Solaris Zones HOWTO

что-то я совсем не замечаю описания "Solaris Zones - что это такое" а тем более подробного ответа. так, пара команд и все. равно как и сравнения зон с BSD jail (оба слова встречаются по тексту ровно по одному разу).

вывод: автору новости уже можно устраиваться журналистом в местную желтую прессу :-/

ps: http://docs.sun.com/app/docs/doc/817-1592 привели бы, чтоль. просто для приличия.

// wbr

zones это действительно офигительно круто

--седайко стюмчик

Странно, после выхода Solaris 10 6/06, где главная фишка ZFS, народ только начинает читать про зоны. Эта фишка давняя, полезная и настраивается с полпинка. Зоны это верхушка айсберга, вместе с ACL, RSBAC, resourсe pools и ipf зоны образуют контейнеры, вот в чем сила. А вместе с ZFS так еще и инкрементальные бэкапы, моментальные снэпшоты, откаты, квотирование, ограниченную видимость и прочие.

З.Ы. в добавку к первому посту: http://docs.sun.com/app/docs/doc/819-5461

> Зоны это верхушка айсберга, вместе с ACL, RSBAC,

RSBAC в Solaris?

Хорошее дело зоной не назовут...

Перевод статьи http://www.nexenta.ru/index.php?page=7

http://www.sun.com/software/whitepapers/wp-rbac/wp-rbac.pdf

все-таки RBAC может быть ? В соляре , в отличии от линукса , много чего с пол-пинка настраивается .

Да конечно имелся в виду RBAC.

Да, а процессы в ней зеки и отбывают наказание.

LoL :)

Мда, зоны в 10-ке еще очень сыроваты... И вообще говоря Сан хочет эту технологию противопоставить всяким Xen, и виртуальным машинам... Как они говорят когда виртуализация будет на уровне железа, зоны будут оправданы.... в данный момент возможность поставить урезанную версиб соляриса в солярисе довольно бесполезная штука.

Тауб

>Зоны это верхушка айсберга, вместе с ACL, RSBAC, resourсe pools и ipf зоны образуют контейнеры, вот в чем сила. А вместе с ZFS так еще и инкрементальные бэкапы, моментальные снэпшоты, откаты, квотирование, ограниченную видимость и прочие.

соляра - это крутая вещь. дело известное. однако раньше RSBAC был гемор конкретный ( специальный шел, одновременно доступна только одна роль, для доступа к другой нужно делать su ) даже соляровы фаны с большим стажем признавали, что зоны - сосут и все пользуются sudo, а зоны - они только для SMC - что так и осталось все? да.... плачевно. селинакс гораздо приятнее... да нет - он просто ПРАКТИЧЕСКИ юзабелен, чего нескажешь о соляровом RBAC-е.

>соляре , в отличии от линукса , много чего с пол-пинка настраивается

юзал и то и другое, однако не заметил что в соляре настраивается "пол-пинка" а в линаксе с более чем "пол-пинка" (из того что есть и там и там конечно). не просветите?

>даже соляровы фаны с большим стажем признавали, что зоны - сосут и все пользуются sudo, а зоны - они только для SMC

дааа... пардону... просто день тяжелый. зоны как раз - класс. вместо зоны должно быть "RBAC".

>вообще говоря Сан хочет эту технологию противопоставить всяким Xen, и виртуальным машинам... Как они говорят когда виртуализация будет на уровне железа, зоны будут оправданы..

йопнулся ты? зоны - это накрученный jail и ничего общего не имеет с Xen-ом и т.п. и зоны могут совместно использовать каталоги и используют одно ядро, так что никаких "урезанную версиб соляриса" ставить НЕНУЖНО. в сат иди. на горшок.

Predictive Self-Healing.

Как в линаксе автоматически исключить использование сбойного процессора?

SELinux тоже не подарок. А RBAC как был туповатым, таким и остался. Удобно для повышения безопастности. Роль действительно доступна только одна, но пермишенсы на роль навешиваются разные.

Из удобств:

1) root конвертится в роль и назначается ограниченое кол-во пользователей которые могут ее принимать.

2) набор стандартных неплохо продуманных схем для разграничения административного доступа.

3) возможность сохранения ролей в LDAP, NIS

Ну а недостатки вы указали достаточно точно.

>Predictive Self-Healing.

не передергивайте любезный. было написано "из того что есть и там (в соляре) и там (в линаксе)"

в солярке вобще много чего есть интересного, например, что недавно использовал - понижение привилегий сервису, т.е. разрешаем только необходимые сисколы, пускает от своего пользователя и т.п. и все это в нормальных конфигах и из коробки а несамопальными костылями. Очень удобно рулять распределением памяти и цпу тайма между сервисами (пулы, группы и т.п.) (про фаир шэр шэдулеры вменяемый линуксу ранвоато говорить поятьже...) в линуксе все это частично присутствует, только не в промышленных дистах а ввиде not-supported патчей, которые работают под чесное слово. имхо.

Ну хрен и ним, хотя температуру процессоров линакс замечательно меряет и отображает.

Ну тогда Solaris Service Manager и управление десятками сервисов в линаксе, с отслеживанием нетривиальных завимостей и возможностей автоперезапуска.

>в солярке вобще много чего есть интересного,

знаю и полностью согласен. просто пытаюсь непредвзято смотреть на вещи.

Очевидно имелось в виду SMF (Service Management Facility)

>Ну тогда Solaris Service Manager и управление десятками сервисов в линаксе, с отслеживанием нетривиальных завимостей и возможностей автоперезапуска.

в RHEL или SLES такого нет. я слышал о подобных проектах (мониторинг и зависимости - причем черезвычайно гибко, используя собственный язык) непомню правда названий, однако это все работает под любыми *nix-ами. в генте говорят что то подобное есть (гибкие зависимости), однако генту живьем не видел. что касается сконфигурить новый сервис - в RHEL или SLES ничуть не сложнее чем в соляре. да ладно, согласитесь, если касаться только того, что есть и там и там, то управлять линаксом ничуть не сложнее чем солярой.

Почитаем..

нет дело не в сложнее/легче, в солярке очень много из _коробки_ а не "слышал/видел патчик". не, безусловно линуху зачот ибо без него солярку бы неоткрыли.

а про openvz уже забыли?

1) это $$$ стоит 2) где это из коробки ? в продакшне ядра админы непатчат. 3) сами они этот опен НЕ позиционируют как продакшн

>нет дело не в сложнее/легче, в солярке очень много из _коробки_ а не "слышал/видел патчик". не, безусловно линуху зачот ибо без него солярку бы неоткрыли.

дык йоптыть я и неспорю!!! просто отвечал илюхе на:

>В соляре , в отличии от линукса , много чего с пол-пинка настраивается .

тут в пример бы пошел freevps, тока снова вапрос, где _из_коробки, у миня задачи масштаба предприятия, пионерские паделия и наколенные патчики тут нерулят.

Для этого сперва неоходимо подсчитать во сколько обойдется потеря производительности и последующий простой для замены. А поскольку сумма в $$ стремится к 0 для среднестатичного сервера с пингвином, то это нафик никому не надо?

For: Как в линаксе автоматически исключить использование сбойного процессора?

Sun-ch

> А поскольку сумма в $$ стремится к 0 для среднестатичного сервера с пингвином,

Кто и как считал?

> то это нафик никому не надо

А недоумки из МежДелМаш зачем-то реализовали эту фишку. Они и не знали, что никому не надо.

На самом деле, имелось ввиду другое, в практике был случай очень хитрой потери данных в файлах, из-за эпизодически перегревавшегося проца.

> Как в линаксе автоматически исключить использование сбойного процессора?

CPU hotplug?

> Ну тогда Solaris Service Manager и управление десятками сервисов в линаксе, с отслеживанием нетривиальных завимостей и возможностей автоперезапуска.

Зависимости сервисов есть в Gentoo. Daemon-tools умеют перезапускать.

>Predictive Self-Healing.

>Как в линаксе автоматически исключить использование сбойного процессора?

Странный этот механизм на самом деле. Не все процессоры поддерживают соответствующую статистику.

Например в Linux ошибки в sdram можно находить в режиме real-time и делать соответствующий hotplog/hotunplug, а в Solaris - нет.

>Sun-ch # (*) (07.07.2006 14:42:27)

>в солярке вобще много чего есть интересного, например, что недавно использовал - понижение привилегий сервису, т.е. разрешаем только необходимые сисколы, пускает от своего пользователя и т.п. и все это в нормальных конфигах и из коробки а несамопальными костылями.

Да-да, при этом накладные расходы на syscall в Solaris иногда более чем в 2 раза превышают это время в Linux.