus disponible apr s le d marrage du SE Solaris car il est supprim de la m moire Pour obtenir l invite ok partir du SE Solaris il vous faut arr ter le domaine Pour cela vous pouvez utiliser la commande halt du SE Solaris Chapitre 5 Informations et t ches compl mentaires 89 Arr t puis remise sous tension d un serveur Chaque fois que vous effectuez une maintenance sur un syst me ex cutant le logiciel LDoms qui requiert l arr t puis la remise sous tension du serveur il vous faut d abord enregistrer les configurations de domaines logiques sur le contr leur syst me V Proc dure d enregistre
29. ldm list devices a VCPU PID FREE 0 0 1 0 2 0 3 0 4 100 5 100 6 100 7 100 8 100 9 100 10 100 11 100 12 100 T3 100 14 100 15 100 16 100 17 100 18 100 Chapitre 5 Informations et t ches compl mentaires 67 EXEMPLE DE CODE 5 11Listage de toutes les ressources du serveur suite 19 100 20 100 21 100 22 100 23 100 24 100 25 100 26 100 27 100 28 100 29 100 30 100 31 100 MAU CPUSET BOUND Oy 1 2 3 ldg2 4 590 Biro 47 8 9 10 11 12 T3 T4 lt 5 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 MEMORY PA SIZE BOUND 0x0 512K _sys_ 0x80000 1536K _sys_ 0x200000 62M _sys_ 0x4000000 768M primary 0x34000000 512M ldg1 0x54000000 8M _sys_ 0x54800000 2G ldg2 0xd4800000 29368M IO DEVICE PSEUDONYM BOUND OPTIONS pci 780 bus_a yes pci 7c0 bus_b yes bypass on 68 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure de listage des services Pour lister les services disponibles proc dez comme suit EXEMPLE DE CODE 5 12Listage des services primary s ldm list services VDS NAME VOLUME OPTIONS DEVICE primary vds0 VCC NAME PORT RANGE primary vcc0 5000 5100 VSW NAME MAC NET DEV DEVICE MODE primary vsw0 00 14 4f 9 68 d0 e1000g0 switch 0 prog promisc Listage des contraintes Pour Logical Domains Manager les contraintes sont des ressources que vous souhaitez
30. le package Solaris Security Toolkit SUNWjass si vous utilisez ce logiciel pkgrm SUNWjass 8 Effectuez une mise a jour instantan e du microprogramme syst me Pour conna tre la proc dure compl te reportez vous la section Proc dure de mise niveau du microprogramme syst me la page 19 ou Proc dure de mise niveau du microprogramme syst me sans serveur FTP la page 21 9 T l chargez le package du logiciel LDoms 1 0 2 Reportez vous la section Proc dure de t l chargement de Logical Domains Manager Solaris Security Toolkit et Logical Domains MIB la page 22 pour conna tre les proc dures de t l chargement et d installation des logiciels Logical Domains Manager Solaris Security Toolkit et Logical Domains MIB Chapitre 3 Installation et activation du logiciel 17 10 Reconfigurez le domaine primary manuellement Pour conna tre les instructions voir Proc dure de configuration du domaine de contr le la page 44 11 Ex cutez les commandes suivantes pour chaque fichier XML de domaine h te cr l tape 2 ldm create i dom xml ldm bind domain ldom l m start domain dom Installation du logiciel sur le domaine de contr le Le domaine de contr le est le premier domaine cr lors de l installation du logiciel Logical Domains Manager Ce domaine porte le nom de primary vous ne pouvez pas modifier ce nom Les composants principaux suiva
31. me d exploitation et la couche mat rielle Glossaire 113 IB ioctl IP IPMP kaio KU LAN LDAP LDC 1dm 1M l md Logical Domains LDoms Manager 114 Infiniband input output control call appel de contr le d entr e sortie Internet Protocol protocole Internet Internet Protocol Network Multipathing multiacheminement sur r seau IP Kernel asynchronous input output entr e sortie asynchrone du noyau Kilo octet Kernel Update mise jour du noyau Local Area Network r seau local Lightweight Directory Access Protocol protocole l ger d acc s aux r pertoires Logical Domain Channel canal de domaine logique Utilitaire Logical Domain Manager D mon de Logical Domains Manager Logiciel dot d une CLI permettant de cr er et de g rer des domaines et de leur affecter des ressources Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 M MAC MAU mem memory MIB Minimisation MMF MMU Mo mtu N NAT ndpsldcc ndpsldcs NDPSS NFS NIS NIU NTS Media access control address adresse de contr le d acc s aux m dias pouvant tre affect e automatiquement par LDoms ou que vous pouvez affecter manuellement Modular Arithmetic Unit unit cryptographique pour plates formes Sun UltraSPARC T1 Unit de m moire taille par d faut en octets en giga octets G en kilo octets K ou en m ga octets M M moire serveur virtualis e pouva
32. o my ldm driver est le nom de votre copie de 14m control secure driver Copiez 1dm_control config driver vers my ldm config driver o my ldm config driver est le nom de votre copie de 1dm_control config driver Copiez ldm_control hardening driver vers my ldm hardening driver o my ldm hardening driver est le nom de votre copie de 1dm_control hardening driver Editez my ldm driver pour faire r f rence aux nouveaux pilotes de configuration et de s curisation my ldm control driver et my ldm hardening driver respectivement Editez my ldm hardening driver et supprimez le signe di se au d but de la ligne suivante dans le pilote enable bsm fin 6 Ex cutez my ldm driver opt SUNWjass bin jass execute d my ldm driver Ts Red marrez le SE Solaris pour que l audit prenne effet Proc dure d utilisation de la commande bsmconv 1M du SE Solaris 1 Ajoutez vs dans la ligne flags du fichier etc security audit_control Chapitre 5 Informations et t ches compl mentaires 95 2 Ex cutez la commande bsmconv 1M etc security bsmconv Pour plus d informations sur cette commande reportez vous la documentation Solaris 10 Reference Manual Collection ou la page de manuel 3 Red marrez le syst me d exploitation Solaris pour que l audit prenne effet V Proc dure permettant de v rifier que l audit BSM est activ 1 Saisissez la commande suivante auditconfig getcon
33. pas prise en charge sous ce syst me d exploitation Pour utiliser la reconfiguration dynamique Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 dans l interface de ligne de commande de Logical Domains Manager le d mon de reconfiguration dynamique de Logical Domains drd 1M doit s ex cuter dans le domaine que vous souhaitez modifier Reconfiguration diff r e Contrairement aux op rations de reconfiguration dynamique qui s ex cutent imm diatement les op rations de reconfiguration diff r e s ex cutent apr s red marrage du syst me d exploitation ou apr s l arr t et le d marrage du domaine logique si aucun syst me d exploitation n est en cours d ex cution Toutes les op rations d ajout ou de suppression sur les domaines logiques actifs l exception des sous commandes add vcpu set vcpu et remove vcpu sont consid r es comme des op rations de reconfiguration diff r e La sous commande set vswitch sur un domaine logique actif est galement consid r e comme une op ration de reconfiguration diff r e Si vous utilisez un processeur Sun UltraSPARC T1 lorsque le logiciel Logical Domains Manager est install et activ en premier ou lorsque les param tres factory default de configuration sont restaur s LDoms Manager s ex cute dans le mode configuration Dans ce mode les requ tes de reconfiguration sont accept es et mises en file d attente mais ne sont pas prises en compte Une nouvelle
34. que vous red marriez Notice LDom primary is in the process of a delayed reconfiguration Any changes made to this LDom will only take effect after it reboots Cr ation des services par d faut Vous devez au pr alable cr er les services virtuels par d faut suivants pour pouvoir les utiliser par la suite a vdiskserver virtual disk server serveur de disque virtuel m vswitch virtual switch service service de commutateur virtuel m vconscon virtual console concentrator service service de concentrateur de consoles virtuelles V Proc dure de cr ation des services par d faut 1 Cr ez un serveur de disque virtuel vds afin de pouvoir importer des disques virtuels dans un domaine logique La commande suivante par exemple ajoute un serveur de disque virtuel primary vds0 au domaine de contr le primary primary ldm add vds primary vds0 primary 42 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 2 Cr ez un service de concentrateur de consoles virtuelles vcc qui sera utilis par le d mon du serveur de terminal r seau virtuel vntsd et en tant que concentrateur pour toutes les consoles du domaine logique La commande suivante par exemple ajoute un service de concentrateur de consoles virtuelles primary vcc0 avec une plage de num ros de port allant de 5 000 5 100 au domaine de contr le primary primary ldm add vcc port range 5000 5100 primary vcc
35. s le domaine d origine devient le domaine de contr le 18 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure d installation du SE Solaris 10 Installez le SE Solaris 10 si ce n est pas d j fait Reportez vous la section Logiciel requis des Notes de version Logical Domains LDoms 1 0 2 pour conna tre le SE Solaris 10 utiliser pour cette version du logiciel Logical Domains Reportez vous au guide d installation du SE Solaris 10 pour obtenir toutes les instructions sur l installation de ce syst me d exploitation Vous pouvez adapter l installation aux besoins du syst me Remarque Pour les domaines logiques vous pouvez installer le SE Solaris uniquement sur un disque entier ou dans un fichier export en tant que p riph rique en mode bloc 1 Installez le SE Solaris 10 La minimisation est facultative Solaris Security Toolkit offre le profil de minimisation JumpStart suivant pour Logical Domains opt SUNWjass Profiles minimal l1dm control profile 2 Si vous installez le SE Solaris 10 11 06 installez galement les patchs n cessaires Reportez vous la section Patchs SE Solaris 10 11 06 requis des Notes de version Logical Domains LDoms 1 0 2 pour obtenir la liste compl te des patchs requis Remarque Si vous installez un syst me d exploitation en langue non anglaise sur un domaine h te les param tres r gionaux du terminal de la console doivent tre ceux
36. suivant est assign aux domaines logiques 00 14 4F F8 00 00 00 14 4F FF FF FF Les 256 K d adresses inf rieures sont utilis es par Logical Domains Manager pour l allocation automatique d adresse MAC et vous ne pouvez pas demander manuellement une adresse dans cette plage 00 14 4F F8 00 00 00 14 4F FB FF FF Vous pouvez utiliser la moiti sup rieure de cette plage pour l allocation manuelle d adresse MAC 00 14 4F FC 00 00 00 14 4F FF FF FF Algorithme d assignation automatique Lorsque vous ne sp cifiez aucune adresse MAC lors de la cr ation d un domaine logique ou d un p riph rique r seau Logical Domains Manager alloue et assigne automatiquement une adresse MAC celui ci Pour obtenir cette adresse MAC Logical Domains Manager essaie de s lectionner une adresse de fa on it rative puis v rifie les conflits potentiels Avant de s lectionner une adresse potentielle Logical Domains Manager regarde d abord s il dispose d une adresse assign e automatiquement et lib r e r cemment enregistr e dans une base de donn es d di e cet effet voir Adresses MAC lib r es la page 77 Si c est le cas Logical Domains Manager s lectionne son adresse candidate partir de la base de donn es Chapitre 5 Informations et t ches compl mentaires 75 Si aucune adresse lib r e r cemment n est disponible l adresse MAC est s lectionn e de fa on al atoire dans une plage de 256 K d adresses r serv es
37. swap 7 Une fois l installation termin e cr ez l image instantan e du syst me de fichiers zfs snapshot ldomspool ldgl initial Remarque La cr ation de l instantan avant le red marrage du domaine n enregistre pas l tat du domaine dans l instantan ou dans les clones cr s partir de l instantan 8 Cr ez des clones suppl mentaires partir de l instantan et utilisez celui ci en tant que disque d initialisation pour d autres domaines 1492 et 1493 dans cet exemple zfs clone ldomspool 1ldg1 initial ldomspool ldg2 zfs clone ldomspool 1ldg1 initial ldomspool 1dg3 9 V rifiez que tout a t cr correctement zfs list NAME USED AVAIL REFER MOUNTPOINT ldomspool 1 07G 2 84G 28 5K ldomspool ldomspool ldg1 1 03G 2 84G 1 00G ldomspool ldg1 1ldomspool ldg1 initial 23 0M 1 00G ldomspool 1ldg2 23 2M 2 84G 1 00G ldomspool lag2 ldomspool 1dg3 21 0M 2 84G 1 00G ldomspool lag3 Remarque Assurez vous que le pool ZFS dispose d un espace suffisant pour les clones cr s ZFS utilise la copie criture et emploie l espace du pool uniquement lorsque les blocs sont modifi s dans le clone M me apr s l initialisation du domaine les clones n utilisent qu un faible pourcentage n cessaire pour le disque puisque la plupart des fichiers binaires du syst me d exploitation sont identiques ceux de l instantan initial Chapitre 5 Informations et t ches compl mentaires 103
38. switch 0 prog promisc Chapitre 5 Informations et t ches compl mentaires 61 EXEMPLE DE CODE 5 4 Liste longue pour tous les domaines suite vswl 08 00 20 aa bb el routed VDS NAME VOLUME OPTIONS DEVICE vds0 myvol a slice disk a myvol b disk b myvol c ro slice excl disk c vds1 myvol d disk d VDPCS NAME vdpcs0 vdpcsi NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME ldg1 bound 5000 1 512M VCPU VID PID UTIL STRAND 0 1 100 MEMORY RA PA SIZE 0x4000000 0x34000000 512M NETWORK NAME SERVICE DEVICE MAC mynet b vsw0 primary network 0 08 00 20 ab 9a 12 mynet a vsw0 primary network 1 08 00 20 ab 9a 11 DISK NAME VOLUME DEVICE SERVER mydisk a myvol a vds0 disk O primary mydisk b myvol b vds0 disk 1 primary VDPCC NAME SERVICE myvdpcc a vdpcs0 primary myvdpcc b vdpcs0 primary VCONS NAME SERVICE PORT mygroup vcec0 primary 5000 62 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure de g n ration d une liste tendue e Pour g n rer une liste tendue pour tous les domaines proc dez comme suit EXEMPLE DE CODE 5 5 Liste tendue pour tous les domaines primaryS ldm list e NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active t cv 1 768M 0 0 Os VCPU VID PID UTIL STRAND 0 0 0 0 100 MEMORY RA PA SIZE 0x4000000 0x4000000 768M IO DEVICE PSEUDONYM OPTIONS pci 780
39. txt It will not take effect until the next reboot Before rebooting make sure SSH or the serial line is setup for use after the reboot Installation des logiciels Logical Domains Manager 1 0 2 et Solaris Security Toolkit 4 2 a l aide de JumpStart Reportez vous au manuel JumpStart Technology Effective Use in the Solaris Operating Environment pour obtenir toutes les informations sur l utilisation de JumpStart Attention Ne vous d connectez pas de la console virtuelle durant une installation r seau V Proc dure d installation d un serveur JumpStart m Si vous avez d j install un serveur JumpStart passez la section Proc dure d installation l aide du logiciel JumpStart la page 31 du guide d administration m Si vous n avez pas encore install de serveur JumpStart vous devez le faire 30 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Reportez vous au Solaris 10 11 06 Installation Guide Custom JumpStart and Advanced Installation pour obtenir toutes les informations sur cette proc dure Ce guide d installation est disponible l adresse suivante http docs sun com app docs doc 819 6397 1 Reportez vous au chapitre 3 Preparing Custom JumpStart Installations Tasks du Solaris 10 11 06 Installation Guide Custom JumpStart and Advanced Installation et effectuez les op rations suivantes a Consultez la liste des taches de la section Task Map Preparing Custom
40. une installation JumpStart placez le dans le r pertoire JASS_PACKAGE_MOUNT d fini dans le fichier user init Par exemple cp r path to LDoms Manager 1 0 _2 Product SUNWjass jumpstart opt SUNWjass Packages 7 Pour installer le package Solaris Security Toolkit SUNW1dm v sur le syst me cible lors d une installation JumpStart placez le dans le r pertoire JASS_PACKAGE_MOUNT d fini dans le fichier user init partir de la zone de t l chargement Par exemple cp r path to LDoms_Manager 1_0_2 Product SUNW1dm v jumpstart opt SUNWjass Packages 8 En cas de probl me avec un serveur JumpStart multir seau modifiez les deux entr es suivantes dans le fichier user init JASS_PACKAGE_MOUNT et JASS_PATCH_MOUNT afin d indiquer le chemin d acc s correct aux r pertoires JASS_HOME_DIR Patches et JASS_HOME_DIR Packages Reportez vous au fichier user init SAMPLE pour plus d informations 9 Utilisez le pilote de base 1dm_ control secure driver pour le domaine de contr le de Logical Domains Manager Reportez vous au chapitre 4 du Solaris Security Toolkit 4 2 Reference Manual pour en savoir plus sur la modification et l utilisation de ce pilote secure driver est le pilote principal du logiciel Solaris Security Toolkit il est l homologue du pilote 1dm_ control secure driver 10 Une fois les modifications du pilote 1dm_control secure driver effectu es indiquez une entr e correcte dans le fichier de r gles
41. voir assign es un domaine particulier Soit vous obtenez que toutes les ressources demand es soient ajout es un domaine soit vous n en obtenez aucune en fonction de leur disponibilit La sous commande list constraints liste les ressources que vous avez demand es pour tre assign es au domaine V Proc dure de listage des contraintes pour un domaine Pour lister les contraintes pour un domaine par exemple 1dg1 proc dez comme suit EXEMPLE DE CODE 5 13 Listage des contraintes pour un domaine primary s ldm list constraints 1dg1 DOMAIN ldg1 VCPU COUNT 1 MEMORY SIZE 512M NETWORK Chapitre 5 Informations et t ches compl mentaires 69 EXEMPLE DE CODE 5 13 Listage des contraintes pour un domaine suite NAME SERVICE DEVICE MAC mynet b vsw0 network 0 08 00 20 ab 9a 12 mynet b vsw0 network 0 08 00 20 ab 9a 12 DISK NAME VOLUME mydisk a myvol a vds0 mydisk b myvol b vds0 VDPCC NAME SERVICE myvdpcc a vdpcs0 primary myvdpcc b vdpcs0 primary VCONS NAME SERVICE mygroup vec0 V Proc dure de listage des contraintes au format XML Pour lister les contraintes au format XML pour un domaine particulier par exemple 1dg1 proc dez comme suit EXEMPLE DE CODE 5 14 Contraintes pour un domaine au format XML primary s ldm list constraints x ldg1 lt xml version 1 0 gt lt LDM_interface version 1 0 gt lt data version 2 0 gt lt ldom
42. vsw0 primary PEER MAC vsw0 primary 08 00 20 mynet a ldg1 08 00 20 mynet c ldg2 08 00 20 NAME SERVICE mynet a vsw0 primary PEER MAC vsw0 primary 08 00 20 mynet b ldg1 08 00 20 mynet c ldg2 08 00 20 DISK NAME VOLUME mydisk a myvol a vds0 mydisk b myvol b vds0 VDPCC NAME SERVICE myvdpcc a vdpcs0 primary myvdpcc b vdpcs0 primary VCONS NAME SERVICE mygroup vcec0 primary 512M DEVICE network 0 aa bb e0 ab 9a 11 ab 9a 22 DEVICE network 1 aa bb e0 ab 9a 12 ab 9a 22 DEVICE disk O disk 1 PORT 5000 UTIL UPTIME MAC 08 00 20 ab 9a 12 MAC 08 00 20 ab 9a 11 SERVER primary primary 66 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure de listage des configurations Pour lister des configurations de domaine logique stock es sur le contr leur syst me proc dez comme suit EXEMPLE DE CODE 5 10Listage de configurations primary s ldm list config factory default current initial next Signification des libell s Les libell s droite du nom de la configuration ont la signification suivante m current configuration actuellement utilis e m next configuration utilis e la prochaine remise sous tension V Proc dure de listage des p riph riques Pour lister toutes les ressources d un serveur li es ou dissoci es proc dez comme suit EXEMPLE DE CODE 5 11Listage de toutes les ressources du serveur primary
43. 0 primary 3 Cr ez un service de commutateur virtuel vsw pour activer la mise en r seau des p riph riques r seau virtuels vnet dans des domaines logiques Affectez un adaptateur r seau conforme la norme GLDv3 au commutateur virtuel si chaque domaine logique doit communiquer vers l ext rieur via le commutateur virtuel La commande suivante par exemple ajoute un service de commutateur virtuel primary vsw0 sur le pilote de l adaptateur r seau e1000g0 du domaine de contr le primary primary ldm add vsw net dev e1000g0 primary vsw0 primary Cette commande affecte automatiquement une adresse MAC au commutateur virtuel Vous pouvez si vous le souhaitez indiquer votre propre adresse MAC dans la commande 1dm add vsw Sachez toutefois que dans ce cas vous devez vous assurer que l adresse MAC indiqu e n entre pas en conflit avec une adresse MAC existante Si le commutateur virtuel que vous avez ajout remplace l adaptateur physique sous jacent en tant qu interface de r seau principale vous devez lui affecter l adresse MAC de l adaptateur physique afin que le serveur DHCP Dynamic Host Configuration Protocol puisse affecter la m me adresse IP au domaine Pour plus d informations reportez vous la section Activation de la mise en r seau du domaine de contr le service et des autres domaines la page 46 primaryS ldm add vsw mac addr 2 04 4f fb 9f 0d net dev e1000g0 primary vsw0 primary
44. 00 0xe816000 EXEMPLE DE CODE 5 16 Longue liste analysable de configurations de domaines logiques primary s ldm 1s 1 p VERSION 1 0 DOMAIN name primary state active flags normal control vio service cons SP ncpu 4 mem 1073741824 util 0 6 uptime 64801 softstate Solaris running VCPU vid 0 pid 0 util 0 9 strand 100 vid 1 pid 1 util 0 5 strand 100 vid 2 pid 2 util 0 6 strand 100 vid 3 pid 3 util 0 6 strand 100 MEMORY ra 0x8000000 pa 0x8000000 size 1073741824 IO dev pci 780 alias bus_a dev pci 7c0 alias bus_b VDS name primary vds0 nclients 2 vol disk 1dg1 opts dev opt ldoms testdisk 1 vol disk 1dg2 opts dev opt ldoms testdisk 2 VCC name primary vcc0 nclients 2 port range 5000 5100 VSW name primary vsw0 nclients 2 mac addr 00 14 4f fb 42 5c net dev e1000g0 dev switch 0 mode prog promise VCONS type SP DOMAIN name 1dg1 state active flags normal cons 5000 ncpu 2 mem 805306368 util 29 uptime 903 softstate Solaris running VCPU vid 0 pid 4 util 29 strand 100 vid 1 pid 5 util 29 strand 100 MEMORY ra 0x8000000 pa 0x48000000 size 805306368 VARIABLES auto boot true 80 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 EXEMPLE DE CODE 5 16 Longue liste analysable de configurations de domaines logiques suite boot device virtual devices 100 channel devices 200 disk 0 VNET name net dev network 0 servi
45. 070208142843 jass install log txt It will not take effect until the next reboot Before rebooting make sure SSH or the serial line is setup for use after the reboot EXEMPLE DE CODE 3 3 Exemple de message de choix de profil de configuration personnalis Install install ldm Welcome to the LDoms installer You are about to install the domain manager package that will enable you to create destroy and control other domains on your system Given the capabilities of the domain manager you can now change the security configuration of this Solaris instance using the Solaris Security Toolkit 26 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 EXEMPLE DE CODE 3 3 Exemple de message de choix de profil de configuration personnalis suite Select a security profile from this list a Hardened Solaris configuration for LDoms recommended b Standard Solaris configuration c Your custom defined Solaris security configuration profile Enter a b or c al Choose a Solaris Security Toolkit driver configuration profile from this list 1 ldm_control secure driver 2 secure driver 3 server secure driver 4 suncluster3x secure driver 5 sunfire_15k_sc secure driver Enter a number 1 to 5 2 The driver you selected may not perform all the LDoms specific operations specified in the LDoms Administration Guide Is this OK yes no no y The changes made by selecting this option can be
46. 5 Informations et t ches compl mentaires 91 TABLEAU 5 1 Comportement pr vu pour la halte ou le red marrage du domaine de contr le primary suite Mise en Autre domaine domaine Commande activ e configur Comportement shutdown i 5 D sactiv S O Pour les processeurs Sun UltraSPARC T1 Met l h te hors tension Activ Non H te mis hors tension et demeure teint jusqu la remise sous tension sur le SC Activ Oui R initialisation chaud et red marrage Certaines options de la commande format 1M ne fonctionnent pas avec des disques virtuels La commande format 1M du SE Solaris ne fonctionne pas sur un domaine h te avec des disques virtuels a Certaines sous commandes telles que label verify ou inquiry chouent avec des disques virtuels m La commande format 1M risque d afficher des messages tels que Inquiry failed a Disk unformatted Current disk is unformatted Drive type unknown m La commande format 1M s arr te brutalement lorsque vous s lectionnez un disque virtuel qui porte une tiquette de disque EFI extensible firmware interface interface de microprogramme extensible m Si vous ex cutez la commande format 1M sur un domaine h te tous les disques virtuels sont vus comme non format s m me s ils sont correctement format s et poss dent une tiquette de disque valide Pour obtenir ou d finir la table des mati res de volume VTOC d un disque virtuel utilisez la
47. EVICE MAC primary vsw0 primary network 0 00 14 4f f8 91 4f primary vsw0 primary network 2 00 14 4f f8 dd 68 L instance de p riph rique r seau virtuel pour net c est network 2 Chapitre 5 Informations et t ches compl mentaires 73 2 Pour trouver l interface r seau correspondant 1dg1 connectez vous 1dg1 et trouvez l entr e pour cette instance sous devices uname n ldg1 find devices virtual devices 100 type c name network 2 d evices virtual devices 100 channel devices 200 network 2 vnet1 Le nom de l interface r seau est la partie de l entr e apr s les deux points en l occurrence vnet1 3 Raccordez vnet1 pour voir son adresse MAC 00 14 4f f8 dd 68 comme indiqu dans le r sultat de la commande 1dm list 1 pour net c dans l tape 1 ifconfig vnet1 vnet1 flags 1000842 lt BROADCAST RUNNING MULTICAST IPv4 gt mtu 1500 index 3 inet 0 0 0 0 netmask 0 ether 0 14 4f 8 dd 68 Assignation des adresses Mac automatiquement ou manuellement Vous devez disposer de suffisamment d adresses MAC Media Access Control contr le d acc s aux m dias pour le nombre de domaines logiques de commutateurs virtuels et de r seaux virtuels que vous allez utiliser Logical Domains Manager peut assigner automatiquement des adresses MAC a un domaine logique a un r seau virtuel vnet et un commutateur virtuel vswitch mais vous pouvez aussi les assigner manuellement a partir de votr
48. MMU E S sur un bus PCI a la page 85 pour savoir si vous devez activer le mode vitement 9 Red marrez le domaine 1dg1 pour que le changement prenne effet Tous les domaines doivent tre inactifs pour ce red marrage Si c est la premi re fois que vous configurez ce domaine il est inactif 1dg1 shutdown i6 g0 y 10 Confirmez que le n ud terminal correct est toujours assign au domaine primary et que le n ud terminal correct est assign au domaine 1dg1 primary ldm list bindings primary NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active n cv SP 4 4G 0 4 18h 25m IO DEVICE PSEUDONYM OPTIONS pci 7c0 bus_b NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME ldg1 active n 5000 4 2G 10 35m IO DEVICE PSEUDONYM OPTIONS pci 780 bus_a Ce r sultat confirme que le n ud terminal PCI E bus_b et les p riph riques au dessous de celui ci sont assign s au domaine primary et que bus_ a et ses p riph riques sont assign s au domaine ldg1 84 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Activation du mode vitement MMU E S sur un bus PCI Si vous avez une carte Infiniband HCA Host Channel Adapter il vous faudra peut tre activer le mode d vitement de l unit de gestion m moire MMU Memory Management Unit E S Par d faut le logiciel Logical Domains contr le les transactions PCI E de telle sorte qu un p riph rique E
49. NFS Network File System Obligatoire disable sma fin laisse l agent SMA System Management Agent NET SNMP activ Facultatif disable ssh root login fin la connexion ssh root ne peut pas tre d sactiv e set term type fin script h rit inutile Facultatif Minimisation des domaines logiques Vous pouvez configurer le SE Solaris avec un certain nombre de packages en fonction de vos besoins La minimisation permet de r duire au strict minimum le nombre de packages requis pour ex cuter les applications souhait es Ce processus est important car il permet de r duire le nombre de logiciels susceptibles de pr senter des risques et de limiter les taches relatives a l application des patchs aux logiciels lorsque cela s av re n cessaire Le processus de minimisation d un domaine logique prend en charge le logiciel JumpStart pour installer le SE Solaris minimis avec tous les domaines Le logiciel Solaris Security Toolkit fournit un profil JumpStart minimal 1ldm_control profile pour minimiser le domaine logique pour LDoms et installer tous les packages du SE Solaris pour prendre en charge LDoms et LDoms MIB Pour utiliser LDoms MIB sur le domaine de contr le vous devez ajouter ce package s par ment apr s avoir install LDoms et Solaris Security Toolkit Il n est pas install automatiquement avec les autres logiciels Reportez vous au Guide d administration Logical Domains LDoms MIB 1 0 2 pour plu
50. NPATH Elles se pr sentent toutes deux de la mani re suivante PATH S PATH opt SUNWldm bin export PATH for Bourne or K shell MANPATH SMANPATH opt SUNWldm man export MANPATH set PATH SPATH opt SUNWldm bin for C shell set MANPATH SMANPATH opt SUNW1dm man OP Ur Ur oe Entr e Sortie virtuelle Dans un environnement Logical Domains un administrateur peut placer jusqu 32 domaines sur un serveur Sun Fire ou SPARC Enterprise T1000 ou T2000 Bien qu il soit possible d affecter des CPU et de la m moire d di es chaque domaine en raison du nombre limit de bus d E S et d emplacements d E S physiques dans ces syst mes il est impossible de fournir un acc s exclusif au disque et aux p riph riques r seau tous les domaines M me s il est possible de partager certains p riph riques physiques en scindant le bus PCI Express PCI E en deux voir section Configuration du bus Split PCI Express pour utiliser plusieurs domaines logiques la page 81 cela reste insuffisant pour fournir tous les domaines un acc s exclusif aux p riph riques L impl mentation d un mod le d E S virtualis permet de pallier au manque d acc s direct aux p riph riques d E S physiques Les domaines logiques sans acc s direct d E S sont configur s avec des p riph riques d E S virtuels qui communiquent avec un domaine de service ex cutant un service pour exporter l acc s un p riph rique physique ou ses
51. Noms des commandes fichiers Modifiez le fichier login et r pertoires Messages Utilisez 1s a pour afficher la liste de apparaissant l cran tous les fichiers vous avez du courrier AaBbCc123 Ce que l utilisateur tape par su opposition aux messages Mot de passe apparaissant l cran AaBbCc123 Titres de guide nouveaux mots Consultez le chapitre 6 du Guide de ou termes mots mettre en valeur Remplacez les variables de ligne de commande par les noms ou les valeurs appropri s l utilisateur Il s agit d options de classe Pour supprimer un fichier entrez rm nomfichier Les param tres de votre navigateur peuvent tre diff rents Documentation connexe Le Guide d administration Logical Domains LDoms 1 0 2 et les Notes de version sont disponibles l adresse suivante Pr face xix http docs sun com Le manuel Beginners Guide to LDoms Understanding and Deploying Logical Domains Software est disponible sur le site Sun BluePrints l adresse suivante http www sun com blueprints 0207 820 0832 html Des documents relatifs votre serveur votre logiciel et votre syst me d exploitation Solaris sont disponibles a l adresse suivante http docs sun com Entrez le nom du serveur du logiciel ou du SE Solaris dans le champ Search pour rechercher les documents dont vous avez besoin Num ro Em de place Application Titre r f rence Format ment Notes de version LD
52. PARC trademarks are used under license and are trademarks or registered trademarks of SPARC International Inc in the U S and other countries Products bearing SPARC trademarks are based upon architecture developed by Sun Microsystems Inc The Adobe PostScript logo is a trademark of Adobe Systems Incorporated Products covered by and information contained in this service manual are controlled by U S Export Control laws and may be subject to the export or import laws in other countries Nuclear missile chemical biological weapons or nuclear maritime end uses or end users whether direct or indirect are strictly prohibited Export or reexport to countries subject to U S embargo or to entities identified on U S export exclusion lists including but not limited to the denied persons and specially designated nationals lists is strictly prohibited DOCUMENTATION IS PROVIDED AS IS AND ALL EXPRESS OR IMPLIED CONDITIONS REPRESENTATIONS AND WARRANTIES INCLUDING ANY IMPLIED WARRANTY OF MERCHANTABILITY FITNESS FOR A PARTICULAR PURPOSE OR NON INFRINGEMENT ARE DISCLAIMED EXCEPT TO THE EXTENT THAT SUCH DISCLAIMERS ARE HELD TO BE LEGALLY INVALID Copyright 2008 Sun Microsystems Inc 4150 Network Circle Santa Clara California 95054 Etats Unis Tous droits r serv s Sun Microsystems Inc d tient les droits de propri t intellectuels relatifs la technologie incorpor e dans le produit qui est d crit dans ce document En particulier
53. Sun microsystems Guide d administration Logical Domains LDoms 1 0 2 Sun Microsystems Inc www sun com R f rence 820 4450 10 F vrier 2008 R vision 01 Faites nous part de vos commentaires l adresse suivante http www sun com hwdocs feedback Copyright 2008 Sun Microsystems Inc 4150 Network Circle Santa Clara California 95054 U S A All rights reserved Sun Microsystems Inc has intellectual property rights relating to technology embodied in the product that is described in this document In particular and without limitation these intellectual property rent may include one or more of the U S patents listed at http www sun com patents and one or more additional patents or pending patent applications in the U S and in other countries U S Government Rights Commercial software Government users are subject to the Sun Microsystems Inc standard license agreement and applicable provisions of the FAR and its supplements Parts of the e produet may be derived from Berkeley BSD systems licensed from the University of California UNIX is a registered trademark in the U S and in other countries exclusively licensed through X Open Company Ltd Sun Sun Microsystems the Sun logo Java Solaris JumpStart OpenBoot Sun Fire Netra SunSolve Sun BluePrints Sun Blade Sun Ultra and SunVTS are service marks trademarks or registered trademarks of Sun Microsystems Inc in the U S and other countries All S
54. Vous pouvez noter que l tat du domaine primary est active ce qui signifie que Logical Domains Manager est en cours d ex cution opt SUNW1dm bin 1ldm list NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active c SP 32 3264M 0 3 19d 9m 36 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Cr ation des profils et des autorisations et affectation de r les aux comptes utilisateurs Pour d finir des autorisations et des profils et affecter des r les aux comptes utilisateurs vous devez utiliser le RBAC Role Based Access Control contr le d acc s bas sur les r les du SE Solaris adapt au logiciel Logical Domains Manager Reportez vous au document Solaris 10 System Administrator Collection pour en savoir plus sur le RBAC Il existe deux niveaux d autorisation pour le logiciel Logical Domains Manager m Lecture seule vous pouvez afficher mais pas modifier la configuration Lecture Ecriture vous pouvez afficher et modifier la configuration Les entr es relatives a Logical Domains indiqu es ci apr s sont ajout es automatiquement au fichier etc security auth_attr du SE Solaris m solaris ldoms LDom administration m solaris ldoms grant Delegate LDom configuration m solaris ldoms read View LDom configuration m solaris ldoms write Manage LDom configuration Gestion des autorisations utilisateurs V Proc dure d attribution d un
55. actuelle bootmode normal reset_nvram bootscript strong config config name L option config nom config vous permet de d finir une autre configuration a la prochaine mise sous tension dont la configuration de livraison factory default Vous pouvez invoquer la commande que l h te soit sous tension ou hors tension Elle prendra effet la prochaine r initialisation ou mise sous tension de l h te Chapitre 5 Informations et t ches compl mentaires 93 Vv Proc dure de r initialisation de la configuration du domaine logique a celle par d faut ou a une autre Pour r initialiser la configuration du domaine logique la prochaine mise sous tension selon la configuration par d faut de livraison ex cutez cette commande dans le logiciel ALOM CMT sc gt bootmode config factory default Vous pouvez galement s lectionner d autres configurations cr es avec Logical Domains Manager a l aide de la commande 1dm add config et enregistr es sur le contr leur syst me SC Le nom que vous sp cifiez dans la commande Logical Domains Manager 1dm add config peut tre utilis pour s lectionner la configuration avec la commande ALOM CMT bootmode Par exemple supposons que vous ayez enregistr la configuration sous le nom 1dm config1 sc gt bootmode config ldm config1 Reportez vous a la page de manuel 1dm 1M ou au Logical Domains LDoms Manager 1 0 2 Man Page Guide pour plus d informati
56. al Domains Manager Il est con u pour fournir moins de services syst me qu un pilote de domaine standard du SE Solaris il r serve le domaine de contr le pour les op rations du logiciel Logical Domains Manager et non pour des op rations d ordre g n ral Le script install 1ldm installe si ce n est pas d j fait et active le logiciel Logical Domains Manager Vous trouverez ci apr s un r sum des principales modifications effectu es par le pilote secure driver m L ex cution du serveur Telnet est d sactiv e Vous pouvez utiliser le shell s curis ssh la place Vous avez toujours la possibilit d utiliser le client Telnet pour acc der aux consoles virtuelles lanc es par le d mon du serveur de terminal r seau virtuel Logical Domains vntsd Par exemple pour acc der une console virtuelle en cours d ex cution sur le syst me local et dont le port d coute est TCP 5001 entrez la commande suivante telnet localhost 5001 Reportez vous la section Activation du d mon de Logical Domains Manager la page 36 pour obtenir des instructions sur l activation du d mon vntsd Il n est pas activ automatiquement Les scripts finish suivants ont t ajout s Ils permettent d installer et de lancer Logical Domains Manager Vous devez galement ajouter certains de ces scripts aux pilotes personnalis s d autres en revanche sont facultatifs Les scripts portent la mention Obligatoire ou Faculta
57. ant rieure de SUNWjass au cours de l installation vous devez alors la supprimer Vous n avez pas annuler les s curisations pr c dentes du SE Solaris a Il installe le logiciel Logical Domains Manager 1 0 2 package SUNW1dm Il installe le logiciel Solaris Security Toolkit 4 2 ainsi que les patchs n cessaires package SUNWjass Il v rifie que tous les packages sont install s a Il active le d mon de Logical Domains Manager 1dmd a Il s curise le SE Solaris sur le domaine de contr le l aide du pilote 1dm_control secure driver du logiciel Solaris Security Toolkit ou de l un des autres pilotes dont le nom se termine par secure driver que vous avez s lectionn a Si vous lancez le script install 1dm avec l option d vous pouvez alors sp cifier un pilote Solaris Security Toolkit autre que celui dont le nom se termine par secure driver Le script ex cute alors toutes les fonctions r pertori es pr c demment et effectue galement l op ration suivante a Il s curise le SE Solaris sur le domaine de contr le l aide du pilote Solaris Security Toolkit personnalis que vous avez sp cifi par exemple server secure myname driver Si vous lancez le script instal1 1dm avec l option d en sp cifiant none le SE Solaris ex cut sur le domaine de contr le ne sera pas s curis l aide du logiciel Solaris Security Toolkit Le script ex cute toutes les fonctions r pertori es pr c demment l excep
58. ar le serveur de disque virtuel Il peut s agir d un disque entier d une tranche de disque d un fichier ou d un volume de disque Virtual network device p riph rique r seau virtuel qui impl mente un p riph rique Ethernet virtuel et communique avec d autres p riph riques vnet du syst me l aide du commutateur r seau virtuel vswitch Virtual network terminal server daemon d mon du serveur de terminal r seau virtuel des consoles Logical Domains SE Solaris 10 Virtual network switch commutateur r seau virtuel qui connecte les p riph riques r seau virtuels au r seau externe et commute les paquets entre eux Volume table of contents tables des mati res du volume Abr viation de Veritas Volume Manager Wide Area Network r seau tendu Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 XFP Abr viation de eXtreme Fast Path XML Extensible Markup Language langage de balisage extensible Z ZFS Zettabyte File System syst me de fichiers zettaoctet SE Solaris 10 zpool 1M Pool de stockage ZFS Glossaire 119 120 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008
59. art normal filesys citid0s0 free filesys cit1d0s1 2048 swap filesys cit1d0s5 120 sparel filesys cit1d0s6 120 spare2 Les noms de p riph riques de disque virtuels d un domaine logique diff rent de ceux des p riph riques de disque physiques ils ne contiennent pas d ID cible tN Au lieu de se pr senter dans le format cNt NdNsN les noms de p riph riques de disque virtuels se pr sentent dans le format cNdNsN cN repr sente le contr leur virtuel dN repr sente le num ro du disque et sN repr sente la tranche Modifiez votre profil JumpStart afin d appliquer cette modification comme dans l exemple de profil suivant Profil utilis pour un domaine logique filesys c0d0s0 free filesys c0d0s1 2048 swap filesys c0d0s5 120 sparel filesys c0d0s6 120 spare2 Chapitre 4 Configuration des services et des domaines logiques 53 54 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 CHAPITRE 5 Informations et taches compl mentaires Ce chapitre d crit des concepts et des op rations concernant l utilisation du logiciel Logical Domains qui ne sont pas trait s dans les chapitres pr c dents Limitations pour la saisie des noms dans l interface de ligne de commande Les sections suivantes d crivent les limitations relatives la saisie des noms dans l interface de ligne de commande de Logical Domains Manager Noms de fichier file et noms de variable var_name m Le pr
60. bus_a pci 7c0 bus_b bypass on VLDC NAME primary VCC NAME PORT RANGE veco 5000 5100 VSW NAME MAC NET DEV DEVICE MODE vsw0 08 00 20 aa bb e0 e1000g0 switch O prog promisc vswl 08 00 20 aa bb el routed VDS NAME VOLUME OPTIONS DEVICE vds0 myvol a slice disk a myvol b disk b myvol c ro slice excl disk c vds1 myvol d disk d VDPCS NAME vdpcs0 vdpcsi VLDCC Chapitre 5 Informations et t ches compl mentaires 63 EXEMPLE DE CODE 5 5 Liste tendue pour tous les domaines suite NAME SERVICE DESC hvctl primary primary hvctl vldccO0 primary primary ds NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME ldg1 bound 5000 1 512M VCPU VID PID UTIL STRAND 0 1 100 MEMORY RA PA SIZE 0x4000000 0x34000000 512M VLDCC NAME SERVICE DESC vldccO primary primary ds NETWORK NAME SERVICE DEVICE MAC mynet b vsw0 primary network 0 08 00 20 ab 9a 12 mynet a vsw0 primary network 1 08 00 20 ab 9a 11 DISK NAME VOLUME DEVICE SERVER mydisk a myvol a vds0 disk O primary mydisk b myvol b vds0 disk 1 primary VDPCC NAME SERVICE myvdpcc a vdpcs0 primary myvdpcc b vdpcs0 primary VCONS NAME SERVICE PORT mygroup vcec0 primary 5000 64 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure de g n ration d une liste lisible et analysable par une machine p Pour g n rer une liste lisible et analysable par une machine pour tous les domaines proc d
61. ce primary vsw0 primary mac addr 00 14 4f 9 8f e6 VDISK name vdisk 1 vol disk 1ldg1 primary vds0 dev disk 0 server primary VCONS group group1 service primary vcc0 primary port 5000 DOMAIN name 1dg2 state active flags normal cons 5001 ncpu 3 mem 1073741824 util 35 uptime 775 softstate Solaris running VCPU vid 0 pid 6 util 35 strand 100 vid 1 pid 7 util 34 strand 100 vid 2 pid 8 util 35 strand 100 MEMORY ra 0x8000000 pa 0x78000000 size 1073741824 VARIABLES auto boot true boot device virtual devices 100 channel devices 200 disk 0 VNET name net dev network 0 service primary vsw0 primary mac addr 00 14 4f f9 8f e7 VDISK name vdisk 2 vol disk 1ldg2 primary vds0 dev disk 0 server primary VCONS group group2 service primary vcc0 primary port 5000 Configuration du bus Split PCI Express pour utiliser plusieurs domaines logiques Remarque Pour les serveurs Sun UltraSPARC T 2 tels que Sun SPARC Enterprise T5120 et T5220 vous assigneriez une unit d interface r seau NIU Network Interface Unit au domaine logique plut t qu utiliser cette proc dure Le bus PCI E PCI Express sur un serveur Sun UltraSPARC T1 comprend deux ports avec plusieurs p riph riques terminaux qui leur sont connect s Ceux ci sont identifi s sur un serveur avec les noms pci 780 bus_a et pci 7c0 bus_b Dans un environnement avec plusieurs domaines le bus PCI E pe
62. chine Voir la section Proc dure de g n ration d une liste lisible et analysable par une machine p la page 65 pour plus d informations 56 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure d affichage de la syntaxe utiliser pour les sous commandes 1dm Pour voir l utilisation de la syntaxe pour toutes les sous commandes 1dn proc dez comme suit EXEMPLE DE CODE 5 1 Utilisation de la syntaxe pour les toutes sous commandes 1dm primary ldm help Usage 1dm help command options properties operands Command s for each resource aliases in parens bindings list bindings e p lt ldom gt services list bindings e p lt ldom gt constraints list constraints x e p lt ldom gt devices list devices a p cpu mau memory io domain dom add domain i lt file gt mac addr lt num gt lt ldom gt lt ldom gt remove domain a lt ldom gt list domain e 1 p lt ldom gt start domain start domain a i lt file gt lt ldom gt stop domain stop domain f a lt ldom gt bind domain i lt file gt lt ldom gt unbind domain lt ldom gt panic domain lt ldom gt io add io bypass on lt bus gt lt ldom gt remove io lt bus gt lt ldom gt mau add mau lt number gt lt ldom gt set mau lt number gt lt ldom gt remove mau lt number gt lt ldom g
63. configuration peut ainsi tre g n r e et stock e sur le contr leur syst me sans affecter pour autant l tat de l ordinateur en cours d ex cution et par cons quent sans tre g n e par des restrictions telles que la reconfiguration diff r e et le red marrage des domaines d E S D s qu une reconfiguration diff r e est en cours pour un domaine logique les autres requ tes de reconfiguration de ce domaine logique sont diff r es jusqu a son red marrage ou jusqu son arr t puis son d marrage De m me lorsqu une reconfiguration diff r e est en cours pour un domaine logique cela limite consid rablement l ex cution des requ tes de reconfiguration pour d autres domaines logiques dans ce cas elles chouent et un message d erreur s affiche M me si les tentatives de suppression des p riph riques d E S virtuels sur un domaine logique actif sont g r es en tant qu op ration de reconfiguration diff r e certaines modifications de configuration sont appliqu es imm diatement Cela signifie que le p riph rique arr te de fonctionner une fois l op ration associ e invoqu e via la CLI de Logical Domains Manager La sous commande remove reconf de Logical Domains Manager annule les op rations de reconfiguration diff r e Vous pouvez r pertorier les op rations de reconfiguration diff r e l aide de la commande 1dm 1ist domain Reportez vous a la page de manuel 1dm 1M ou au Logical Domains LDoms Manager 1 0
64. cure myname driver Solaris Security Toolkit hardening executed successfully log file 28 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 EXEMPLE DE CODE 3 4 Exemple de message indiquant l ex cution correcte du script install ldm d suite var opt SUNWjass run 20061114143128 jass install log txt It will not take effect until the next reboot Before rebooting make sure SSH or the serial line is setup for use after the reboot V Proc dure d installation l aide du script install 1dm et de l option d none Ex cutez le script d installation avec l option d none pour ne pas s curiser le syst me l aide d un pilote Solaris Security Toolkit Le script d installation se trouve dans le sous r pertoire Install du package SUNW1dm Install install ldm d none A la fin du processus vous recevez des messages semblables a ceux indiqu s dans l exemple de code 3 5 EXEMPLE DE CODE 3 5 Exemple de message indiquant l ex cution correcte du script install Idm d none Install install ldm d none Installing LDoms and Solaris Security Toolkit packages pkgadd n d var tmp install Product Logical_ Domain Manager a pkg_admin SUNW1dm v Copyright 2006 Sun Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWldm gt was successful pkgadd n d var tmp install Product Solaris_Security_Toolkit a pkg_admin SUNWjass Copyright 2005 S
65. d 2 V rifiez que audit condition auditing appara t dans le r sultat V Proc dure de d sactivation de l audit Vous pouvez d sactiver l audit de deux mani res selon la fa on dont vous l avez activ Pour plus d informations reportez vous la section Activation et utilisation de l audit BSM la page 94 1 Effectuez l une des op rations suivantes a Annulez l ex cution de s curisation de Solaris Security Toolkit qui a activ l audit BSM opt SUNWjass bin jass execute u m Utilisez la commande bsmunconv 1M du SE Solaris etc security bsmunconv 2 Red marrez le SE Solaris pour que la d sactivation de l audit prenne effet V Proc dure d impression du r sultat d audit Utilisez l une des op rations suivantes pour imprimer le r sultat d audit BSM 96 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 m Utilisez les commandes du SE Solaris auditreduce 1M et praudit 1M pour imprimer le r sultat d audit Par exemple auditreduce c vs praudit auditreduce c vs a 20060502000000 praudit a Utilisez la commande du SE Solaris praudit x pour imprimer le r sultat XML V Proc dure de roulement des journaux d audit Utilisez la commande du SE Solaris audit n pour faire un roulement des journaux d audit Configuration du commutateur virtuel et du domaine de service pour NAT et routage Le commutateur virtuel vswitch
66. de metasync metasync d0 Utilisation de disques virtuels lorsque VxVM est install Lorsque le gestionnaire de volume VxVM Veritas Volume Manager est install sur votre syst me vous devez vous assurer que le multiacheminement dynamique DMP Dynamic Multipathing Veritas n est pas activ sur les disques physiques ou les partitions que vous voulez exporter en tant que disques virtuels Sinon vous obtenez une erreur dans var adm messages lors de la liaison d un domaine utilisant un tel disque vd_setup_vd 1di open by name dev dsk c4t12d0s2 errno 16 vds_add_vd Failed to add vdisk ID 0 Vous pouvez v rifier si DMP Veritas est activ en contr lant les informations de multiacheminement dans le r sultat de la commande vxdisk list par exemple vxdisk list Disk 3 Device devicetag type info flags pubpaths guid Disk_3 Disk_3 auto format none online ready private autoconfig invalid block dev vx dmp Disk_3s2 char dev vx rdmp Disk_3s2 106 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 udid site SEAGATES5FST33 6753LSUN3 6G 5FDISKS 5F3032333948303144304E0000 Multipathing information numpaths c4t12d0s2 1 state enabled Si DMP Veritas est activ sur un disque ou une tranche que vous voulez exporter en tant que disque virtuel vous devez d sactiver DMP l aide de la commande vxdmpadm Par exemple vxdmpadm f d
67. des 1dm list 56 R sultat lisible par une machine 56 v Proc dure d affichage de la syntaxe utiliser pour les sous commandes 1dm 57 D finition des indicateurs 59 D finition des statistiques d utilisation 60 vi Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Exemples des diverses listes 60 v Proc dure d affichage des versions des logiciels V 60 v Proc dure de g n ration d une liste courte 61 v Proc dure de g n ration d une liste longue 1 61 v Proc dure de g n ration d une liste tendue e 63 v Proc dure de g n ration d une liste lisible et analysable par une machine p 65 v Proc dure d affichage de l tat d un domaine 65 v Proc dure de listage d une variable 65 v Proc dure de listage des liaisons 66 v Proc dure de listage des configurations 67 v Proc dure de listage des p riph riques 67 v Proc dure de listage des services 69 Listage des contraintes 69 v Proc dure de listage des contraintes pour un domaine 69 v Proc dure de listage des contraintes au format XML 70 v Proc dure de listage des contraintes dans un format lisible par une machine 71 La commande 1dm stop domain peut expirer si le domaine est tr s charg 72 D termination du nom de l interface r seau Solaris correspondant un p riph rique r seau virtuel 73 v Proc dure permettant de trouver le nom de l interface r seau du SE Solaris 73 Assignation des adresses Mac automatiquement ou manuellemen
68. e SE Solaris sur les domaines logiques Le chapitre 3 fournit des proc dures d taill es sur la mise niveau l installation et l activation du logiciel Logical Domains Manager Pr face xvii Le chapitre 4 fournit des proc dures d taill es sur la configuration des services et des domaines logiques Le chapitre 5 fournit des informations et des proc dures suppl mentaires sur l ex cution des t ches courantes pour g rer les domaines logiques l aide du logiciel Logical Domains Le Glossaire r pertorie les abr viations acronymes et termes utilis s avec leur d finition sp cifique aux logiciels LDoms xviii Utilisation des commandes UNIX Ce document ne contient pas d informations sur les commandes UNIX de base ni sur les proc dures telles que le d marrage et l arr t du syst me ou la configuration des p riph riques Pour plus d informations sur ces sujets consultez les ressources suivantes Documentation des logiciels livr s avec votre syst me Documentation du syst me d exploitation Solaris disponible l adresse suivante http docs sur com Guide d administration Logical Domains LDoms 1 0 2 e F vrier 2008 Invites Shell Shell Invite C shell C shell superutilisateur Bourne shell et Korn shell Bourne shell et Korn shell superutilisateur nom ordinateur nom ordinateur Conventions typographiques Police Signification Exemples AaBbCc123
69. e autorisation a un utilisateur Suivez les tapes suivantes pour attribuer des autorisations aux utilisateurs de Logical Domains Manager dans le fichier etc security auth_attr Le superutilisateur dispose d j des autorisations solaris et dispose par cons quent des autorisations solaris ldoms 1 Cr ez un compte utilisateur local pour chaque utilisateur devant utiliser les sous commandes 1dm 1M Chapitre 3 Installation et activation du logiciel 37 Remarque Pour attribuer des autorisations Logical Domains Manager un utilisateur vous devez cr er un compte local non LDAP pour ce dernier Reportez vous au document Solaris 10 System Administrator Collection pour plus d informations ce sujet 2 Effectuez l une des op rations suivantes en fonction des sous commandes 1dm 1M auxquelles vous souhaitez donner acc s l utilisateur Reportez vous au TABLEAU 2 1 pour obtenir la liste des commandes 1dm 1M et conna tre les autorisations utilisateurs correspondantes a Attribuez une autorisation en lecture seule un utilisateur l aide de la commande usermod 1M usermod A solaris ldoms read username m Attribuez une autorisation en lecture criture un utilisateur l aide de la commande usermod 1M usermod A solaris ldoms write username V Proc dure de suppression de toutes les autorisations attribu es un utilisateur Supprimez toutes les autorisations du compt
70. e configuration appliqu es par le logiciel Solaris Security Toolkit opt SUNWjass bin jass execute u Solaris Security Toolkit vous demande d indiquer les s curisations annuler 2 S lectionnez les s curisations annuler Chapitre 3 Installation et activation du logiciel 35 3 Red marrez le syst me pour appliquer la configuration non s curis e usr sbin shutdown y g0 i6 Remarque En cas d annulation d une s curisation effectu e lors d une installation JumpStart vous devez ex cuter les commandes SMF pour red marrer le logiciel Logical Domains Manager et le d mon du serveur de terminal r seau virtuel svcadm enable svc ldoms 1dmd default Activation du d mon de Logical Domains Manager Le script d installation instal1 1dm active automatiquement le d mon de Logical Domains Manager 1dmd Si vous avez install manuellement le logiciel Logical Domains Manager vous devez activer le d mon correspondant 1dmd Ce d mon vous permet de cr er de modifier et de contr ler les domaines logiques V Proc dure d activation du d mon de Logical Domains Manager 1 Utilisez la commande svcadm 1M pour activer le d mon de Logical Domains Manager 1dmd svcadm enable l1dmd 2 Utilisez la commande 1dm list pour v rifier l ex cution de Logical Domains Manager Vous recevez un message similaire celui qui suit qui correspond une configuration factory default
71. e de contr le l aide du logiciel Solaris Security Toolkit vous devez d sactiver plusieurs services du syst me et restreindre l acc s r seau Reportez vous la section Documentation connexe la page xix de ce guide pour rechercher des documents sur Solaris Security Toolkit 4 2 et obtenir plus d informations 1 S curisez le syst me l aide du pilote 1dm_ control secure driver opt SUNWjass bin jass execute d 1dm_control secure driver Vous pouvez utiliser d autres pilotes pour s curiser le syst me Vous pouvez galement personnaliser les pilotes et les adapter en fonction des besoins de s curit de l environnement Reportez vous au Solaris Security Toolkit 4 2 Reference Manual pour plus d informations sur les pilotes et leur personnalisation N R pondez y yes toutes les questions qui s affichent dans les fen tres interactives 3 Arr tez puis red marrez le serveur pour appliquer la s curisation usr sbin shutdown y g0 i6 V Proc dure de validation de la s curisation V rifiez que la s curisation a bien t effectu e par le pilote de s curisation de Logical Domains 1dom_ control secure driver Si vous voulez v rifier via un autre pilote remplacez le nom du pilote comme indiqu dans cet exemple de commande opt SUNWjass bin jass execute a ldom_control secure driver V Proc dure d annulation de la s curisation 1 Annulez les modifications d
72. e diff rence entre les domaines logiques r side dans les r les que vous leur attribuez Les domaines logiques peuvent avoir plusieurs r les TABLEAU 1 1 R les d un domaine logique R le du domaine Description Domaine de Domaine dans lequel s ex cute le logiciel Logical Domains Manager et qui contr le vous permet de cr er et de g rer d autres domaines logiques et d allouer des ressources virtuelles d autres domaines Seul un domaine de contr le est autoris par serveur Le premier domaine cr lors de l installation du logiciel Logical Domains s appelle primary Domaine de Domaine qui fournit des services de p riph rique virtuel d autres service domaines comme un commutateur virtuel un concentrateur de consoles virtuelles et un serveur de disque virtuel Domaine d E S Domaine propri taire des p riph riques d E S physiques comme une carte r seau d un contr leur PCI Express et ayant un acc s direct ceux ci Si le domaine d E S est galement domaine de contr le il partage alors les p riph riques avec d autres domaines sous forme de p riph riques virtuels Le nombre de domaines d E S autoris d pend de l architecture de votre plate forme Par exemple si vous utilisez un processeur Sun UltraSPARC T1 vous pouvez avoir au maximum deux domaines d E S l un d entre eux devant galement servir de domaine de contr le Domaine h te Domaine g r par le domaine de contr le et qui utilise les servic
73. e la panne mat rielle r seau LDom_A peut d tecter une panne de r seau virtuel et d clencher un basculement suite une interruption brutale ou un arr t du domaine de service FIGURE 5 2 Connexion des p riph riques r seau virtuels diff rents domaines de service Reportez vous la documentation Solaris 10 Guide d administration syst me services IP pour en savoir plus sur la configuration et l utilisation des groupes IPMP Chapitre 5 Informations et t ches compl mentaires 109 110 Configuration et utilisation d IPMP dans un domaine de service Il est galement possible de configurer la d tection de panne r seau et la reprise dans un environnement Logical Domains en configurant les interfaces physiques en groupe IPMP dans le domaine de service Pour cela configurez le commutateur virtuel dans le domaine de service en tant que p riph rique r seau puis configurez le domaine de service pour qu il agisse en tant que routeur IP Reportez vous la documentation Solaris 10 Guide d administration syst me services IP pour plus d informations sur la configuration du routage IP Une fois configur le commutateur virtuel envoie tous les paquets manant des r seaux virtuels et destin s une machine externe sa couche IP au lieu de les envoyer directement via le p riph rique physique En cas de panne d une interface physique la couche IP d tecte la panne et r achemine automatiqueme
74. e propre pool d adresses MAC assign es Les sous commandes 1dm qui d finissent les adresses MAC sont add domain add vsw set vsw add vnet et set vnet Si vous ne sp cifiez aucune adresse MAC dans ces sous commandes Logical Domains Manager en assigne une automatiquement L avantage lorsque Logical Domains Manager assigne les adresses MAC est qu il utilise le bloc d adresses MAC d di es pour l utilisation avec les domaines logiques Par ailleurs Logical Domains Manager d tecte et vite les conflits d adresses MAC avec d autres instances de Logical Domains Manager sur le m me sous r seau Cela vous lib re de la gestion manuelle de votre pool d adresses MAC 74 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 L assignation d adresses MAC se produit d s qu un domaine logique est cr ou qu un p riph rique r seau est configur dans un domaine De plus l assignation persiste tant que le p riph rique voire le domaine logique lui m me n est pas supprim Les sujets suivants sont trait s dans cette section m Plage d adresses MAC assign es au logiciel Logical Domains la page 75 m Algorithme d assignation automatique a la page 75 m D tection d adresses MAC dupliqu es la page 76 m Adresses MAC lib r es a la page 77 a Allocation manuelle d adresses MAC la page 77 Plage d adresses MAC assign es au logiciel Logical Domains Le bloc de 512 K d adresses MAC
75. e utilisateur local seule solution possible usermod A username Gestion des profils utilisateurs Le package SUNW1dm ajoute deux profils RBAC d finis par le syst me au fichier etc security prof_attr afin de permettre aux non superutilisateurs d acc der a Logical Domains Manager Les deux profils sp cifiques LDoms sont les suivants m LDoms Review Review LDoms configuration auths solaris ldoms read m LDoms Management Manage LDoms domains auths solaris ldoms Vous pouvez attribuer l un de ces profils un compte utilisateur en suivant la proc dure d crite ci apr s 38 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure d attribution d un profil un utilisateur Attribuez un profil d administration un compte utilisateur local LDoms Management par exemple usermod P LDoms Management username V Proc dure de suppression de tous les profils attribu s a un utilisateur Supprimez tous les profils du compte utilisateur local seule solution possible usermod P username Attribution de r les aux utilisateurs Cette proc dure pr sente l avantage d autoriser uniquement l utilisateur auquel un r le sp cifique a t attribu assumer ce r le Ainsi un mot de passe est requis si le r le n cessite galement un mot de passe Cette proc dure garantit donc deux niveaux de s curit Si un r le n a pas t attribu
76. ectement via un mod le client serveur Elle comprend deux composants un client disque virtuel vdc qui effectue l exportation en tant qu interface de p riph rique bloc et un service de disque virtuel vds qui traite les requ tes disque au nom du client disque virtuel et les soumet au stockage physique r sidant sur le domaine de service Les disques virtuels s affichent comme des disques standard sur le domaine client mais toutes les op rations sur disque sont transmises au disque physique via le service de disque virtuel Consoles virtuelles Dans un environnement Logical Domains les E S de console de tous les domaines a l exception du domaine primary sont redirig es vers un domaine de service ex cutant le concentrateur de consoles virtuelles vcc et le serveur de terminal r seau virtuel et non vers le contr leur syst me Le service de concentrateur de consoles virtuelles fonctionne en tant que concentrateur pour tout le trafic des consoles des domaines s interface avec le d mon du serveur de terminal r seau virtuel vntsd et fournit l acc s 4 chaque console via un socket UNIX Reconfiguration dynamique La reconfiguration dynamique RD d signe la capacit ajouter ou supprimer des ressources pendant que le syst me d exploitation est en cours d ex cution Le SE Solaris 10 prend en charge uniquement l ajout et la suppression de CPU virtuelles vcpu La reconfiguration dynamique de m moire et d entr e sortie n est
77. elles mais qu ils ne sont pas forc ment associ s aux m mes ressources physiques Le processus de base consiste enregistrer les informations de contraintes de chaque domaine dans un fichier XML puis de r ex cuter ce fichier dans Logical Domains Manager une fois la mise niveau effectu e afin de reconstruire la configuration souhait e Cette proc dure est valable pour les domaines h tes mais pas pour le 16 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 domaine de contr le Vous pouvez enregistrer les contraintes du domaine de contr le primary dans un fichier XML mais vous ne pouvez pas le charger ensuite dans la commande 1dm start domain i 1 Effectuez une mise jour vers la derni re version du SE Solaris Pour plus d informations reportez vous l tape 2 Proc dure d installation du SE Solaris 10 la page 19 2 Cr ez un fichier de contraintes XML pour chaque domaine Idm 1ls constraints x dom gt Idom xml 3 R pertoriez toutes les configurations de domaines logiques enregistr es sur le contr leur syst me ldm 1s config 4 Supprimez toutes les configurations de domaines logiques enregistr es sur le contr leur syst me Idm rm config config_name 5 D sactivez le d mon de Logical Domains Manager 1dmd svcadm disable 1dmd 6 Supprimez le package Logical Domains Manager SUNW1dm pkgrm SUNWl1dm 7 Supprimez
78. ement Pour plus d informations reportez vous la section Installation manuelle de Logical Domains Manager et de Solaris Security Toolkit la page 33 Remarque N oubliez pas que vous devez installer manuellement le package du logiciel LDoms MIB apr s avoir install les packages LDoms et Solaris Security Toolkit Il n est pas install automatiquement avec les autres packages Reportez vous au Guide d administration Logical Domains LDoms Management Information Base 1 0 2 pour plus d informations sur l installation et l utilisation du logiciel LDoms MIB Installation des logiciels Logical Domains Manager 1 0 2 et Solaris Security Toolkit 4 2 a l aide du script d installation Si vous choisissez d utiliser le script d installation instal1 1dn plusieurs options vous sont offertes pour l ex cuter Ces options sont d crites dans les proc dures suivantes m Si vous lancez le script install 1dm sans aucune option il effectue les op rations suivantes automatiquement Il v rifie que la version du SE Solaris est bien Solaris 10 11 06 Il v rifie que les sous r pertoires SUNWldm et SUNWjass sont pr sents Chapitre 3 Installation et activation du logiciel 23 24 Il v rifie que les packages du pilote Solaris Logical Domains n cessaires SUNW1ldomr et SUNW1ldomu sont pr sents Il v rifie que les packages SUNW1dm et SUNWjass n ont pas t install s Remarque Si le script d tecte une version
79. emier caract re doit tre une lettre un chiffre ou une barre oblique avant m Les caract res suivants doivent tre des lettres des chiffres ou des signes de ponctuation Noms de serveur de disque virtuel file device et de commutateur virtuel Doivent contenir des lettres des chiffres ou des signes de ponctuation 55 Nom de configuration config_name Le nom de configuration d un domaine logique config_name que vous assignez une configuration stock e sur le contr leur syst me doit comporter 64 caract res au maximum Autres noms Les autres noms tels que le nom de domaine logique Idom le nom de service vswitch_name service_name vdpcs_service_name et vcc_name le nom de r seau virtuel if_name et le nom de disque virtuel disk_name doivent respecter le format suivant a Le premier caract re doit tre une lettre ou un chiffre m Les caract res suivants doivent tre des lettres des chiffres ou tout caract re parmi les suivants _ Utilisation des sous commandes 1dm list Cette section d crit la syntaxe utilis e par les sous commandes 1dn d finit certains termes du r sultat tels que des indicateurs et des statistiques d utilisation et donne des exemples de r sultat R sultat lisible par une machine Si vous cr ez des scripts qui utilisent le r sultat de la commande 1dm list utilisez toujours l option p pour produire le r sultat sous une forme lisible par une ma
80. ent du SE Solaris 10 11 06 au minimum Reportez vous aux Notes de version Logical Domains LDoms 1 0 2 pour conna tre tous les patchs n cessaires Une fois que vous avez cr les services par d faut et r affect les ressources partir du domaine de contr le vous pouvez cr er et lancer un domaine h te Proc dure de cr ation et de lancement d un domaine h te 1 Cr ez un domaine logique La commande suivante par exemple cr e un domaine h te appel 1dg1 primary ldm add domain ldg1 2 Ajoutez des CPU au domaine h te Dans la commande suivante par exemple 4 CPU virtuelles sont ajout es au domaine h te 1dg1 primary ldm add vcpu 4 ldg1 Chapitre 4 Configuration des services et des domaines logiques 49 3 Ajoutez de la m moire au domaine h te Dans la commande suivante par exemple 512 Mo de m moire sont ajout s au domaine h te 1dg1 primary ldm add memory 512m ldg1 4 Ajoutez un p riph rique r seau virtuel au domaine h te Dans la commande suivante par exemple un p riph rique r seau virtuel est ajout au domaine h te 1dg1 primary ldm add vnet vnet1 primary vsw0 ldg1 Dans cet exemple a vneti repr sente un nom d interface unique pour le domaine logique ce nom est affect cette instance de p riph rique r seau virtuel pour faire r f rence aux sous commandes set vnet ou remove vnet suivantes a primary vsw0 repr sente le nom d un serv
81. es des domaines d E S et de service Si vous disposez d j d un syst me et si un syst me d exploitation et d autres logiciels sont en cours d ex cution sur le serveur ce domaine constitue votre domaine de contr le une fois le logiciel Logical Domains Manager install Vous pouvez supprimer certaines applications du domaine de contr le une fois qu il est install et r partir la charge des autres applications dans les diff rents domaines afin d optimiser l utilisation du syst me Interface de ligne de commande Via l interface de ligne de commande CLI Command Line Interface du logiciel Logical Domains Manager l administrateur syst me peut cr er et configurer des domaines logiques L interface de ligne de commande est une commande unique 14m 1M dot e de plusieurs sous commandes Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Pour utiliser cette CLI le d mon de Logical Domains Manager 1dmd doit tre en cours d ex cution La commande 1dm 1M et ses sous commandes sont pr sent es en d tail dans la page de manuel 1dm 1M et dans le Logical Domains LDoms Manager 1 0 2 Man Page Guide La page de manuel 1dm 1M fait partie du package SUNW1dm et est install e avec celui ci Pour ex cuter la commande 1dn le r pertoire opt SUNW1dm bin doit tre pr sent dans la variable UNIX PATH Pour acc der a la page de manuel 1dm 1M ajoutez le chemin de r pertoire opt SUNW1dm man la variable SMA
82. es valeurs dans les champs correspondants de la ligne m Si une telle entr e existe l adresse physique PA appartient au domaine sous lequel l entr e est affich e et l adresse r elle correspondante dans le domaine est donn e par ra PA pa m Si une telle entr e n existe pas l adresse physique PA ne se trouve dans aucun domaine Exemples de mappage de CPU et de m moire Supposons que vous disposiez d une configuration de domaine logique comme celle de l EXEMPLE DE CODE 5 16 et que vous souhaitiez d terminer le domaine et la CPU virtuelle correspondant au num ro de CPU physique 5 ainsi que le domaine et l adresse r elle correspondant l adresse physique 0x7e816000 En recherchant dans les entr es VCPU de la liste celle dont le champ pid est gal 5 vous trouverez l entr e suivante sous le domaine logique 1dg1 Chapitre 5 Informations et t ches compl mentaires 79 Donc la CPU physique num ro 5 appartient au domaine 1dg1 au sein duquel elle porte le num ro de CPU virtuelle 1 vid 1 pid 5 uti1 29 strand 100 En parcourant les entr es MEMORY dans la liste vous d couvrez l entr e suivante sous le domaine 1dg2 ra 0x8000000 pa 0x78000000 size 1073741824 O 0x78000000 lt 0x7e816000 lt 0x78000000 1073741824 1 c est dire pa lt PA lt pa taille 1 Donc l adresse physique PA appartient au domaine 1dg2 et correspond l adresse r elle 0x8000000 0x7e816000 0x780000
83. est la suivante http www sun com ldoms 2 D zippez le fichier zip unzip LDoms Manager 1 0 2 zip La structure du r pertoire du logiciel t l charg est similaire a celle ci EXEMPLE DE CODE 3 1 Structure de r pertoires du logiciel Logical Domains 1 0 2 t l charg LDoms_Manager 1_0_2 Install install ldm Legal Ldoms_1 0 2_Entitlement txt Ldoms_1 0 2_SLA_Entitlement txt Product SUNWjass SUNW1dm v SUNW1dmib v README 22 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Installation de Logical Domains Manager et de Solaris Security Toolkit Vous disposez de trois m thodes pour installer les logiciels Logical Domains Manager et Solaris Security Toolkit a Vous pouvez utiliser le script d installation pour installer les packages et les patchs Les logiciels Logical Domains Manager et Solaris Security Toolkit sont alors tous deux install s automatiquement Pour plus d informations reportez vous a la section Installation des logiciels Logical Domains Manager 1 0 2 et Solaris Security Toolkit 4 2 l aide du script d installation la page 23 m Vous pouvez utiliser JumpStart pour installer les packages Pour plus d informations reportez vous la section Installation des logiciels Logical Domains Manager 1 0 2 et Solaris Security Toolkit 4 2 a l aide de JumpStart a la page 30 m Vous pouvez galement installer chaque package manuell
84. ez comme suit EXEMPLE DE CODE 5 6 Liste lisible par une machine primaryS ldm list p VERSION 1 0 DOMAIN name primary state active flags t cv cons ncpu 1 mem 805306368 util 0 0 uptime 0 DOMAIN name 1dg1 state bound flags uptime cons 5000 ncpu 1 mem 536870912 util V Proc dure d affichage de l tat d un domaine Pour voir l tat d un domaine par exemple du domaine h te 1dg1 proc dez comme suit EXEMPLE DE CODE 5 7 tat d un domaine primary ldm list domain ldg1 NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME ldg1 active t 5000 8 1G 0 3 2m V Proc dure de listage d une variable Pour lister une variable par exemple boot device pour un domaine par exemple 1dg1 proc dez comme suit EXEMPLE DE CODE 5 8 Listage d une variable pour un domaine primary ldm list variable boot device ldg1 boot device virtual devices 100 channel devices 200 disk 0 a Chapitre 5 Informations et t ches compl mentaires 65 V Proc dure de listage des liaisons Pour lister des ressources li es pour un domaine par exemple 1dg1 proc dez comme suit EXEMPLE DE CODE 5 9 Listage des liaisons pour un domaine primary ldm list bindings ldg1 VCPU MEMORY NAME STATE FLAGS CONS 1491 bound 5000 1 VCPU VID PID UTIL STRAND 0 1 100 MEMORY RA PA SIZE 0x4000000 0x34000000 512M NETWORK NAME SERVICE mynet b
85. gt lt ldom_info gt lt ldom_name gt ldg1 lt ldom_name gt lt 1dom_info gt lt cpu gt lt number gt 8 lt number gt lt cpu gt lt memory gt lt size gt 1G lt size gt lt memory gt lt network gt lt vnet_name gt vnet0 lt vnet_name gt lt service_name gt primary vsw0 lt service_name gt lt mac_address gt 01 14 4f fa 0 55 lt mac_address gt lt network gt lt disk gt lt vdisk_name gt vdisk0 lt vdisk_name gt 70 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 EXEMPLE DE CODE 5 14 Contraintes pour un domaine au format XML suite lt service_name gt primary vds0 lt service_name gt lt vol_name gt vol0 lt vol_name gt lt disk gt lt var gt lt name gt boot device lt name gt lt value gt virtual devices 100 channel devices 200 disk 0 a lt value gt lt var gt lt var gt lt name gt nvramrc lt name gt lt value gt devalias vnetO virtual devices 100 channel devices 200 network 0 lt value gt lt var gt lt var gt lt name gt use nvramrc lt name gt lt value gt true lt value gt lt var gt lt 1dom gt lt data gt lt LDM_interface gt V Proc dure de listage des contraintes dans un format lisible par une machine Pour lister les contraintes de tous les domaines dans un format analysable proc dez comme suit EXEMPLE DE CODE 5 15 Contraintes pour tous les domaines dans un format lisible par une machine primary ldm list const
86. i contr le l int gralit du serveur V Proc dure de suppression de tous les domaines logiques h tes 1 Listez toutes les configurations de domaine logique sur le contr leur syst me primary ldm 1s config 2 Supprimez toutes les configurations config_name pr c demment enregistr es sur le contr leur syst me SC Utilisez la commande suivante pour chacune de ces configurations primary ldm rm config config name Une fois toutes les configurations pr c demment enregistr es sur le contr leur syst me supprim es le domaine factory default sera le prochain utiliser au red marrage du domaine de contr le primary 3 Arr tez tous les domaines h tes en utilisant l option a primary 1dm stop domain a 4 Listez tous les domaines pour voir toutes les ressources attach es aux domaines h tes primary ldm 1s 5 Lib rez toutes les ressources attach es aux domaines h tes Pour cela utilisez la commande 1dm unbind domain pour chaque domaine h te Idom configur sur votre syst me 88 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Remarque Vous risquez de ne pas pouvoir dissocier un domaine E S dans une configuration Split PCI s il fournit des services requis par le domaine de contr le Dans ce cas ignorez cette tape primary ldm unbind domain dom 6 Arr tez le domaine de contr le primary shutdown il
87. ice r seau existant commutateur virtuel auquel se connecter 5 Indiquez le p riph rique tre export par le serveur de disque virtuel en tant que disque virtuel pour le domaine h te Vous pouvez exporter un disque physique une tranche de disque des volumes ou un fichier en tant que p riph rique en mode bloc L exportation des p riph riques loopback lofi en tant que p riph riques en mode bloc n est pas prise en charge dans cette version du logiciel Logical Domains Les exemples suivants pr sentent un disque physique et un fichier a Exemple de disque physique Dans le premier exemple un disque physique avec des donn es sp cifiques est ajout primary ldm add vdsdev dev dsk c0t0d0s2 voli primary vds0 Dans cet exemple dev dsk c0t0d0s2 repr sente le nom du chemin du p riph rique physique Lors de l ajout d un p riph rique le nom du chemin doit tre associ a son nom voli repr sente un nom unique que vous devez indiquer pour le p riph rique ajout au serveur de disque virtuel Le nom du p riph rique doit tre unique pour cette instance de serveur de disque virtuel en effet ce nom est export par ce serveur de disque virtuel afin d tre ajout aux clients Lors de l ajout d un p riph rique son nom doit tre associ celui du chemin du p riph rique actuel primary vds0 repr sente le nom du serveur de disque virtuel existant auquel ajouter ce p riph rique 50 Guide d adm
88. ide du script instal1 1dmet de l option dnone 29 v Proc dure d installation l aide du script instal1 1dmet de l option p 30 iv Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Installation des logiciels Logical Domains Manager 1 0 2 et Solaris Security Toolkit 4 2 l aide de JumpStart 30 Y Proc dure d installation d un serveur JumpStart 30 v Proc dure d installation l aide du logiciel JumpStart 31 Installation manuelle de Logical Domains Manager et de Solaris Security Toolkit 33 v Proc dure d installation manuelle du logiciel Logical Domains Manager LDoms 1 0 2 33 v Facultatif Proc dure d installation manuelle du logiciel Solaris Security Toolkit 4 2 34 v Facultatif Proc dure de s curisation manuelle du domaine de contr le 34 Y Proc dure de validation de la s curisation 35 v Proc dure d annulation de la s curisation 35 Activation du d mon de Logical Domains Manager 36 v Proc dure d activation du d mon de Logical Domains Manager 36 Cr ation des profils et des autorisations et affectation de r les aux comptes utilisateurs 37 Gestion des autorisations utilisateurs 37 Y Proc dure d attribution d une autorisation un utilisateur 37 Y Proc dure de suppression de toutes les autorisations attribu es un utilisateur 38 Gestion des profils utilisateurs 38 Y Proc dure d attribution d un profil un utilisateur 39 Y Proc dure de suppression de tous les profils attribu
89. inistration Logical Domains LDoms 1 0 2 F vrier 2008 a Exemple d un fichier Dans le deuxi me exemple un fichier est export en tant que p riph rique en mode bloc primaryS ldm add vdsdev path to file filename vol1 primary vds0 Dans cet exemple a path to file filename repr sente le nom du chemin du fichier export en tant que p riph rique en mode bloc Lors de l ajout d un p riph rique le nom du chemin doit tre associ son nom voli repr sente un nom unique que vous devez indiquer pour le p riph rique ajout au serveur de disque virtuel Le nom du p riph rique doit tre unique pour cette instance de serveur de disque virtuel en effet ce nom est export par ce serveur de disque virtuel afin d tre ajout aux clients Lors de l ajout d un p riph rique son nom doit tre associ celui du chemin du p riph rique actuel a primary vds0 repr sente le nom du serveur de disque virtuel existant auquel ajouter ce p riph rique 6 Ajoutez un disque virtuel au domaine h te Dans l exemple suivant un disque virtuel est ajout au domaine h te 1dg1 primary ldm add vdisk vdisk1 voll primary vds0 1ldg1 Dans cet exemple m vdisk1 repr sente le nom du disque virtuel m voli repr sente le nom du p riph rique serveur de disque virtuel existant auquel se connecter a primary vds0 repr sente le nom du serveur de disque virtuel existant auquel se connecter Remarque Les disq
90. ion affich e Activation de la mise en r seau du domaine de contr le service et des autres domaines Par d faut la mise en r seau du domaine de contr le service et des autres domaines du syst me est d sactiv e Pour l activer le p riph rique commutateur virtuel doit tre configur en tant que p riph rique r seau Le commutateur virtuel peut soit remplacer le p riph rique physique sous jacent e1000g0 dans cet exemple en tant qu interface principale soit tre configur en tant qu interface r seau suppl mentaire dans le domaine 46 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Remarque Vous devez effectuer les diff rentes tapes de configuration suivantes partir de la console du domaine en effet ces op rations sont susceptibles d interrompre momentan ment la connexion r seau du domaine V Proc dure de configuration du commutateur virtuel en tant qu interface principale 1 Imprimez les informations d adresses pour toutes les interfaces primary ifconfig a 2 Associez le commutateur virtuel Dans cet exemple vsw0 est le commutateur virtuel configur primary ifconfig vsw0 plumb 3 Facultatif Pour obtenir la liste de toutes les instances de commutateurs virtuels pr sentes dans un domaine entrez la commande suivante primary usr sbin dladm show link grep vsw vsw0 type non vlan mtu 1500 device vsw0 4 Annulez l a
91. irtuels sur SVM Lorsqu un volume SVM RAID ou miroir est utilis en tant que disque virtuel par un autre domaine s il y a une panne sur l un des composants de ce volume la r cup ration de celui ci a l aide de la commande metareplace ou en utilisant un disque hot spare ne d marre pas La commande metastat voit le volume comme tant en cours de resynchronisation mais sans progression de celle ci Par exemple dev md dsk d0 est un volume SVM RAID export en tant que disque virtuel vers un autre domaine et d0 est configur avec quelques p riph riques hot spare Si un composant de d0 tombe en panne SVM remplace ce Chapitre 5 Informations et t ches compl mentaires 105 metastat d0 d0 RAID State Hot spare pool hsp000 Interlace 32 blocks 20097600 blocks 9 6 GB Original device 20100992 blocks 9 6 GB Size Size Device c2t2d0s1 c4t12d0sl1 dev dsk c10t600COFF0000000000015153295A4B100d0s1 330 No Resyncing Yes composant par un hot spare et resynchronise le volume SVM Cependant la resynchronisation ne d marre pas Le volume est signal comme tant en cours de resynchronisation mais sans progression de celle ci Resyncing Start Block Dbase State Reloc 330 No Okay Yes 330 No Okay Yes Dans un tel cas le domaine utilisant le volume SVM comme un disque virtuel doit tre arr t et dissoci pour terminer la resynchronisation Le volume SVM peut alors tre resynchronis en utilisant la comman
92. isable path dev dsk c4t12d0s2 Utilisation de gestionnaires de volume sur des disques virtuels Cette section d crit les situations suivantes dans l environnement Logical Domains m Utilisation de ZFS sur des disques virtuels la page 107 m Utilisation de SVM sur des disques virtuels la page 107 m Utilisation de VxVM sur des disques virtuels la page 108 Utilisation de ZFS sur des disques virtuels Tout disque virtuel est utilisable avec ZFS Un pool de stockage ZFS zpoo1 peut tre import dans un domaine qui voit tous les p riph riques de stockage appartenant au zpool que ce domaine les voit comme des p riph riques virtuels ou comme des p riph riques r els Utilisation de SVM sur des disques virtuels Tout disque virtuel est utilisable dans l ensemble des disques locaux SVM Par exemple un disque virtuel peut tre utilis pour le stockage de la base de m tadonn es SVM metadb de l ensemble des disques locaux ou pour la cr ation de volumes SVM dans cet ensemble Chapitre 5 Informations et t ches compl mentaires 107 Actuellement vous pouvez utiliser les disques virtuels uniquement avec l ensemble des disques locaux mais pas avec un ensemble de disques partag s metaset Vous ne pouvez pas ajouter de disques virtuels dans un ensemble de disques partag s SVM Si vous essayez d ajouter un disque virtuel dans un ensemble de disques partag s SVM vous obtenez une erreur similaire
93. le disque physique c2t42d0s2 en tant que disque virtuel primary ldm add vdsdev dev rdsk c2t42d0s2 volz primary vds0 5 Ajoutez le disque export a un autre domaine 1dg1 dans cet exemple primary ldm add vdisk vdiskz volz primary vds0 1ldg1 6 Sur l autre domaine 1dg1 dans cet exemple d marrez le domaine et assurez vous que le nouveau disque virtuel est visible il vous faudra peut tre ex cuter la commande devfsadm puis importez le pool ZFS 1dg1 zpool import tank ldg1 zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT tank 43 8G 214K 43 7G 0 ONLINE ldgi zfs list NAME USED AVAIL REFER MOUNTPOINT tank 106K 43 1G 25 5K tank tank test 24 5K 43 1G 24 5K tank test ldg1 df hl F zfs Filesystem size used avail capacity Mounted on tank 43G 25K 43G 1 tank tank test 43G 24K 43G 1 tank test Le pool ZFS tank test dans cet exemple est maintenant import et utilisable partir du domaine 1dg1 Chapitre 5 Informations et t ches compl mentaires 101 102 Utilisation de ZFS sur des disques d initialisation Vous pouvez utiliser un syst me de fichiers ZFS avec un fichier volumineux comme les disques virtuels dans des domaines logiques Remarque Un syst me de fichiers ZFS requiert plus de m moire dans le domaine de service Tenez en compte lors de la configuration du domaine de service ZFS permet de m Cloner un syst me de fichiers rapidement
94. llation avec l option d pour sp cifier un pilote personnalis Solaris Security Toolkit par exemple server secure myname driver Le script d installation se trouve dans le sous r pertoire Install du package SUNW1 dm Install install ldm d server secure myname driver la fin du processus vous recevez des messages semblables ceux de l exemple de code 3 4 EXEMPLE DE CODE 3 4 Exemple de message indiquant l ex cution correcte du script install ldm d Install install ldm d server secure driver The driver you selected may not perform all the LDoms specific operations specified in the LDoms Administration Guide Installing LDoms and Solaris Security Toolkit packages pkgadd n d var tmp install Product Logical_Domain_Manager a pkg_admin SUNW1dm v Copyright 2006 Sun Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWldm gt was successful pkgadd n d var tmp install Product Solaris_Security_Toolkit a pkg_admin SUNWjass Copyright 2005 Sun Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWjass gt was successful Verifying that all packages are fully installed OK Enabling services svc ldoms 1ldmd default Running Solaris Security Toolkit 4 2 0 driver server secure myname driver Please wait opt SUNWjass bin jass execute q d server secure myname driver Executing driver server se
95. lt vdpcc_name gt lt service_name gt lt ldom gt remove vdpcc f lt vdpcc_name gt lt ldom gt vdpcs ndpsldcs add vdpcs lt vdpcs_name gt lt ldom gt 58 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 EXEMPLE DE CODE 5 1 Utilisation de la syntaxe pour les toutes sous commandes 1dm suite remove vdpcs vdiskserverdevice f lt vdpcs_name gt vdsdev add vdiskserverdevice options lt opts gt lt file device gt lt volume_name gt lt service_name gt remove vdiskserverdevice f vnet add vnet set vnet remove vnet vswitch Verb aliases mac addr lt num gt mac addr lt num gt lt if_name gt lt ldom gt VSW add vswitch mac addr lt num gt set vswitch mac addr lt num gt remove vswitch lt vswitch_name gt net dev lt device gt net dev lt device gt lt volume_name gt lt service_name gt lt if_name gt lt vswitch_name gt lt ldom gt vswitch lt vswitch_name gt lt if_name gt lt vswitch_name gt lt 1ldom gt lt vswitch_name gt lt ldom gt Alias Verb rm remove 1s list Command aliases Alias Command create add domain destroy remove domain cancel reconf remove reconf start start domain stop stop domain bind bind domain unbind unbind domain panic panic domain D finition des indicateurs Les indicateurs suivants peuvent tre affich s dans le r sultat pour un domaine para
96. m tre substituable c domaine de contr le d reconfiguration diff r e e normal Chapitre 5 Informations et t ches compl mentaires 59 s d marrage ou stop t transition v domaine E S virtuel Si vous utilisez l option longue 1 pour la commande les indicateurs sont pel s Sinon vous voyez la lettre d abr viation Les valeurs des indicateurs d pendent de la position dans la liste Voici les valeurs qui peuvent appara tre dans chacune des cinq colonnes de gauche droite Colonne 1 Colonne 2 Colonne 3 Colonne 4 Colonne 5 s ou n ou t d ou c ou vou D finition des statistiques d utilisation Les statistiques d utilisation par CPU virtuelle UTIL sont affich es avec l option longue 1 de la commande 1dm list Les statistiques sont le pourcentage en temps depuis le dernier affichage des statistiques o l ex cution de la CPU virtuelle a t d di e au syst me d exploitation h te L ex cution d une CPU virtuelle est consid r e d di e au syst me d exploitation h te quand elle ne se rapporte pas l hyperviseur Si le syst me d exploitation h te n attribue pas de CPU virtuelles l hyperviseur l utilisation des CPU dans le syst me indique toujours 100 Les statistiques d utilisation signal es pour un domaine logique correspondent la moyenne d utilisation des CPU virtuelles sur le domaine Exemples des diverses listes V Proc dure d affichage des versions des logiciels V Pou
97. m Utiliser les clones pour approvisionner des domaines suppl mentaires L installation r seau vers disque sur des fichiers et des fichiers au sein d un syst me de fichiers ZFS Proc dure d utilisation de ZFS sur des disques d initialisation Vous pouvez utiliser la proc dure suivante afin de cr er des disques ZFS pour des domaines logiques vous pouvez galement cr er leur image instantan e et les cloner pour d autres domaines 1 Sur le domaine primary r servez un disque entier ou une tranche utiliser comme stockage pour le pool ZFS L tape 2 utilise la tranche 5 d un disque 2 Cr ez un pool ZFS par exemple 1domspool zpool create ldomspool dev dsk c0t0d0s5 3 Cr ez un syst me de fichiers ZFS pour le premier domaine 1dg1 dans cet exemple zfs create ldomspool ldg1 4 Cr ez un fichier qui sera le disque pour ce domaine mkfile 1G ldomspool 1dg1 bootdisk 5 Sp cifiez le fichier comme tant le p riph rique utiliser lors de la cr ation du domaine primary ldm add vdsdev ldomspool 1dg1 bootdisk voli primary vds0 primary ldm add vdisk vdisk1 voll primary vds0 ldg1 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 6 Initialisez le domaine 1dg1 et faites une installation r seau net install vers vdisk1 Le fichier fonctionne comme un disque entier et peut poss der des partitions en l occurrence des partitions distinctes pour root usr home dump et
98. maine de contr le Le tableau suivant indique le comportement pr vu pour la halte ou le red marrage du domaine de contr le primary Remarque La question du TABLEAU 5 1 concernant l activation ou non de la mise en domaine s applique uniquement aux processeurs Sun UltraSPARC T1 Dans les autres cas la mise en domaine est toujours activ e TABLEAU 5 1 Comportement pr vu pour la halte ou le red marrage du domaine de contr le primary Mise en Autre domaine domaine Commande activ e configur Comportement halt D sactiv S O Pour les processeurs Sun UltraSPARC T1 D clenche l invite ok Activ Non Pour les processeurs Sun UltraSPARC T1 Voir le message dans 02 Pour les processeurs Sun UltraSPARC T2 H te mis hors tension et demeure teint jusqu la remise sous tension sur le SC Activ Oui R initialisation chaud et d marrage si auto boot true R initialisation chaud et halte l invite ok si auto boot false Red marrage D sactiv S O Pour les processeurs Sun UltraSPARC T1 Met l h te hors tension puis sous tension Activ Non Pour les processeurs Sun UltraSPARC T1 Met l h te hors tension puis sous tension Pour les processeurs Sun UltraSPARC T2 Red marre l h te sans mise hors tension Activ Oui Pour les processeurs Sun UltraSPARC T1 Met l h te hors tension puis sous tension Pour les processeurs Sun UltraSPARC T2 Red marre l h te sans mise hors tension Chapitre
99. mains LDoms 1 0 2 F vrier 2008 D placement d un domaine logique d un serveur l autre Vous pouvez d placer un domaine logique qui n est pas en cours ex cution d un serveur vers un autre Avant de d placer le domaine si vous configurez le m me domaine sur l autre serveur le d placement sera plus simple En fait vous ne d placez pas le domaine proprement parler simplement vous dissociez et arr tez le domaine sur un serveur puis le liez et le d marrez sur l autre serveur Proc dure de configuration des domaines en vue d un d placement 1 Cr ez un domaine portant le m me nom sur deux serveurs par exemple domaineAl sur serveurA et serveur 2 Ajoutez un p riph rique serveur de disque virtuel et un disque virtuel sur les deux serveurs Le serveur de disque virtuel ouvre le p riph rique sous jacent pour l exportation lors du processus de liaison 3 Liez le domaine uniquement sur un serveur par exemple serveurA Laissez le domaine inactif sur l autre serveur Proc dure de d placement du domaine 1 Dissociez et arr tez le domaine sur serveurA 2 Liez et d marrez le domaine sur serveur Liaison du domaine Remarque Aucune ressource n est utilis e tant que le domaine n est pas li Chapitre 5 Informations et t ches compl mentaires 87 Suppression de domaines logiques Cette section d crit comment supprimer tous les domaines h tes et revenir une seule instance du SE qu
100. mande OpenBoot power off 90 R sultat des commandes d interruption du SE Solaris 90 R sultats de la halte ou du red marrage du domaine de contr le 91 Certaines options de la commande format 1M ne fonctionnent pas avec des disques virtuels 92 Utilisation de LDoms avec ALOM CMT 93 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 v Proc dure de r initialisation de la configuration du domaine logique celle par d faut ou une autre 94 Activation et utilisation de l audit BSM 94 v Proc dure d utilisation du script enable bsm fin 95 Proc dure d utilisation de la commande bsmconv 1M du SE Solaris 95 Proc dure permettant de v rifier que l audit BSM est activ 96 Proc dure de d sactivation de l audit 96 lt lt lt Proc dure d impression du r sultat d audit 96 v Proc dure de roulement des journaux d audit 97 Configuration du commutateur virtuel et du domaine de service pour NAT et routage 97 Y Proc dure de configuration du commutateur virtuel afin de fournir la connectivit externe aux domaines 98 Utilisation de ZFS avec des disques virtuels 98 Cr ation d un disque virtuel sur un volume ZFS 99 v Proc dure de cr ation d un disque virtuel sur un volume ZFS 99 Utilisation de ZFS sur un disque virtuel 100 Y Proc dure d utilisation de ZFS sur un disque virtuel 100 Utilisation de ZFS sur des disques d initialisation 102 Y Proc dure d utilisation de ZFS sur des disques d initialisation 102
101. ment des configurations de domaines logiques actuelles sur le contr leur syst me Utilisez la commande suivante Idm add config config_name R sultat d une commande OpenBoot power off La commande OpenBoot power off ne met pas un syst me hors tension Pour mettre hors tension un syst me durant l ex cution du microprogramme OpenBoot utilisez la commande poweroff de votre contr leur syst me ou processeur syst me La commande OpenBoot power off affiche le message suivant NOTICE NOTICE power off command is not supported use appropriate command on System Controller to turn power off Gy R sultat des commandes d interruption du SE Solaris Si la mise en domaine n est pas activ e le SE Solaris retourne normalement l invite OpenBoot apr s une interruption Cette section d crit le comportement dans les deux situations suivantes 1 Vous appuyez sur la combinaison de touches L1 A lorsque le p riph rique d entr e est d fini comme keyboard 2 Vous entrez la commande send break lorsque la console virtuelle affiche l invite telnet Si la mise en domaine est activ e vous obtenez l invite suivante apr s ces types d interruption continue s ync r eboot h alt 90 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Tapez la lettre qui repr sente l op ration que le syst me doit effectuer apr s l interruption R sultats de la halte ou du red marrage du do
102. mon du serveur de terminal r seau virtuel vntsd pour permettre chaque domaine logique d acc der la console virtuelle Reportez vous au Solaris 10 OS Reference Manual ou la page de manuelvntsd 1M pour en savoir plus sur l utilisation de ce d mon V Proc dure d activation du d mon du serveur de terminal r seau virtuel Remarque V rifiez que vous avez bien cr le service par d faut vconscon sur le domaine de contr le avant d activer vntsd Voir la section Cr ation des services par d faut la page 42 pour plus d informations 1 Utilisez la commande svcadm 1M pour activer le d mon du serveur de terminal r seau virtuel vntsd 1M svcadm enable vntsd 48 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 2 Utilisez la commande svcs 1 pour v rifier que vntsd est activ svcs l vntsd fmri svc ldoms vntsd default enabled true state online next_state none state_time Sat Jan 27 03 14 17 2007 logfile var svc log ldoms vntsd default log restarter svc system svc restarter default contract_id 93 dependency optional_all error svc milestone network online dependency optional_all none svc system system log online Cr ation et lancement d un domaine h te Le domaine h te doit ex cuter un syst me d exploitation comprenant la fois la plate forme sun4v et les p riph riques virtuels pr sent s par l hyperviseur Il s agit actuellem
103. n connect s au contr leur syst me s rie ou r seau shutdown i5 g0 y 2 Utilisez la commande flashupdate 1M pour mettre niveau le microprogramme syst me en fonction de votre serveur sc gt flashupdate s IP address f path Sun_System_Firmware x_x_x_build_nn server name bin username your userid password votre mot de passe Dans cet exemple IP address repr sente l adresse IP du serveur FTP path repr sente l emplacement sur le site SunSolveS ou dans votre propre r pertoire partir duquel vous pouvez obtenir l image du microprogramme syst me x_x_x repr sente le num ro de version du microprogramme syst me nn repr sente le num ro de la build de cette version server name repr sente le nom du serveur Par exemple le server name du serveur Sun Fire T2000 est Sun_Fire T2000 3 R initialisez le contr leur syst me sc gt resetsc y 4 Allumez et initialisez le serveur h te sc gt poweron c ok boot disk 20 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure de mise niveau du microprogramme syst me sans serveur FTP Si vous n avez pas acc s un serveur FTP pour charger le microprogramme sur le contr leur syst me vous pouvez utiliser l utilitaire sysfwdownload disponible sur le site SunSolve avec le package de mise niveau du microprogramme syst me l adresse suivante http sunsolve sun com 1
104. n que l arri re plan de stockage soit diff rent des disques virtuels au lieu de disques physiques il n y a pas de changement dans l utilisation de ZFS De plus si vous avez d ja un syst me de fichiers ZFS vous pouvez l exporter a partir d un domaine de service pour l utiliser dans un autre domaine Dans cet exemple le domaine de service identique au domaine de contr le est nomm primary Le domaine h te est nomm 1dg1 par exemple Les invites de chaque tape montrent dans quel domaine la commande sera ex cut e V Proc dure d utilisation de ZFS sur un disque virtuel 1 Cr ez un pool ZFS tank dans cet exemple puis v rifiez qu il a t cr primary zpool create f tank c2t42d0 primary zpool list NAME SIZE USED AVAIL CAP HEALTH ALTROOT tank 43 8G 108K 43 7G 0 ONLINE 100 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 2 Cr ez un syst me de fichiers ZFS tank test dans cet exemple puis v rifiez qu il a t cr Dans cet exemple le syst me de fichiers est cr sur le disque c2t42d0 en ex cutant la commande suivante sur le domaine de service primary zfs create tank test primary zfs list NAME USED AVAIL REFER MOUNTPOINT tank 106K 43 1G 25 5K tank tank test 24 5K 43 1G 24 5K tank test 3 Exportez le pool ZFS tank dans cet exemple primary zpool export tank 4 Configurez un service qui exporte
105. nitial primary s ldm add config initial Remarque Actuellement le nombre de configurations pouvant tre enregistr es sur le contr leur syst me est limit 8 sans compter la configuration factory default 5 V rifiez que la configuration est pr te tre utilis e au prochain red marrage primary s ldm list config factory default current initial next Cette sous commande list indique que la configuration factory default est actuellement utilis e et que la configuration initial sera utilis e apr s le red marrage Chapitre 4 Configuration des services et des domaines logiques 45 Red marrage et utilisation des domaines logiques Vous devez red marrer le domaine de contr le service pour que les modifications de configuration prennent effet et que les ressources soient lib r es afin d tre utilisables par d autres domaines logiques V Proc dure de red marrage et d utilisation des domaines logiques Arr tez puis red marrez le domaine primary il s agit galement du domaine de service cit dans nos exemples primary shutdown y g0 i6 Remarque Si vous utilisez la commande indiqu e pendant le red marrage les modifications apport es prennent alors effet le message de la commande 1dm list config est identique celui affich avant le red marrage Une mise hors et sous tension est requise pour que la commande 1dm list config mette jour la configurat
106. nt tre allou e aux domaines h tes Management Information Base informations de la base de donn es de gestion Fonction permettant d installer le nombre minimum de packages de SE Solaris de base n cessaire Multimode Fiber fibre multimode Memory Management Unit unit de gestion de la m moire M ga octet Maximum Transmission Unit unit de transmission maximale Network Address Translation traduction d adresse r seau Netra Data Plane Software Logical Domain Channel Client client du canal de domaine logique de Netra Data Plane Software Voir aussi vdpcc Netra Data Plane Software Logical Domain Channel Service service de canal de domaine logique de Netra Data Plane Software Voir aussi vdpcs Abr viation de Netra Data Plane Software Suite Network File System syst me de fichiers r seau Network Information Services services d information r seau Network Interface Unit unit d interface de r seau serveurs Sun SPARC Enterprise T5120 et T5220 Network Terminal Server serveur de terminal r seau Glossaire 115 NVRAM nxge P PCI PCI E PCI X PICL picld 1M PRI RAID RBAC RD RPC SC SCSI SE S curisation SMA 116 Non volatile Random Access Memory m moire vive non volatile Pilote pour l adaptateur Ethernet Sun x8 Express 1 10G Peripheral Component Interconnect Bus bus PCI Bus PCI Express Extension du bus PCI Platform Information and Control Library bibli
107. nt les paquets via l interface secondaire tant donn que les interfaces physiques sont configur es directement en groupe IPMP le groupe peut tre configur pour une d tection soit par liaison soit par investigation Le diagramme suivant montre deux interfaces r seau e1000g0 et e1000g1 configur es comme appartenant un groupe IPMP L instance de commutateur virtuel vsw0 a t raccord e un p riph rique r seau pour envoyer les paquets sa couche IP FIGURE 5 3 Deux interfaces r seau configur es en groupe IPMP Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Glossaire Cette liste d finit la terminologie les abr viations et les acronymes utilis s dans la documentation relative Logical Domains 1 0 2 A ALOM CMT AP AR Audit Autorisation bge BSM Advanced Lights Out Manager technologie de multithreading de puce s ex cutant sur le contr leur syst me et permettant de surveiller et de contr ler le serveur CMT Adresse physique Adresse r elle Fonction utilisant le BSM du SE Solaris pour identifier l origine des modifications de s curit Fonction permettant de d finir des autorisations l aide du RBAC du SE Solaris Broadcom Gigabit Ethernet pilote Ethernet Gigabit Broadcom des p riph riques Broadcom BCM57xx Basic Security module module de s curit de base 111 C CLI CMT Compatibilit Config Contraintes
108. nts sont install s sur le domaine de contr le m Le SE Solaris 10 Ajoutez les patchs indiqu s dans les Notes de version Logical Domains LDoms 1 0 2 si n cessaire Pour plus d informations reportez vous la section Proc dure d installation du SE Solaris 10 la page 19 m La version 6 5 du microprogramme syst me pour la plate forme Sun UltraSPARC T1 ou la version 7 0 pour la plate forme Sun UltraSPARC T2 Pour plus d informations reportez vous la section Proc dure de mise niveau du microprogramme syst me la page 19 m Le logiciel Logical Domain Manager 1 0 2 Pour plus d informations reportez vous la section Installation de Logical Domains Manager et de Solaris Security Toolkit la page 23 m Facultatif Le logiciel Solaris Security Toolkit 4 2 Pour plus d informations reportez vous la section Installation de Logical Domains Manager et de Solaris Security Toolkit la page 23 a Facultatif Le package du logiciel Logical Domains LDoms Management Information Base MIB Reportez vous au Guide d administration Logical Domains LDoms Management Information Base MIB 1 0 2 pour plus d informations sur l installation et l utilisation du logiciel LDoms MIB Le SE Solaris et le microprogramme syst me doivent tre install s sur le serveur avant le logiciel Logical Domains Manager Une fois le SE Solaris le microprogramme syst me et le logiciel Logical Domains Manager install
109. ol primary vds0 ldg1 6 Sur l autre domaine 1dg1 dans cet exemple d marrez le domaine et assurez vous que le nouveau disque virtuel est visible il vous faudra peut tre ex cuter la commande devfsadn Dans cet exemple le nouveau disque apparait comme dev rdsk c2d2s0 ldg1l newfs dev rdsk c2d2s0 newfs construct a new file system dev rdsk c2d2s0 y n y Warning 4096 sector s in last cylinder unallocated Chapitre 5 Informations et t ches compl mentaires 99 Warning 4096 sector s in last cylinder unallocated dev rdsk c2d2s0 204800 sectors in 34 cylinders of 48 tracks 128 sectors 100 0MB in 3 cyl groups 14 c g 42 00MB g 20160 i g super block backups for fsck F ufs o b at 32 86176 172320 1dg1 mount dev dsk c2d2s0 mnt ldgi df h mnt Filesystem size used avail capacity Mounted on dev dsk c2d2s0 93M 1 0M 82M 2 mnt Remarque Un volume ZFS est export vers un domaine logique en tant que tranche de disque virtuel Par cons quent il n est pas possible d utiliser la commande format ni d installer le SE Solaris sur un disque virtuel s appuyant sur un zvol Utilisation de ZFS sur un disque virtuel La proc dure suivante montre comment utiliser ZFS directement partir d un domaine sur un disque virtuel Vous pouvez cr er des pools des syst mes de fichiers et des volumes ZFS sur des disques virtuels l aide des commandes du SE Solaris 10 zpoo1 1M et z s 1M Bie
110. omains Manager Vous devez installer Solaris Security Toolkit sur le domaine de contr le il s agit de l emplacement partir duquel s ex cute le logiciel Logical Domains Manager Vous pouvez galement installer Solaris Security Toolkit sur les autres domaines logiques La seule diff rence r side dans le fait que dans ce cas vous allez utiliser le pilote 1dm_control secure driver pour s curiser le domaine de contr le et utiliser un autre pilote tel que secure driver pour s curiser les autres domaines logiques En effet le pilote ld m_control secure driver est propre au domaine de contr le ld m_control secure driver est bas sur le pilote secure driver et a t personnalis et test afin d tre utilis avec le logiciel Logical Domains Manager Reportez vous au Solaris Security Toolkit 4 2 Reference Manual pour en savoir plus sur le pilote secure driver Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 S curisation Solaris Security Toolkit utilise le pilote 1dm_control secure driver pour s curiser le SE Solaris sur le domaine de contr le ce pilote est sp cialement adapt l ex cution de Logical Domains Manager sous ce SE Le pilote 14m_control secure driver est similaire au pilote secure driver d crit dans le Solaris Security Toolkit 4 2 Reference Manual Le pilote 1dm_control secure driver fournit une configuration de base au domaine de contr le d un syst me ex cutant le logiciel Logic
111. omains Manager ont acc s aux fonctions de s curit de Solaris Security Toolkit suivantes m S curisation fonction permettant de modifier des configurations du SE Solaris afin d am liorer la s curit du syst me l aide du logiciel Solaris Security Toolkit version 4 2 et des patchs requis pour utiliser Solaris Security Toolkit avec Logical Domains Manager a Minimisation fonction permettant d installer le nombre minimum de packages du SE Solaris de base afin de prendre en charge LDoms et LDoms Management Information Base MIB m Autorisation fonction permettant de d finir des autorisations l aide du contr le RBAC Role Based Access Control contr le d acc s bas sur les r les du SE Solaris adapt au logiciel Logical Domains Manager a Audit fonction permettant d utiliser le module de s curit de base BSM Basic Security module du SE Solaris adapt au logiciel Logical Domains Manager pour identifier l origine des modifications de s curit apport es au syst me et d terminer ce qui a t effectu quand par qui et ce qui a chang m Conformit fonction permettant de d terminer si une configuration du syst me est conforme un profil de s curit pr d fini l aide de la fonction d audit de Solaris Security Toolkit 10 Solaris Security Toolkit et Logical Domains Manager Le chapitre 3 vous indique comment installer le logiciel Solaris Security Toolkit afin de l utiliser avec Logical D
112. oms Notes de version Logical Domains 820 HTML En LDoms 1 0 2 3599 10 PDF ligne Pages de manuel Solaris pour Solaris 10 Reference Manual S O HTML En LDoms Collection ligne e Page de manuel drd 1M e Page de manuel vntsd 1M Page de manuel LDoms Page de manuel 1dm 1M S O SGML En Logical Domains LDoms 1 0 2 819 PDF ligne Manager Man Page Guide 7679 10 En ligne Notions de base sur le logiciel Beginners Guide to LDoms 820 PDF En Logical Domains Understanding and Deploying 0832 20 ligne Logical Domains Software Administration de LDoms MIB Guide d administration Logical 820 HTML En Domains LDoms MIB 1 0 2 2319 10 PDF ligne Notes de version LDoms MIB Notes de version Logical Domains 820 HTML En LDoms MIB 1 0 2 2320 10 PDF ligne SE Solaris y compris Solaris 10 Collection S O HTML En l installation l aide de PDF ligne JumpStart et l utilisation de SMF S curit Solaris Security Toolkit 4 2 819 HTML En Administration Guide 1402 10 PDF ligne Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Num ro Em de place Application Titre r f rence Format ment S curit Solaris Security Toolkit 4 2 819 HTML En Reference Manual 1503 10 PDF ligne S curit Solaris Security Toolkit 4 2 Release 819 HTML En Notes 1504 10 PDF ligne S curit Solaris Security Toolkit 4 2 Man 819 HTML En Page Guide 1505 10 PDF ligne Documentation support et formation Fonction Sun URL Documentation Support
113. onfiguration active de r serve configurez le afin qu il utilise la d tection par investigation Actuellement le logiciel Logical Domains 1 0 2 ne prend pas en charge la d tection et le basculement par liaison pour les p riph riques r seau virtuels 108 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Le diagramme suivant montre deux r seaux virtuels vnet1 et vnet2 connect s deux instances de commutateur virtuel distinctes vsw0 et vsw1 dans le domaine de service qui leur tour utilisent deux interfaces physiques diff rentes 6100090 et e1000g1 En cas de panne d une interface physique la couche IP dans LDom_A d tecte la panne et la perte de connectivit sur le r seau vnet correspondant par une d tection bas e sur investigation et bascule automatiquement vers le p riph rique vnet secondaire FIGURE 5 1 Deux r seaux virtuels connect s des instances de commutateur virtuel distinctes vneto vneti Il est possible d obtenir une plus grande fiabilit dans le domaine logique en connectant chaque p riph rique r seau virtuel vnet0 et vnet1 des instances de commutateur virtuel dans des domaines de service diff rents comme indiqu dans le diagramme suivant Il est possible de configurer deux domaines de service Service_1 et Service_2 avec des instances de commutateur virtuel vsw1 et vsw2 en utilisant une configuration Split PCI Dans ce cas en plus d
114. onibles L administrateur syst me d termine l activit de l hyperviseur via le domaine de contr le l aide du logiciel Logical Domains Manager L hyperviseur applique par cons quent le partitionnement des ressources d un serveur et fournit des sous ensembles limit s plusieurs environnements de syst me d exploitation Il s agit d un m canisme fondamental pour cr er des domaines logiques Le sch ma suivant indique un hyperviseur prenant en charge deux domaines logiques Il indique galement les couches qui constituent les fonctionnalit s des domaines logiques a Applications ou utilisateur services m Noyau ou syst mes d exploitation m Microprogramme ou hyperviseur m Mat riel y compris CPU m moire et E S FIGURE 1 1 Hyperviseur prenant en charge deux domaines logiques Utilisateur services Noyau Micro programme T1 Mat riel CPU m moire amp Le nombre de fonctionnalit s de chaque domaine logique pris en charge par un hyperviseur SPARC d pend de celles du serveur L hyperviseur peut attribuer des sous ensembles de la CPU globale de la m moire et des ressources d E S d un serveur a un certain domaine logique Plusieurs syst mes d exploitation peuvent ainsi tre pris en charge simultan ment chacun se trouvant dans son propre domaine logique Les ressources peuvent tre r organis es entre les domaines logiques distincts selon une granularit arbitraire Vous pouvez par exemple affecter de la m moi
115. ons sur la commande 1dm add config Activation et utilisation de l audit BSM Logical Domains Manager utilise la fonction d audit du module de s curit de base BSM Basic Security module du SE Solaris L audit BSM fournit les moyens d examiner l historique des actions et des v nements sur votre domaine de contr le afin de d terminer ce qui s est pass Dans l historique est consign ce qui est effectu quand par qui et ce qui a t touch Si vous voulez utiliser cette fonction d audit cette section explique comment activer v rifier d sactiver imprimer et faire un roulement des journaux d audit Vous pouvez trouver des informations suppl mentaires sur l audit BSM dans la documentation Solaris 10 System Administration Guide Security Services Vous pouvez activer l audit BSM de deux fa ons Pour d sactiver l audit veillez utiliser la m me m thode que celle appliqu e pour l activer Les deux m thodes sont les suivantes m Utilisez le script enable bsm fin de Solaris Security Toolkit 94 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Par d faut 1dm_control secure driver n utilise pas le script enable bsm fin Vous devez activer ce script sur le pilote que vous avez choisi Utilisez la commande bsmconv 1M du SE Solaris Voici les proc dures pour les deux m thodes Proc dure d utilisation du script enable bsm fin 1 Copiez 1dm_control secure driver vers my ldm driver
116. oth que de contr le et d informations des plates formes D mon de PICL Priorit Abr viation de Redundant Array of Inexpensive Disks Role Based Access Control contr le d acc s bas sur les r les Reconfiguration dynamique Remote Procedure Call appel de proc dure distance System Controller contr leur syst me similaire processeur syst me Abr viation de Small Computer System Interface Syst me d exploitation Fonction permettant de modifier des configurations du SE Solaris afin d am liorer la s curit System Management Agent agent de gestion systeme Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 SMF SNMP SP SSH ssh 1 sshd 1M SunVTS SVM TCP UDP USB UTP V vBSC vcc vconscon vcons vconsole Service Management Facility utilitaire de gestion de services du SE Solaris 10 Simple Network Management Protocol protocole de gestion de r seau simple System Processor processeur syst me similaire contr leur syst me Secure Shell shell s curis Commande de shell s curis D mon du shell s curis Abr viation de Sun Validation Test Suite Abr viation de Solaris Volume Manager Transmission Control Protocol protocole de contr le des transmissions Abr viation de User Diagram Protocol Universal Serial Bus bus s rie universel Unshielded Twisted Pair paire torsad e non blind e Virtual Blade System Controller contr leur sy
117. que primary ldm add vsw mac add r xx xx xx xx xx xx primary vsw0 primary 2 Raccordez le commutateur virtuel en tant que p riph rique r seau en plus du p riph rique r seau physique utilis par le domaine Reportez vous la section Proc dure de configuration du commutateur virtuel en tant qu interface principale la page 47 pour plus d informations sur le raccordement du commutateur virtuel 3 Configurez le p riph rique commutateur virtuel pour DHCP si n cessaire Reportez vous la section Proc dure de configuration du commutateur virtuel en tant qu interface principale la page 47 pour plus d informations sur la configuration du p riph rique commutateur virtuel pour DHCP 4 Cr ez le fichier etc dhcp vsw si n cessaire 5 Configurez le routage IP dans le domaine de service et installez les tables de routage requises dans tous les domaines Pour plus d informations sur cette proc dure reportez vous la section Packet Forwarding and Routing on IPv4 Networks du chapitre 5 Configuring TCP IP Network Services and IPv4 Administration du manuel System Administration Guide IP Services de Solaris Express System Administrator Collection Utilisation de ZFS avec des disques virtuels Cette section d crit les sujets suivants concernant l utilisation du syst me de fichiers ZFS Zettabyte File System avec des disques virtuels sur des domaines logiques m Cr ation d un di
118. r voir les versions des logiciels actuellement install es effectuez l op ration suivante EXEMPLE DE CODE 5 2 Versions des logiciels install es primarvs ldm V Logical Domain Manager v 1 0 2 Hypervisor control protocol v 1 0 60 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 EXEMPLE DE CODE 5 2 Versions des logiciels install es suite System PROM Hypervisor v 1 5 2 Hypervisor 1 5 2 2007 09 25 08 39 015 OpenBoot v 4 27 2 OBP 4 27 2 2007 09 24 16 28 V Proc dure de g n ration d une liste courte Pour g n rer une liste courte pour tous les domaines proc dez comme suit EXEMPLE DE CODE 5 3 Liste courte pour tous les domaines primarysS ldm list NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active t cv 4 1G 0 5 3d 21h 7m ldg1 active t 5000 8 1G 23 2m V Proc dure de g n ration d une liste longue 1 Pour g n rer une liste longue pour tous les domaines proc dez comme suit EXEMPLE DE CODE 5 4 Liste longue pour tous les domaines primary S ldm list 1 NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active t cv 1 768M 0 0 Os VCPU VID PID UTIL STRAND 0 0 0 0 100 MEMORY RA PA SIZE 0x4000000 0x4000000 768M IO DEVICE PSEUDONYM OPTIONS pci 780 bus_a pci 7c0 bus_b bypass on VCC NAME PORT RANGE veco 5000 5100 VSW NAME MAC NET DEV DEVICE MODE vsw0 08 00 20 aa bb e0 e1000g0
119. raints p VERSION 1 0 DOMAIN name primary MAC mac addr 00 03 ba d8 b1 46 VCPU count 4 MEMORY size 805306368 IO dev pci 780 alias dev pci 7c0 alias VDS name primary vds0 vol disk 1dg2 opts dev ldoms nv72 1dg2 disk vol vol10 opts dev ldoms nv72 1dg1 disk VCC name primary vcc0 port range 5000 5100 VSW name primary vsw0 mac addr net dev e1000g0 dev switch 0 DOMAIN name 1dg1 VCPU count 8 MEMORY size 1073741824 Chapitre 5 Informations et t ches compl mentaires 71 EXEMPLE DE CODE 5 15 Contraintes pour tous les domaines dans un format lisible par une machine suite VARIABLES boot device virtual devices 100 channel devices 200 disk 0 a Invramrc devalias vnetO virtual devices 100 channel devices 200 network 0 use nvramre true VNET name vnet 0 dev network 0 service primary vsw0 mac addr 01 14 4f fa 0 55 VDISK name vdisk0 vol vol0 primary vds0 La commande ldm stop domain peut expirer si le domaine est tres charg Une commande 14m stop domain peut expirer avant l arr t complet du domaine Si cela se produit Logical Domains Manager renvoie une erreur similaire la suivante LDom ldg8 stop notification failed Cependant le domaine devrait encore pouvoir traiter la requ te d arr t Utilisez la commande 14m list domain pour v rifier l tat du domaine Par exemple ldm list domain ldg8 NAME STATE FLAGS CONS VCPU MEMORY
120. re a un domaine logique avec une granularit de 8 Ko Chaque ordinateur virtuel peut tre g r en tant qu ordinateur compl tement ind pendant avec ses propres ressources telles que Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 un noyau des patchs et des param tres de r glage m des comptes utilisateurs et administrateurs des disques m des interfaces r seau des adresses MAC et des adresses IP Chaque ordinateur virtuel peut tre arr t d marr et red marr ind pendamment sans interruption du serveur Le logiciel hyperviseur est charg de maintenir une s paration entre les domaines logiques Il fournit galement des canaux de domaine logique LDC Logical Domain Channel afin de permettre aux domaines logiques de communiquer entre eux Gr ce ces LDC les domaines peuvent s changer des services mise en r seau ou services de disque par exemple Le contr leur syst me surveille et dirige l ordinateur physique mais ne g re pas les machines virtuelles C est le logiciel Logical Domains Manager qui dirige les machines virtuelles Logical Domains Manager Le logiciel Logical Domains Manager permet de cr er et de g rer des domaines logiques Seul un logiciel Logical Domains Manager est autoris par serveur Ce logiciel mappe les domaines logiques aux ressources physiques Chapitre 1 Pr sentation du logiciel Logical Domains 3 R les des domaines logiques La seul
121. requis par le programme d installation du syst me d exploitation Par exemple le programme d installation du SE Solaris requiert des param tres r gionaux EUC tandis que le programme d installation de Linux peut n cessiter des param tres r gionaux Unicode V Proc dure de mise niveau du microprogramme syst me Le microprogramme syst me de votre plate forme est disponible sur le site SunSolve http sunsolve sun com Reportez vous la section Patchs du microprogramme syst me requis des Notes de version Logical Domains LDoms 1 0 2 pour conna tre le microprogramme syst me utiliser sur les serveurs pris en charge Chapitre 3 Installation et activation du logiciel 19 Cette proc dure d crit comment mettre niveau un microprogramme syst me l aide de la commande flashupdate 1M sur le contr leur syst me m Si vous n avez pas acc s un serveur FTP local reportez vous la section Proc dure de mise niveau du microprogramme syst me sans serveur FTP la page 21 m Pour mettre jour le microprogramme syst me partir du domaine de contr le reportez vous aux notes de version du microprogramme syst me Reportez vous aux guides d administration ou aux notes sur le produit des serveurs pris en charge pour en savoir plus sur l installation et la mise jour des microprogrammes syst me de ces serveurs 1 Arr tez et mettez hors tension le serveur h te partir de l un des ports de gestio
122. resse MAC Allocation manuelle d adresses MAC La proc dure suivante vous indique comment cr er manuellement une adresse MAC V Proc dure d allocation manuelle d une adresse MAC 1 Convertissez la partie sous r seau de l adresse IP de l h te physique en format hexad cimal et enregistrez le r sultat grep hostname etc hosts awk print 1 awk F print f x 4 24 Chapitre 5 Informations et t ches compl mentaires 77 2 D terminez le nombre de domaines pr sents hormis le domaine de contr le opt SUNWldm bin ldm list domain NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME primary active n cv SP 4 768M 0 3 4h 54m myldom1 active n 5000 2 512M 1 9 1h 12m Il y a un seul domaine h te et vous devez inclure le domaine que vous voulez cr er le compte de domaines est donc 2 3 Ins rez l adresse IP convertie 27 apr s la cha ne du fournisseur 0x08020ab suivie de 10 plus le nombre de domaines logiques 2 dans cet exemple soit 12 0x08020ab and 27 and 12 0x08020ab2712 or 8 0 20 ab 27 12 Mappage de CPU et d adresse m moire L architecture de gestion des pannes FMA Fault Management Architecture de Solaris signale les erreurs de CPU en termes de num ro de CPU physique et les erreurs de m moire en termes d adresse de m moire physique Si vous voulez savoir dans quel domaine logique une erreur s est produite avec le num ro de CPU virtuelle ou l ad
123. resse de m moire r elle correspondant dans le domaine vous devez effectuer un mappage Mappage de CPU Le domaine et le num ro de CPU virtuelle dans le domaine correspondant un num ro de CPU physique donn peuvent tre d termin s l aide des proc dures suivantes V Proc dure de d termination du num ro de CPU 1 G n rez une liste longue analysable pour tous les domaines primary s ldm 1s 1 p 2 Cherchez l entr e dans les sections VCPU de la liste ayant un champ pid gal au num ro de CPU physique 78 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 m Si vous trouvez une telle entr e la CPU se trouve dans le domaine sous lequel l entr e est affich e et le num ro de CPU virtuelle dans le domaine est donn par le champ vid de l entr e m Si une telle entr e n existe pas la CPU ne se trouve dans aucun domaine Mappage de m moire Le domaine et l adresse de m moire r elle dans le domaine correspondant une adresse de m moire physique donn e peuvent tre d termin s de la mani re suivante Proc dure de d termination de l adresse r elle 1 G n rez une liste longue analysable pour tous les domaines primary s ldm 1s 1 p 2 Recherchez dans les sections MEMORY de la liste la ligne o l adresse physique PA appartient la plage inclusive pa pa taille 1 soit pa lt PA lt pa taille 1 Ici pa et taille font r f rence d
124. rimary s ldm start domain 1dg1 11 Connectez vous 4 la console d un domaine h te Vous pouvez effectuer cette op ration de diff rentes mani res m Vous pouvez vous connecter au domaine de contr le puis directement au port console de l h te local ssh admin controldom domain telnet localhost 5001 a Vous pouvez galement vous connecter une console h te sur le r seau s il est activ dans le fichier manifeste SMF vntsd 1M Par exemple telnet host name 5001 Un fichier manifeste SMF Service Management Facility utilitaire de gestion de services est un fichier XML qui d crit un service Pour plus d informations sur la cr ation d un fichier manifeste SMF reportez vous au document Solaris 10 System Administrator Collection 52 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Remarque Pour acc der un syst me d exploitation en langue non anglaise sur un domaine h te via la console les param tres r gionaux du terminal de la console doivent tre ceux requis par le syst me d exploitation Installation JumpStart sur un domaine h te Pour effectuer une installation JumpStart sur un domaine h te utilisez une proc dure JumpStart normale et modifiez la syntaxe de profil de la mani re suivante afin de passer d une proc dure JumpStart du SE Solaris une proc dure JumpStart sp cifique LDoms comme indiqu dans les deux exemples suivants Profil JumpSt
125. rtuels d autres domaines logiques Domaine g r par le domaine de contr le et qui utilise les services des domaines d E S et de service Regroupement logique discret dot de son propre syst me d exploitation de ses propres ressources et de sa propre identit au sein d un seul syst me informatique Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 drd 1M DS F FC_AL FMA fmd 1M FTP G GLDv3 H HDD Hyperviseur Dynamic reconfiguration daemon d mon de reconfiguration dynamique de Logical Domains Manager SE Solaris 10 Domain Services module module des services de domaine SE Solaris 10 Pilote pour la famille de contr leurs d interface r seau Intel PRO 1000 Gigabit Extensible Firmware interface interface microprogramme extensible P riph riques d E S tels que des disques internes et des contr leurs PCI Express PCI E et les adaptateurs et p riph riques associ s Encoding Table Management module module de gestion de tables d encodage SE Solaris 10 Fiber Channel Arbitrated Loop boucle arbitr e Fibre Channel Fault Management Architecture architecture de gestion des pannes Fault Manager daemon d mon du gestionnaire de pannes SE Solaris 10 File Transfer Protocol protocole de transfert de fichier Generic LAN Driver version 3 pilote LAN g n rique version 3 Hard Disk Drive unit de disque dur Couche microprogramme entre le syst
126. s un utilisateur 39 Attribution de r les aux utilisateurs 39 v Proc dure de cr ation d un r le et d attribution un utilisateur 39 Configuration des services et des domaines logiques 41 Messages des commandes 41 Processeurs Sun UltraSPARC T1 41 Contenu v Processeurs Sun UltraSPARC T2 42 Cr ation des services par d faut 42 Y Proc dure de cr ation des services par d faut 42 Configuration initiale du domaine de contr le 44 v Proc dure de configuration du domaine de contr le 44 Red marrage et utilisation des domaines logiques 46 v Proc dure de red marrage et d utilisation des domaines logiques 46 Activation de la mise en r seau du domaine de contr le service et des autres domaines 46 v Proc dure de configuration du commutateur virtuel en tant qu interface principale 47 Activation du d mon du serveur de terminal r seau virtuel 48 Y Proc dure d activation du d mon du serveur de terminal r seau virtuel 48 Cr ation et lancement d un domaine h te 49 v Proc dure de cr ation et de lancement d un domaine h te 49 Installation JumpStart sur un domaine h te 53 5 Informations et t ches compl mentaires 55 Limitations pour la saisie des noms dans l interface de ligne de commande 55 Noms de fichier file et noms de variable var_name 55 Noms de serveur de disque virtuel file device et de commutateur virtuel 55 Nom de configuration config_name 56 Autres noms 56 Utilisation des sous comman
127. s d informations sur l installation et l utilisation du logiciel LDoms MIB 12 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Autorisation Il existe deux niveaux d autorisation pour le logiciel Logical Domains Manager m Lecture seule vous pouvez afficher mais pas modifier la configuration Lecture criture vous pouvez afficher et modifier la configuration Les modifications ne sont pas effectu es sur le SE Solaris mais sont ajout es au fichier d autorisation par le script postinstall du package lors de l installation de Logical Domains Manager De la m me fa on les entr es relatives aux autorisations sont supprim es par le script preremove du package Le tableau suivant contient la liste des sous commandes 1dm ainsi que l autorisation utilisateur requise pour les ex cuter TABLEAU 2 1 Sous commandes 1dm et autorisations utilisateur Sous commande Idm Autorisation utilisateur add solaris ldoms write bind domain solaris ldoms write list solaris ldoms read list solaris ldoms read panic domain solaris ldoms write remove solaris ldoms write set solaris ldoms write start domain solaris ldoms write stop domain solaris ldoms write unbind domain solaris ldoms write Fait r f rence toutes les ressources que vous pouvez ajouter r pertorier supprimer ou d finir Audit L audit des commandes CLI de Logical Domains Manager s effectue via l audit BSM du SE Solaris Reportez vo
128. s en charge des Notes de version Logical Domains LDoms 1 0 2 pour obtenir la liste compl te des serveurs pris en charge Consultez les informations qui vous int ressent dans ce chapitre en fonction de la plate forme que vous utilisez Si vous utilisez Logical Domains sur la nouvelle plate forme Sun UltraSPARC T2 tout le logiciel a d j t pr install en usine Mise niveau du SE Solaris Cette section contient les informations n cessaires pour enregistrer et restaurer le fichier de la base de donn es des contraintes de Logical Domains ou pour effectuer une mise niveau en ligne sur le domaine de contr le Enregistrement et restauration de la base de donn es des contraintes de Logical Domains Chaque fois que vous mettez niveau le syst me d exploitation sur le domaine de contr le il vous faut enregistrer et restaurer la base de donn es des contraintes de Logical Domains qui se trouve dans le fichier var opt SUNW1dm 1dom db xml Remarque Vous devez galement enregistrer et restaurer le fichier var opt SUNW1dm 1dom db xm1 lorsque vous effectuez toute autre op ration destructrice envers les donn es du domaine de contr le comme un remplacement de disque Utilisation de Live Upgrade sur le domaine de contr le Si vous utilisez Live Upgrade pour effectuer une mise niveau sur le domaine de contr le envisagez l ajout de la ligne suivante au fichier etc lu synclist var opt SUNW1dm 1dom
129. ses MAC r cemment lib r es en vue d un usage ult rieur possible sur ce syst me Ces adresses sont enregistr es pour viter l puisement des adresses IP Internet Protocol partir d un serveur DHCP Dynamic Host Configuration Protocol Les serveurs DHCP allouent des adresses IP sur des plages de temps Ces plages sont souvent configur es pour durer quelques heures ou quelques jours Si les p riph riques r seau sont cr s et supprim s une cadence lev e sans que Logical Domains Manager r utilise automatiquement les adresses MAC allou es le nombre de ces adresses pourrait bient t submerger un serveur DHCP configur de fa on standard Lorsqu une instance Logical Domains Manager est sollicit e pour obtenir automatiquement une adresse MAC pour un domaine logique ou un p riph rique r seau elle consulte d abord la base de donn es des adresses MAC lib r es pour voir si une adresse pr c demment assign e peut tre r utilis e S il existe une adresse MAC disponible dans la base de donn es l algorithme de d tection d adresses dupliqu es est ex cut Si l adresse n a pas t r attribu e depuis sa lib ration elle peut tre r utilis e et supprim e de la base de donn es Si un conflit est d tect l adresse est simplement supprim e de la base de donn es Logical Domains Manager essaie alors l adresse suivante dans la base de donn es ou si aucune n est disponible choisit de fa on al atoire une nouvelle ad
130. sid rations relatives la s curit 9 Solaris Security Toolkit et Logical Domains Manager 10 S curisation 11 Minimisation des domaines logiques 12 Autorisation 13 Audit 13 Conformit 14 3 Installation et activation du logiciel 15 Mise niveau du SE Solaris 15 Enregistrement et restauration de la base de donn es des contraintes de Logical Domains 15 Utilisation de Live Upgrade sur le domaine de contr le 16 Mise niveau vers LDoms 1 0 2 16 Y Proc dure de mise niveau de LDoms 1 0 vers LDoms 1 0 2 16 Installation du logiciel sur le domaine de contr le 18 v Proc dure d installation du SE Solaris 10 19 v Proc dure de mise niveau du microprogramme syst me 19 Y Proc dure de mise niveau du microprogramme syst me sans serveur FTP 21 Y Proc dure de mise niveau inf rieure de la version du microprogramme syst me 21 T l chargement de Logical Domains Manager et de Solaris Security Toolkit 22 Y Proc dure de t l chargement de Logical Domains Manager Solaris Security Toolkit et Logical Domains MIB 22 Installation de Logical Domains Manager et de Solaris Security Toolkit 23 Installation des logiciels Logical Domains Manager 1 0 2 et Solaris Security Toolkit 4 2 l aide du script d installation 23 v Proc dure d installation l aide du script instal1 1dm sans aucune option 25 v Proc dure d installation l aide du script instal1 1dmet de l option d 28 v Proc dure d installation a l a
131. sign e un p riph rique sur un autre syst me LDoms l instance Logical Domains Manager de ce syst me l renvoie une r ponse contenant l adresse en question Si l instance Logical Domains Manager demandeuse re oit une r ponse elle sait que l adresse choisie est d j allou e et it re pour en choisir une autre Par d faut ces messages multidiffus s sont envoy s uniquement aux gestionnaires du m me sous r seau la dur e de vie TTL time to live par d faut est 1 La dur e de vie TTL peut tre configur e en utilisant la propri t SMF Service Management Facilities utilitaires de gestion de services 14md hops Chaque Logical Domains Manager est responsable des t ches suivantes coute des messages de multidiffusion m Suivi des adresses MAC assign es dans ses domaines m Recherche de doublons m R ponse pour emp cher les doublons Si Logical Domains Manager est arr t pour une raison quelconque sur un syst me des adresses MAC pourraient tre dupliqu es tant qu il ne fonctionne pas 76 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 L allocation MAC automatique se produit au moment de la cr ation du domaine logique ou du p riph rique r seau et persiste tant que celui ci n est pas supprim Adresses MAC lib r es Lorsqu un domaine logique ou un p riph rique associ une adresse MAC automatique est supprim cette adresse est enregistr e dans une base de donn es d adres
132. sque virtuel partir du domaine h te sont galement accessibles directement a partir du domaine de service via le volume associ Exemples 104 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 m Si le volume SVM dO est export partir du domaine primary vers domain1 alors la configuration de domain1 n cessite quelques tapes suppl mentaires primary metainit d0 3 1 c2t70d0s6 1 c2t80d0s6 1 c2t90d0s6 primary ldm add vdsdev dev md dsk d0 vol3 primary vds0 primary ldm add vdisk vdisk3 vol3 primary vds0 domaini m Une fois domain1 li et d marr le volume export appara t comme dev dsk c0d2s0 par exemple et vous pouvez l utiliser domainl newfs dev rdsk c0d2s0 domaini mount dev dsk c0d2s0 mnt domaini echo test domain1i gt mnt file m Une fois domain1 arr t et dissoci les donn es stock es sur le disque virtuel partir de domain1 sont accessibles directement partir du domaine principal via le volume SVM do primary mount dev md dsk d0 mnt primary cat mnt file test domainl Remarque Un tel disque virtuel n est pas visible par la commande format 1M et ne peut tre partitionn ni utilis comme un disque d installation pour le SE Solaris Reportez vous la section Certaines options de la commande format 1M ne fonctionnent pas avec des disques virtuels a la page 92 pour plus d informations 4 ce sujet Utilisation de disques v
133. sque virtuel sur un volume ZFS la page 99 m Utilisation de ZFS sur un disque virtuel la page 100 m Utilisation de ZFS sur des disques d initialisation la page 102 98 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 Cr ation d un disque virtuel sur un volume ZFS Les proc dures suivantes expliquent comment cr er un volume ZFS dans un domaine de service et le rendre disponible aux autres domaines en tant que disque virtuel Dans cet exemple le domaine de service identique au domaine de contr le est nomm primary Le domaine h te est nomm 1dg1 par exemple Les invites de chaque tape montrent dans quel domaine la commande sera ex cut e V Proc dure de cr ation d un disque virtuel sur un volume ZFS 1 Cr ez un pool de stockage ZFS zpool primary zpool create f tank1 c2t42d1 2 Cr ez un volume ZFS primary zfs create V 100m tank1 myvol 3 V rifiez que le zpool tank1 dans cet exemple et le volume ZFS tank myvol dans cet exemple ont t cr s primary zfs list NAME USED AVAIL REFER MOUNTPOINT tank1 100M 43 0G 24 5K tank1l tank1 myvol 22 5K 43 1G 22 5K 4 Configurez un service qui exporte tank1 myvol en tant que disque virtuel primary ldm add vdsdev dev zvol rdsk tank1 myvol zvol primary vds0 5 Ajoutez le disque export a un autre domaine 1dg1 dans cet exemple primary ldm add vdisk vzdisk zv
134. ssociation du p riph rique r seau physique affect au commutateur virtuel net dev e1000g0 dans cet exemple primary ifconfig e1000g0 down unplumb 5 Pour migrer les propri t s du p riph rique r seau physique e1000g0 vers le p riph rique commutateur virtuel vsw0 entrez l une des commandes suivantes m Si la mise en r seau est configur e via une adresse IP statique utilisez cette adresse et le masque de r seau e1000g0 pour vsw0 primary ifconfig vsw0 IP_of_e1000g0 netmask netmask_of_e1000g0 broadcast up m Si la mise en r seau est configur e via DHCP activez DHCP pour vsw0 primary ifconfig vsw0 dhcp start Chapitre 4 Configuration des services et des domaines logiques 47 6 Apportez les modifications n cessaires au fichier de configuration afin qu elles prennent effet primary mv etc hostname e1000g0 etc hostname vsw0 primary mv etc dhcp e1000g0 etc dhcp vsw0 Remarque Le cas ch ant vous pouvez galement configurer le commutateur virtuel ainsi que le p riph rique r seau physique Dans ce cas associez le commutateur virtuel comme indiqu l tape 2 et n annulez pas l association du p riph rique physique ignorez l tape 4 Le commutateur virtuel doit ensuite tre configur via une adresse IP statique ou via une adresse IP dynamique partir d un serveur DHCP Activation du d mon du serveur de terminal r seau virtuel Vous devez activer le d
135. st me de lame virtuelle Virtual console concentrator service service de concentrateur de consoles virtuelles dot d une plage de num ros de port sp cifique affecter aux domaines h tes Virtual console console virtuelle permettant d acc der aux messages syst me Une connexion s effectue en connectant le service vconscon du domaine de contr le un port sp cifique Glossaire 117 vcpu vdc vdpcc vdpcs vdisk vds vdiskserver vdsdev vdiskserverdevice vnet vntsd 1M vsw vswitch VTOC VxVM WAN 118 Virtual central Processing Unit unit de calcul centrale virtuelle Chaque c ur d un serveur est repr sent par une CPU virtuelle Par exemple un serveur Sun Fire T2000 8 c urs dispose de 32 CPU virtuelles pouvant tre affect es entre les domaines logiques Virtual Disk Client client de disque virtuel Virtual data plane channel client client du canal de plan de donn es virtuelles dans un environnement NDPS Virtual data plane channel service service du canal de plan de donn es virtuelles dans un environnement NDPS Virtual disks les disques virtuels sont des p riph riques en mode bloc g n riques bas s sur plusieurs types de p riph riques volumes ou fichiers physiques virtual disk server serveur de disque virtuel qui permet d importer des disques virtuels dans un domaine logique virtual disk server device p riph rique serveur de disque virtuel qui est export p
136. t memory mem add memory lt number gt GMK lt ldom gt Chapitre 5 Informations et t ches compl mentaires 57 EXEMPLE DE CODE 5 1 Utilisation de la syntaxe pour les toutes sous commandes 1dm suite set memory lt number gt GMK lt ldom gt remove memory lt number gt GMK lt ldom gt reconf remove reconf lt ldom gt spconfig config add spconfig lt config_name gt set spconfig lt config_name gt remove spconfig lt config_name gt list spconfig variable var add variable lt var_name gt lt value gt lt ldom gt set variable lt var_name gt lt value gt lt ldom gt remove variable lt var_name gt lt ldom gt list variable lt var_name gt lt ldom gt vconscon vec add vconscon port range lt x gt lt y gt lt vcc_name gt lt ldom gt set vconscon port range lt x gt lt y gt lt vcc_name gt remove vconscon f lt vcc_name gt vconsole vcons set vcons port lt port num gt group lt group gt service lt vcc_server gt lt ldom gt vcpu add vcpu lt number gt lt ldom gt set vcpu lt number gt lt ldom gt remove vcpu lt number gt lt ldom gt vdisk add vdisk timeout lt seconds gt lt disk_name gt lt volume_name gt lt service_name gt lt ldom gt remove vdisk f lt disk_name gt lt ldom gt vdiskserver vds add vdiskserver lt service_name gt lt ldom gt remove vdiskserver f lt service_name gt vdpcc ndpsldcc add vdpcc
137. t 74 Plage d adresses MAC assign es au logiciel Logical Domains 75 Algorithme d assignation automatique 75 D tection d adresses MAC dupliqu es 76 Adresses MAC lib r es 77 Allocation manuelle d adresses MAC 77 Y Proc dure d allocation manuelle d une adresse MAC 77 Contenu vii viii Mappage de CPU et d adresse m moire 78 Mappage de CPU 78 v Proc dure de d termination du num ro de CPU 78 Mappage de m moire 79 v Proc dure de d termination de l adresse r elle 79 Exemples de mappage de CPU et de m moire 79 Configuration du bus Split PCI Express pour utiliser plusieurs domaines logiques 81 v Proc dure de cr ation d une configuration Split PCI 82 Activation du mode vitement MMU E S sur un bus PCI 85 Utilisation des groupes de consoles 85 Y Proc dure de combinaison de plusieurs consoles dans un groupe 86 D placement d un domaine logique d un serveur l autre 87 v Proc dure de configuration des domaines en vue d un d placement 87 Y Proc dure de d placement du domaine 87 Suppression de domaines logiques 88 Y Proc dure de suppression de tous les domaines logiques h tes 88 Fonctionnement du SE Solaris avec Logical Domains 89 Microprogramme OpenBoot non disponible apr s le d marrage du SE Solaris si la mise en domaine est activ e 89 Arr t puis remise sous tension d un serveur 90 v Proc dure d enregistrement des configurations de domaines logiques actuelles sur le contr leur syst me 90 R sultat d une com
138. tc path_to_inst pour trouver le chemin physique des ports r seau int gr s primary grep e1000g etc path_to_inst 5 Supprimez le n ud terminal ne contenant pas le disque d initialisation pci 780 dans cet exemple du domaine primary primary ldm remove io pci 780 primary 6 Ajoutez cette configuration Split PCI split cfg dans cet exemple au contr leur syst me primary ldm add config split cfg Cette configuration split cfg est galement d finie comme la prochaine configuration utiliser apr s le red marrage Remarque Actuellement le nombre de configurations pouvant tre enregistr es sur le contr leur syst me est limit 8 sans compter la configuration factory default 7 Red marrez le domaine primary pour que le changement prenne effet primary shutdown i6 g0 y Chapitre 5 Informations et t ches compl mentaires 83 8 Ajoutez le n ud terminal pci 780 dans cet exemple au domaine 14g1 dans cet exemple ayant besoin d un acc s direct primary ldm add io pci 780 ldgi Notice the LDom Manager is running in configuration mode Any configuration changes made will only take effect after the machine configuration is downloaded to the system controller and the host is reset Si vous avez une carte Infiniband il vous faudra peut tre activer le mode vitement sur le bus pci 780 Consultez la section Activation du mode vitement
139. tif install ldm fin installe le package SUNW1dm Obligatoire enable 1dmd fin active le d mon Logical Domains Manager 1dmd Obligatoire enable ssh root login fin permet au superutilisateur de se connecter directement via le shell s curis ssh Facultatif m Les fichiers suivants ont t modifi s Vous n tes pas oblig d appliquer ces modifications vos pilotes personnalis s elles portent la mention Facultatif Chapitre 2 S curit 11 etc ssh sshd_config l acc s au compte racine est autoris sur tout le r seau Ce fichier n est utilis dans aucun pilote Facultatif etc ipf ipf conf le port UDP 161 SNMP est ouvert Facultatif etc host allow le d mon du shell s curis sshd est ouvert sur tout le r seau pas seulement sur le sous r seau local Facultatif Les scripts finish suivants sont d sactiv s mis en commentaire Vous devez commenter le script disable rpc fin dans tous vos pilotes personnalis s Les autres modifications sont facultatives Les scripts portent la mention Obligatoire ou Facultatif enable ipfilter fin indique que le filtre IP filtre de paquets r seau n est pas activ Facultatif disable rpc fin laisse le service RPC Remote Procedure Call appel de proc dure a distance activ Le service RPC est utilis par beaucoup d autres services syst me comme NIS Network Information Service service d information r seau et
140. tif pour construire et s curiser des SE Solaris Solaris Security Toolkit permet de s curiser les p riph riques indispensables la gestion du serveur y compris le domaine de contr le de Logical Domains Manager Le package SUNWjass du logiciel Solaris Security Toolkit 4 2 s curise le syst me d exploitation Solaris sur le domaine de contr le via l utilisation du script instal1 14m de diff rentes mani res m En s curisant automatiquement le domaine de contr le l aide du script install install 1dm et du pilote de contr le propre Logical Domains Manager ldm_control secure driver m En s lectionnant un autre pilote lors de l utilisation du script install m En ne s lectionnant aucun pilote lors de l utilisation du script install et en appliquant votre propre s curisation de Solaris Les packages SUNWjass et SUNW1dm de Logical Domains LDoms Manager 1 0 2 sont disponibles sur le site de t l chargement de Sun Vous pouvez t l charger et installer le logiciel Solaris Security Toolkit 4 2 en m me temps que Logical Domains Manager 1 0 2 Solaris Security Toolkit version 4 2 contient tous les patchs requis pour utiliser Solaris Security Toolkit avec le logiciel Logical Domains Manager Une fois Solaris Security Toolkit 4 2 install vous pouvez s curiser le syst me Le chapitre 3 vous indique comment installer et configurer Solaris Security Toolkit et s curiser le domaine de contr le Les utilisateurs de Logical D
141. tilisateurs finaux pour des armes nucleaires des missiles des armes biologiques et chimiques ou du nucleaire maritime directement ou indirectement sont strictement interdites Les exportations ou reexportations vers des pays sous embargo des Etats Unis ou vers des entites ngurani sur les listes d exclusion d exportation americaines y compris mais de maniere non exclusive la liste de personnes qui font objet d un ordre de ne pas participer d une facon directe ou indirecte aux exportations des produits ou des services qui sont regi par la legislation americaine en matiere de controle des exportations et la liste de ressortissants specifiquement designes sont rigoureusement interdites LA DOCUMENTATION EST FOURNIE EN L TAT ET TOUTES AUTRES CONDITIONS D CLARATIONS ET GARANTIES EXPRESSES OU TACITES SONT FORMELLEMENT EXCLUES DANS LA LIMITE DE LA LOI APPLICABLE Y COMPRIS NOTAMMENT TOUTE GARANTIE IMPLICITE RELATIVE LA QUALIT MARCHANDE L APTITUDE UNE UTILISATION PARTICULI RE OU L ABSENCE DE CONTREFA ON Qa m Adobe PostScript Contenu Pr face xvii Pr sentation du logiciel Logical Domains 1 Hyperviseur et domaines logiques 1 Logical Domains Manager 3 R les des domaines logiques 4 Interface de ligne de commande 4 Entr e Sortie virtuelle 5 R seau virtuel 6 Stockage virtuel 6 Consoles virtuelles 6 Reconfiguration dynamique 6 Reconfiguration diff r e 7 Configurations permanentes 8 S curit 9 Con
142. tion de la s curisation Il est toutefois d conseill de ne pas effectuer de s curisation via le logiciel Solaris Security Toolkit vous devez uniquement le faire si vous avez l intention de s curiser le domaine de contr le l aide d un autre processus a Si vous lancez le script install 1dm avec l option p les seules op rations de post installation effectu es sont l activation du d mon de Logical Domains Manager 1dmd et l ex cution du logiciel Solaris Security Toolkit Vous pouvez par exemple utiliser cette option si les packages SUNW1dm et SUNWjass sont pr install s sur le serveur Reportez vous la section Proc dure d installation l aide du script install 1ldm et de l option p la page 30 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 V Proc dure d installation l aide du script install ldm sans aucune option Ex cutez le script d installation sans aucune option Le script d installation se trouve dans le sous r pertoire Install du package SUNW1dm Install install ldm a Si un ou plusieurs packages ont d j t install s vous recevez ce message Install install ldm ERROR One or more packages are already installed SUNWldm SUNWjass If packages SUNWldm v and SUNWjass are factory pre installed run install ldm p to perform post install actions Otherwise remove the package s and restart install ldm Si vous souhaitez effectuer des op rations
143. tographiques d finissez set mau sur 0 Dans l exemple suivant une ressource cryptographique est affect e au domaine de contr le primary Les autres ressources cryptographiques restent ainsi disponibles pour un domaine h te primary ldm set mau 1 primary 44 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 2 Affectez des CPU virtuelles au domaine de contr le Dans la commande suivante par exemple 4 CPU virtuelles sont affect es au domaine de contr le primary Les autres CPU virtuelles restent ainsi disponibles pour un domaine h te primary ldm set vcpu 4 primary 3 Affectez de la m moire au domaine de contr le Dans la commande suivante par exemple 1 Go de m moire est affect au domaine de contr le primary La quantit de m moire restante demeure ainsi disponible pour un domaine h te primary ldm set memory 1G primary Remarque Si vous n utilisez pas le syst me de fichiers ZFS pour acc der aux services de disque 1 Go de m moire doit suffire Si vous utilisez ce systeme de fichiers vous devez alors affecter un noyau complet de 4 CPU virtuelles et au minimum 4 Go de m moire Vous devrez peut tre affecter des noyaux complets suppl mentaires en cas de charge d E S plus lev e 4 Ajoutez une configuration d ordinateur de domaine logique au SC System Controller contr leur syst me La commande suivante par exemple ajoute une configuration appel e i
144. u logiciel Logical Domains Manager LDoms 1 0 2 la page 33 m Facultatif Proc dure d installation manuelle du logiciel Solaris Security Toolkit 4 2 la page 34 m Facultatif Proc dure de s curisation manuelle du domaine de contr le la page 34 V Proc dure d installation manuelle du logiciel Logical Domains Manager LDoms 1 0 2 T l chargez le logiciel Logical Domains Manager 1 0 2 le package SUNW1dm partir du site de t l chargement de logiciels de Sun Reportez vous la section Proc dure de t l chargement de Logical Domains Manager Solaris Security Toolkit et Logical Domains MIB la page 22 pour obtenir des instructions sp cifiques sur le t l chargement de logiciel 1 Utilisez la commande pkgadd 1M pour installer le package SUNWI dm v Utilisez l option G pour installer le package dans la zone globale uniquement et l option d pour sp cifier le chemin vers le r pertoire contenant le package SUNWIdm v pkgadd Gd SUNWldm v 2 R pondez y yes a toutes les questions qui s affichent dans les fen tres interactives Chapitre 3 Installation et activation du logiciel 33 3 Utilisez la commande pkginfo 1 pour v rifier que le package SUNW1ldm du logiciel Logical Domains Manager 1 0 2 est bien install Le message obtenu suite cette commande REV est semblable celui ci pkginfo 1 SUNWldm grep VERSION VERSION 1 0 2 REV 2007 08 23 10 20
145. ues virtuels sont des p riph riques en mode bloc g n riques bas s sur plusieurs types de p riph riques volumes ou fichiers physiques Un disque virtuel n est pas synonyme de disque SCSI par cons quent l ID cible ne figure pas dans son nom Les disques virtuels d un domaine logique ont le format suivant cNdNsN cN repr sente le contr leur virtuel dN repr sente le num ro du disque virtuel et sN repr sente la tranche Chapitre 4 Configuration des services et des domaines logiques 51 7 D finissez les variables auto boot et boot device pour le domaine h te Dans le premier exemple la commande d finit auto boot sur true pour le domaine h te 1dg1 primary ldm set var auto boot true ldg1 Dans le deuxi me exemple la commande d finit boot device sur vdisk pour le domaine h te 1dg1 primary ldm set var boot device vdisk ldg1 8 Associez des ressources au domaine h te 1491 et affichez le contenu du domaine pour vous assurer qu il est bien associ primary ldm bind domain ldg1 primary ldm list domain ldg1 NAME STATE FLAGS CONS VCPU MEMORY UTIL UPTIME ldg1 bound 5001 4 512M 9 Pour conna tre le port console du domaine h te examinez le contenu du message de la sous commande list domain pr c dente Sous l en t te Cons vous voyez que le nom de la console du domaine h te logique 1 1dg1 est associ au port 5001 10 Lancez le domaine h te 1dg1 p
146. un Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWjass gt was successful Verifying that all packages are fully installed OK Enabling services svc ldoms ldmd default Solaris Security Toolkit was not applied Bypassing the use of the Solaris Security Toolkit is not recommended and should only be performed when alternative hardening steps are to be taken Chapitre 3 Installation et activation du logiciel 29 V Proc dure d installation l aide du script install 1dm et de l option p Si les packages SUNW1dm et SUNWjass sont pr install s sur le serveur vous pouvez utiliser cette option pour lancer les op rations de post installation consistant activer le d mon de Logical Domains Manager 1dmd et ex cuter le logiciel Solaris Security Toolkit Ex cutez le script d installation avec l option p pour effectuer les op rations de post installation consistant activer 1dmd et ex cuter le logiciel Solaris Security Toolkit pour s curiser le syst me Install install ldm p Verifying that all packages are fully installed OK Enabling services svc ldoms ldmd default Running Solaris Security Toolkit 4 2 0 driver ldm_control secure driver Please wait opt SUNWjass bin jass execute q d ldm_control secure driver Solaris Security Toolkit hardening executed successfully log file var opt SUNWjass run 20070515140944 jass install log
147. un se trouvent dans la version Solaris 10 11 06 au minimum Toutefois un microprogramme syst me et le logiciel Logical Domains Manager sont galement requis pour utiliser les domaines logiques Reportez vous la section Logiciel requis et recommand des Notes de version Logical Domains LDoms 1 0 2 pour plus d informations ce sujet Hyperviseur et domaines logiques Cette section contient une pr sentation succincte de l hyperviseur SPARC et des domaines logiques qu il prend en charge L hyperviseur SPARC est un microprogramme all g qui fournit une architecture de virtualisation stable permettant d assurer l ex cution d un syst me d exploitation Les serveurs Sun dot s de cet hyperviseur offrent des caract ristiques mat rielles pour prendre en charge le contr le des activit s d un syst me d exploitation logique Un domaine logique est un regroupement logique discret dot de son propre syst me d exploitation de ses propres ressources et de sa propre identit au sein d un seul syst me informatique Chaque domaine logique peut tre cr supprim reconfigur et red marr ind pendamment sans interruption du serveur Vous pouvez ex cuter toute une vari t de logiciels d application dans diff rents domaines logiques ind pendants des fins de s curit et de performances Chaque domaine logique est autoris observer et interagir uniquement avec les ressources serveur que l hyperviseur a rendues disp
148. undone through the Solaris Security Toolkit s undo feature This can be done with the opt SUNWjass bin jass execute u command Installing LDoms and Solaris Security Toolkit packages pkgadd n d var tmp install Product Logical_Domain_Manager a pkg_admin SUNW1dm v Copyright 2006 Sun Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWldm gt was successful pkgadd n d var tmp install Product Solaris_Security_Toolkit a pkg_admin SUNWjass Copyright 2005 Sun Microsystems Inc All rights reserved Use is subject to license terms Installation of lt SUNWjass gt was successful Verifying that all packages are fully installed OK Enabling services svc ldoms 1ldmd default Running Solaris Security Toolkit 4 2 0 driver secure driver Please wait opt SUNWjass bin jass execute q d secure driver Executing driver secure driver Solaris Security Toolkit hardening executed successfully log file Chapitre 3 Installation et activation du logiciel 27 EXEMPLE DE CODE 3 3 Exemple de message de choix de profil de configuration personnalis suite var opt SUNWjass run 20070102142843 jass install log txt It will not take effect until the next reboot Before rebooting make sure SSH or the serial line is setup for use after the reboot Vv Proc dure d installation l aide du script install 1dm et de l option d Ex cutez le script d insta
149. us System Administration Guide Security Services du SE Solaris 10 pour en savoir plus sur l utilisation de l audit BSM L audit BSM n est pas activ par d faut pour le logiciel Logical Domains Manager l infrastructure est toutefois fournie Il existe deux fa ons d activer ce module m En ex cutant le script finish enable bsm fin dans Solaris Security Toolkit m Utilisez la commande bsmconv 1M du SE Solaris Chapitre 2 S curit 13 Pour en savoir plus sur l activation la v rification la d sactivation l impression et la rotation des journaux l aide de l audit BSM via le logiciel Logical Domains Manager reportez vous la section Activation et utilisation de l audit BSM la page 94 Conformit Solaris Security Toolkit dispose de ses propres fonctions d audit Ce logiciel peut valider automatiquement la s curisation de tout syst me ex cutant le SE Solaris en la comparant un profil de s curit pr d fini Reportez vous la section Auditing System Security du Solaris Security Toolkit 4 2 Administration Guide pour en savoir plus sur la fonction de conformit 14 Guide d administration Logical Domains LDoms 1 0 2 F vrier 2008 CHAPITRE O Installation et activation du logiciel Ce chapitre d crit comment installer et activer le logiciel Logical Domains Manager 1 0 2 et d autres logiciels sur un domaine de contr le sur les serveurs pris en charge Reportez vous la section Serveurs pri
150. ut tre programm pour assigner chaque nceud terminal 4 un domaine s par en utilisant Logical Domains Manager Par cons quent vous pouvez activer plusieurs domaines avec un acc s direct aux p riph riques physiques au lieu d utiliser la virtualisation E S Lorsque le syst me Logical Domains est sous tension le domaine de contr le primary utilise toutes les ressources des p riph riques physiques si bien que les deux n uds terminaux du bus PCI E appartiennent au domaine principal Chapitre 5 Informations et t ches compl mentaires 81 Attention Tous les disques internes des serveurs pris en charge sont reli s un seul n ud terminal Si un domaine de contr le est initialis partir d un disque interne ne supprimez pas ce n ud terminal du domaine Assurez vous aussi de ne pas supprimer le n ud terminal avec le port principal du r seau Si vous supprimez le mauvais n ud terminal du domaine de contr le ou de service ce domaine ne sera plus capable d acc der aux p riph riques demand s et deviendra inutilisable Si le port principal du r seau est sur un bus diff rent de celui du disque syst me d placez le c ble r seau vers un port r seau int gr et utilisez Logical Domains Manager pour reconfigurer le commutateur virtuel vsw afin de refl ter ce changement Vv Proc dure de cr ation d une configuration Split PCI L exemple affich ici est relatif un serveur Sun Fire T2000 Cette proc dure peut
Download Pdf Manuals
Related Search
Related Contents
HERE - Nemoto modelo el-376s manual de instruções 取扱説明書[F-CK327] Elixir M2F4G64CB8HB5N-CG memory module Samsung 19" SyncMaster NC190 LF19PPBCB/EN Brugervejledning 詳細情報 (HTML形式) 121031_AVQ_Windows_8_tcm6-169704 Open PDF Manual de instrucciones separadores ES MN-000000 User manual for I52 valve ref- https://telegra.ph/Calculate-Wire-Resistor-from-Voltage-Drop-3335a82f-11-16
- https://telegra.ph/Wire-Size-Calculator-From-Voltage-Drop-b07f2a09-11-16
- https://telegra.ph/Concrete-Mix-Calculator-0b3a4452-11-17
- https://telegra.ph/Wall-Concrete-Volume-Calculator-5847c931-11-13
- https://telegra.ph/Concrete-Mix-Calculator-d84a7050-11-13
- https://telegra.ph/Calculat-Wire-Area-From-Voltage-Drop-be0c8aab-11-18
- https://telegra.ph/Calculat-Wire-Area-From-Voltage-Drop-2a4c6268-11-18
- https://telegra.ph/Calculate-Current-from-Voltage-Drop-f05a16f8-11-18
- https://telegra.ph/Calculate-Current-from-Voltage-Drop-1aea4c68-11-18
- https://telegra.ph/AC-Three-phase-Voltage-Drop-Calculator-5ab42eec-11-18