システム管理者におけるOracle Solaris 10と11の違い


次の表は、Oracle Solaris 11の利点を中心に、Oracle Solaris 10と11の違いをまとめたものです。 この内容はOracle Solaris 10からOracle Solaris 11への移行とその他のOracle Solarisドキュ メントに基づいています。


目次

  Image Packaging System (IPS)
  仮想化
  ZFS、SMB および COMSTAR
 インストール
 システム構成
 ネットワーク
 セキュリティ
 ローカライゼーションと国際化

 

Image Packaging System (IPS)


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

概要:
SVR4 パッケージ (1980年代後半から)

概要:
最先端のリポジトリベース・パッケージング・システムである、Image Packaging System(IPS)

参照:
Introducing the Basics of Image Packaging System (IPS) on Oracle Solaris 11

参照: Oracle Solaris 11 Cheat Sheet for Image Packaging System

および
Oracle Solaris 11のパッケージの変更

新しいパッケージング・アーキテクチャにより、Oracle Solarisのインストールおよびメンテナンスが大幅に簡素化されました。 特にシステムの更新作業が 大きく軽減されました。

Oracle Solaris 10以前は、パッチ依存性の問題に時間を取られることは珍しくありませんでした。 パッチ間の優先順位、適用されているパッチへの依存性といった問題の 解決を伴い、たった1つのパッチを適用するためにどの程度の作業量が必要になるのか管理者にも分かりませんでした。

Oracle Solaris 11では、システムの変更はすべてパッケージの更新によって行われます。また自動依存性チェックがあるため、パッケージを実際に更新する前に、管理者 は更新によって影響を受けるすべてのパッケージを確認できます。

パッケージおよびパッチによるシステム・ソフトウェア・メンテナンス

パッケージの更新によるシステム・ソフトウェア・メンテナンス

システムのアップグレードやパッチ処理を行う方法がパッケージの更新に絞り込まれたため、IPSによってシステムの更新プロセスが大きく簡素化されました 。

Live Upgradeは、ロールバック機能によっておもにパッチ処理および更新に使用されるリスク管理機能です。UFSおよびZFSルートの両方で有効に機 能します。

Oracle Solaris 11では同じ機能を"ブート環境"と呼びます。 今では単にブート環境と呼びます。
参照:
ブート環境の管理の概要
および
ブート環境の管理

Oracle Solaris 11ブート環境はシステム・ソフトウェア変更が関係する状況に適したリスク管理機能であり、パッケージ更新、ゾーンおよびZFSに完全 に統合されています。

適切なパッチ・バンドルを(適切なパッチセットをダウンロードした後に)シングル・ユーザー・モードで直接システムに適用します。
# ./installbundle

または、Live Upgrade経由で代わりのブート環境に適用します。

<BE name>

サポート・リポジトリに接続することでシステムをアップデートします。
 
# pkg update

変更は自動生成されたブート環境に対して行われ、動作中の環境に影響を与えることはありません。

参照: Oracle Solaris 11システムでのソフトウェア更新

および

パッケージのインストールおよび更新

更新によって、変更の対象となる代替ブート環境が自動的に生成されます。Oracle Solaris 10では、Live Upgradeは手動で起動する必要があり、またUFSで 動作している場合は、Live Upgradeストレージ要件を満たすためにディスク再フォーマットを含む大がかりなプランニングが必要になることがあります。


その他の利点は、ZFS上で動作している場合のOracle Solaris 10に類似しています。

- アップグレードが予定されていなかった場合、アップグレード前の環境にロールバックします。

- ZFSスナップショットはほぼ即座に実行できます。

- これはメンテナンス・ウィンドウを削減する上で有効であり、特に本番稼働中に更新作業を開始することが可能な場合に有効です。 停止時間の後、再起動され ます。アプリケーションが正常に動作していることを確認し、システムを本番モードに切り替えます。

- UFSでLive Upgradeの使用を希望される組織は、ディスク要件による制限を受けることがしばしばありました。そのためミラーリングを解除することが必要になる場 合があり、半分が‘パッチ前’の状態に、残り半分が‘パッチ後’の状態になりました。Oracle Solaris 11の場合、ユーザーはシステムの更新用セー フティ・ネットを構築するために、ミラーリングを断念することはありません。

従来のアップグレード・プロセス(ワンウェイ・プロセス)またはLive Upgradeによってシステムを新しいリリースにアップグレードします。

リポジトリに接続することでシステムをアップグレードします。

上記を参照してください。

上記と同様です。Oracle Solaris 11では、システムを新しいリリースにアップグレードすることと、システムを最新のパッケージ変更によってアップグレードすることに違い はありません。

次のようなコマンドにより管理するLive Upgrade:


ブート環境の生成:
# lucreate -n newBE

ステータス:
# lustatus

アクティブ化:
# luactive newBE

削除:
# ludelete BE

beadm(1M) コマンドで管理するブート環境


ブート環境の生成:
# beadm create newBE

ステータス:
# beadm list

アクティブ化:
# beadm activate newBE

削除:
# beadm delete BE


参照: ブート環境の管理の概要

すべてのブート環境の管理を1つのコマンドで一元管理

SVR4パッケージング・システムがSVR4パッケージをサポートします。

IPSがIPSパッケージとSVR4パッケージをサポートします。SVR4パッケージ・コマンドが含まれています。SVR4パッチ・コマンドは、Oracle Solaris 11のSolaris 10 ゾーンでのみ使用可能です。


参照: Oracle Solaris 10 SVR4パッケージとIPSパッケージの比較

IPSフォーマットでの再パッケージが現実的でないか不可能な場合、IPSはSVR4パッケージをサポートします。

パッケージには
SUNWxxxxなどの名前が付きます。

パッケージには
driver/storage/<driver name>
system/management/<name>
のような階層名が付きます。

参照: Oracle Solaris 10 SVR4パッケージとIPSパッケージの 比較

パッケージは、同様のコンポーネントを統合したり、または更新を容易にするため大きなパッケージを分割したりするため、リファクタリングされました。 大きなパッケージの 変更はパッケージの全コンテンツに対して均等に行き渡らない傾向があることから、きめの細かいパッケージの方が一般に更新に時間がかかりません。 その後パッケージは、さらに理 解しやすいように、そしてパッケージがシステム全体の階層のどこに適合するのか分かるように名前が変更されました。

顧客のSVR4パッケージ・ロケーションからSVR4フル・パッケージをダウンロードします。 Oracle Solaris 10パッケージには一元管理されたOracleリポジトリはありませ ん。

IPSは、Oracleリポジトリまたは組織リポジトリからパッケージを探し出します。 IPSは、現在インストールされているパッケージと、リポジトリからの最終バージョンとの差 分を計算し、相違をダウンロードします。
 

(組織に対して)ローカル・リポジトリを作成する場合は、以下を参照してください。

Oracle Solaris 11パッケージ・リポジトリのコピーおよび作成

IPSは、パッケージの更新のために転送するデータを最小限に抑えます。

pkgadd、patchadd、pkgrm、pkgadm、pkginfo、pkgchkなどのコマンド・セット

SVR4パッケージ・コマンドがIPSパッケージで動作し続けている場合でも、pkg(1)コマンドによってアクセスするパッケージ・メンテナンス機能
 

参照: Oracle Solaris 10 SVR4パッケージとIPSパッケージの 比較

すべてのアクションに1つのpkgコマンド・インタフェース。 Oracle Solaris 10コマンドを呼び出すことができ、pkginfo、pkgadd、pkgrmなどのコマンドは、IPSに関して 有効に機能します。

ゾーンの更新については、「ゾーン」セクションを参照してください。

ゾーンとブート環境については、「仮想化」セクションを参照してください。

JumpStartからのインストールとIPSリポジトリについては、「インストール」セクションを参照してください。

 

 

仮想化


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

Solaris 8ブランド・ゾーンとSolaris 9ブランド・ゾーンをサポートしていますが、追加ライセンスの購入が必要です。 Solaris 10ゾーンは基本システムの 一部であり、オラクルのPremier Support for Operating Systemsの一部としてサポートされます。

Oracle Solaris 10および11ゾーンは、追加ライセンスなしでサポートされます。 Solaris 8および9ブランド・ゾーンはサポートされません。

参照: Oracle Solaris 10ブランド・ゾーンの準備

Oracle Solaris 10ゾーンのサポートは、Oracle Solaris 11サポート・プログラムに含まれています。 おもな利点は、Oracle Solaris 10の動作がサポ ートされなくなった後も長い間、新しいハードウェア・プラットフォーム上のOracle Solaris 11環境で、Oracle Solaris 10アプリケーションを実行することが可能である点です。

Solaris 8および9のサポート・ライフは、ライフ タイム・サポート・ポリシー:ハードウェアおよびオペレーティング・システムで説明されています。Solaris 8のサポートは、現在、Extended Supportフェーズに入っています。 Solaris 9は、2012年4月にExtended Supportフェーズに入りました。

ゾーン用ブート環境なし

ゾーン・ブート環境サポートあり

参照: beadmでのゾーンのサポート

ブート環境はシステム全体に対するものと同じメリットをゾーンにもたらします。すなわち、ソフトウェアの変更を行う前にゾーン環境のスナップショットをとる ことができるため、変更前の環境に戻る必要が生じた場合に、簡単にロールバックすることができます。

vmstat、mpstat、prstatなどさまざまなツールによるゾーンのモニタリング

新しいzonestat(1)コマンドによっ てゾーン固有の情報を得ることができます。 コマンドは、Oracle Solaris 10で説明した場合と同様有効です。

参照: 非大域ゾーンでのzonestatユーティリティーの使用

CPU、メモリ、ネットワークおよびリソースの管理を1つのコマンドに集約することでモニタリングを簡素化します。

ファイルシステム構造に関する2つのオプション - 疎ルート(サイズの最小化がもっとも重要な場合)および完全ルート(ゾーン・コンテンツのカスタマイズが重 要な場合)

単一ソリューション - ゾーン・コンテンツのカスタマイズを可能にする最小化された完全ルート

“ハイブリッド” ソリューションが、ゾーンあたり400MBまでストレージ要件を削減しつつ、ゾーン・コンテンツをカスタマイズする能力を維持します。

 

システム・インストールの間、ゾーン作成はできません。

初期システム・インストールの間、コンテンツを定義し、ゾーンを作成できます。参照: ゾーンのインストールと構成

AIサーバーからゾーンを直接プロビジョニングする能力で、配置の柔軟性が強化されます。

ゾーンのネットワーキング・インタフェースで、共有IPスタックまたは排他的IPスタックのいずれかを使用できます。 デフォルトは共有IPスタックです。

ゾーンのネットワーキングで、共有IPスタックまたは排他的IPスタックのいずれかを使用できます。 デフォルトは排他的IPスタックです。

参照: 排他的IP非大域ゾーン

 

共有スタックの利点は、排他的IPスタックを管理する新機能で実現できます。下記を参照してください。また、Oracle Solaris 11のIPおよびデータ・リンク・レイヤーは ネットワーク仮想化機能とネットワーク・リソース管理機能を統合するためにリエンジニアリングが行われており、それをOracle Solaris 11でゾーンとともに使用 するには、排他的IPスタックを選択しなければなりません。

Oracle Solaris 11でOracle Solaris 10ゾーンを実行する場合、大域ゾーンから(つまりOracle Solaris 11を実行しながら)作成し、割り当てられている限り、仮想ネ ットワークとネットワーク・リソースの両機能を使用できます。

 

排他的IPスタック・ゾーンには、ゾーン内で任意のIPアドレスを割り当てることができます。

排他的IPスタックを使用して、一定範囲の許容IPアドレスを大域ゾーンから非大域ゾーンに割り当てることができます。

参照: zonecfg(1M) および リンク保護の概要

 

排他的IPスタック・ゾーンにIPアドレス制御機能を提供します。

共有IPスタックは、MACおよびIPスプーフィングに対するデータリンク保護の役目を果たします。 排他的ゾーンは保護されません。

共有IPスタックまたは排他的IPスタックを使用したMACおよびIPスプーフィングに対する保護

参照: リンク保護の概要

 

ゾーンのデフォルトが排他的IPスタックであることから、セキュリティ機能の喪失を防ぎます。

排他的IPスタック・ゾーンの使用は、各ゾーンに専用外部物理インタフェースがあることを示唆します。

仮想NICの導入により、各ゾーンに1つの物理インタフェースという制限がなくなります。

参照: ネットワーク仮想化およびリソース管理

 

VNICと仮想スイッチによって、network-in-a-boxトポロジの作成のほか、高速NICの活用で柔軟性が大幅に増加します。 詳しくは、「ネットワーク」セクションを参照 してください。

ゾーンを管理するには、大域ゾーンでのルート権限が必要です。

ゾーン管理は、個々のゾーンごとに割り当てられます。

zonecfg:my-zone> add admin
zonecfg:my-zone:admin> set user=zadmin-username
zonecfg:my-zone:admin> set auths=login,manage
zonecfg:my-zone:admin> end

 

これはゾーン管理者プロファイルに追加されたロールです。ゾーン管理者プロファイルには他の大域ゾーン管理者機能を含める必要がないため、ゾーン管 理者は割り当てられたゾーンだけを管理できます。

物理システムをOracle Solaris 10ゾーンに移行するためのzonep2vchkツール

# <dir>/zonep2vchk

参照: zonep2vchkツールの取得

 

物理Solaris 10システムをOracle Solaris 10 または11ゾーンに移行するためのzonep2vchkツール
# /usr/sbin/zonep2vchk

参照: ゾーンの移行とzonep2vchkツールについて
および
非大域ゾーンへのOracle Solarisシステムの移行

および

Oracle Solaris 11システムへのOracle Solaris 10インス タンスの移行

 

このツールは、Oracle Solaris 10またはOracle Solaris 11ゾーンの移行のどちらでも同様の機能を発揮します。

コンテンツを修正できないゾーンは、疎ルートゾーンを通じて作成できますが、この機能はセキュリティ機能として設計されたものではありません。 構成の柔 軟性がわずかで、完全ルートゾーンに適用できません。

不変ゾーンはセキュリティ機能として設計されました。 さまざまな機能とともに作成できます。 以下のセキュリティ・ポリシーが可能です。

“strict” - 読取り専用

“fixed-configuration”- /var/*    更新が可能

“flexible-configuration” では、 /var/*、 /etc/*、ルートのホーム・ディレクトリ変更が可能


他の属性はこれらの設定に関連しています。参照: 不変ゾーンの構 成と管理

 

ゾーンを変更から分離する機能は非常に強力なセキュリティ機能です。

ハングしたゾーンは再起動できない可能性があります。

ハングしたゾーンを再起動できる可能性は高くなっています。

 

Oracle Solaris 10ではゾーンがハングした場合、通常その原因は他のサブシステムの問題にあります。場合によっては、ゾーンを停止して再起動するこ とができないことがあります。Oracle Solaris 11では、ハングしたゾーンを停止させ、再起動できる可能性が高くなりました。ただし原因となった問題(ファイルシステム・リソースの非 可用性など)が解決されない限り、再びハングする可能性があります。

ゾーンを(即座に停止するのではなく)正常に停止するには、ゾーンにログインした上で次を実行します。

# init -5

 

ゾーンはすべて、次により大域ゾーンから1つずつ正常に停止できます。

# zoneadm -z my-zone shutdown

参照: ゾーンの停止処理、停止、リブート、およびアンインス トール

 

大域ゾーンからすべてのゾーンを正常に停止できるため、管理が容易になります。

ゾーンを作成しても、ネットワーク・インタフェースが自動的に作成されるわけではありません。

ゾーンを作成すると、ゾーンに関連したVNICが自動的に作成されます。

参照: ゾーンの構成方法

 

自動VNIC作成により、ゾーンの作成が簡単に行えます。


 

ZFS、SMBおよびCOMSTAR


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

ファイルシステム暗号化機能なし

ファイルシステム暗号化は、ファイルシステム作成時に、ZFSファイルシステムに割り当てることができるプロパティです。

参照: ZFSファイルシステムの暗号化

 

暗号化はパフォーマンスに及ぼす影響を最小限に抑えつつ、非常に高度なセキュリティをもたらします。特にT4 SPU(暗号化グラフィック単位)で、プロセッサの 10GbEポートでワイヤスピードの暗号化および複合化が可能です。

参照: BestPerfOracleブログ

 

ZFS重複排除はOracle Solaris 10リリースではサポートされていませんが、重複が排除されたデータ・プールをOracle Solaris 11システムから Oracle Solaris 10システムに移行できます。ただし、Oracle Solaris 10システムにインポートされたデータ・プールでの重複排除は行われません。

重複排除は、ZFSデータセットに割り当てることができるプロパティです。 参照: ZFSデータの複製解除の要件

重複排除とZFS圧縮を組み合わせることで、ストレージ要件を大幅に削減できます。

ZFS機能は、ZFSコマンドとプロパティによって管理します。 これらの機能については、zfs(1M)およびzpool(1M)手動ページに説明があります。

コア機能は、ZFSコマンドとプロパティによって管理します。 委任管理、暗号化および共有構文についてはそれぞれ、zfs_allow(1M)zfs_encrypt(1M)およびzfs_share(1M)の手動ページに説明があります。

ZFS機能をそれぞれのコマンドおよびプロパティに配分することで、特定の管理タスクに基づいた委任管理が可能になります。

UFSについては、バックアップはしばしばufsdumpおよびufsrestoreコマンドを使用して実行されます。 これらのコマンドをOracle Solaris 10システム で使用することで、UFSファイルシステムをZFSファイルシステムに移行できます。また、2つのOracle Solaris 10システム間でZFSファイルシステムへUFSデータを移行できます。

重要ファイルシステムのZFSスナップショットを作成し、それをバックアップ・システムに対して送受信します。 ファイルシステムのスナップショットを自動作成するための自動 スナップショット・サービス(service/storage/zfs-auto-snapshot)を提供します。 または、従来からのUNIX tar/cpio/paxアーカイブ・ユーティリティや、さらに洗練されたエンタープ ライズ・バックアップ製品を使用して、ZFSデータをアーカイブすることができます。

参照:
Oracle Solaris 11 でのシステムアーカイブの実行と復旧の手順

UFSファイルシステムは、シャドウマイグレーション機能を使用して、Oracle Solaris 11システムにあるZFSファイルシステムに移行できます。 シャドウマイグレーションド キュメントのポインタを参照してください。

さらに、ufsdumpおよびufsrestoreコマンドを使用してUFSファイルシステムをZFSファイルシステムに移行できます。参照: ZFSファイルシステムへのUFSデータの移行(ufsdumpおよび ufsrestore)

 

ZFSには、ファイルシステム・スナップショットのアーカイブおよび検索や、さまざまなOracle Solarisバージョンで動作するシステム間のデータ移行を実行 するための完全な機能セットがそろっています。

Oracle Solaris 10リリースでは、iSCSIターゲット、iscsitadmコマンド、およびZFS shareiscsiプロパティを使用して、iSCSI LUNを構成します。

SCSIターゲット管理用のitadm(1M)コマンド、SCSI RDMA Protocol(SRP)管理用srptadm(1M)コマンド、およ びSCSI LUN管理用stmfadm(1M)コマンドによって管理を行 います。参照:

COMSTARによるiSCSIターゲットデーモンの置き換え
および

COMSTARを使用したストレージデバイスの構成

 

Oracle Solaris 11のCOMSTARは、iSCSIサポート環境の柔軟性がすぐれています。


 

インストール


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

ルート・ファイルシステムは、UFSベースまたはZFSベースのどちらかとすることができます。

ルート・ファイルシステムはZFSです。 他のUFSファイルシステムもマウント可能です。

ルート・ファイルシステムのZFSは、信頼性および拡張性でUFSよりすぐれています。また、ZFSは管理が容易なため、サード・パーティのボリューム・マネー ジャは必要ありません。

無人インストールのためのJumpStart

無人インストール用自動インストーラ(AI)

参照: Oracle Solaris 10 JumpStartからOracle Solaris 11自動イン ストーラへの移行

参照: AIを使用したOracle Solaris 11のインストール

 

AIは(JumpStartと異なり)、System Management Framework(SMF)、IPSおよびZFSなど他のOracle Solarisテクノロジーと統合して、Oracle Solarisゾ ーンのあるシステムを含めたシステムのプロビジョニングにおける一貫性、スケーラビリティおよびパフォーマンスを確保します。

Oracle VM Manager Ops Centerは、Oracle Solaris 10および 11両システムのプロビジョニングが可能なほか、仮想環境を管理し、また、AIやJumpStartサーバーの自社管理を希望しない顧客に対する魅力的なオプションを提供します。 Oracle VM Manager Ops Centerは無料でダウンロードできます。

 

メディアからのハンズオン・インストールには、Oracle SolarisインストールDVD(x86およびSPARC)を使用します。

無人インストールは、インストール・メディアのコンテンツ(またはダウンロードによるISOイメージ・コンテンツ)をJumpStartサーバーに保存することで可能になります。

 

メディアからのハンズオン・インストールは、さまざまなメカニズムで実行することが可能です。
SPARCシステムの場合:
- Text Installer CD
x86システムの場合
- Text Installer CD
- Text Installer USB
- Live Media (旧 LiveCD) DVD
- Live Media (旧 LiveCD) USB

参照: Oracle Solaris 11のインストール方法

無人インストールは、AIイメージ・メディアのコンテンツ(またはダウンロードによるISOイメージ・コンテンツ)をAIサーバーに保存することで可能になります。
 

また、SPARCとx86用のパッケージ・リポジトリDVDセット2組を用意しています。

 

新しいインストール・アーキテクチャには、豊富な機能を持つ単一の自動インストーラか2種類のインタラクティブ・インストールによる、システム配置用の一 貫性のあるメカニズムがあります。

JumpStart経由で、またはインストーラからネットワークにインストールします。

AI経由でネットワークへのインストールを行う場合は、
インストールサーバーを使用したインストールを参照してくださ い。

テキスト・インストーラによるインストールの場合は、次を参照してください。

ネットワーク経由でテキストインストールを実行する方法

 

結果は同様ですが、IPSデザインの優秀性は、Oracle Solaris 11におけるIPSパッケージ・インストールの方が、Oracle Solaris 10におけるSVR4パッケージよりも 速いことに表れています。

 

JumpStartサーバーとクライアント作成コマンド:


# setup-install_server
# add_install_client

 

自動インストーラ・サーバーおよびクライアント作成コマンド

# installadm create-service
# installadm create-client

参照: AIを使用したOracle Solaris 11のインストール

 

新しいinstalladmコマンドによって管理されるすべてのAIアクションが、管理を一元化します。

JumpStartは、Oracle Solaris 10以前のインストールに使用します。

AIは、Oracle Solaris 11のインストールに使用します。

さらに、Oracle Solaris 11システムをOracle Solaris 10のJumpStartサーバーとしてセットアップすることができます。参照: Oracle Solaris 10 JumpStartサーバーとしてのOracle Solaris 11システムの 設定

 

そのため、Oracle Solaris 11のすべてのインストール・サーバーを一元化できます。

JumpStartは、システムで実行されるサービスのコンセプトをサポートしておらず、システムにインストールするべきものだけをサポートしています。

AIを使用することで、サービスとコンテンツ両方のプロビジョニングが可能になります。 たとえば、2つのAIインスタンスに同じパッケージ・コンテンツを指定し、 それぞれのインスタンスで異なるサービスを有効にできます。 または、それぞれのインスタンスに異なるパッケージ・コンテンツを指定することもできます。

これは、SMFを使用した統合のレベルによって配置における柔軟性を示す好例です。

JumpStartプロファイルとルール

AIマニフェストと条件

参照: プロファイルのキーワードとAIマニフェストの指令の比較

およびルールのキーワードと条件の指令の比較

 

移行ユーティリティjs2aiは、Solaris 10 JumpStartプロファイルおよびルールの一定部分をAIマニフェストおよび条件に移行するのに使用できます。

参照: js2aiの使用によるJumpStartルールおよびプロファイルからAI 条件およびマニフェストへの変換

 

カスタマイズされたインストール・メディアの作成は、多くの作業を伴う手動プロセスです。

カスタマイズされたテキスト・インストーラ・イメージ、AIイメージおよびLive Mediaイメージの作成は、特別ツールDistribution Constructorを使用して 実行します。 参照: ディストリビューションコンストラクタとは

Distribution Constructorは、メディアやAIサーバーを介して、インストールを簡単にカスタマイズする機能を備えています。


 

システム構成


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

構成情報はファイル、通常は /etc にあります。

構成情報はSMFリポジトリにあります。

詳しくは、SMF管理上の変更を参照してください。

 

管理の一元化によって、特にOracle Solaris環境の動的作成に統一されたプログラム・アクセスが必要なクラウド環境における、構成およびレプリケーションが簡素 化されます。

フラット・ファイルは管理が容易ですが、編集が単純なことで他の問題が隠れてしまいます。 Oracle Solaris 10でのパッチ処理およびアップグレードによって、インストール 後に修正された構成ファイルとの競合処理の問題が引き起こされることがありました。 Oracle Solaris 11では、構成情報は通常、SMFコマンドによってアクセスや設定が行われ ます。 現在は、構成データ管理という階層化コンセプトがあるため、たとえば構成デフォルトの基本セットと管理者変更とが区別されます。 アップグレード前に実行された管理者変 更(アップグレード後に有効な構成パラメータに対応)が保存されるため、更新プロセスがはるかに整然としたものとなります。

 

Sysidtool、sysidconfigおよびsys-unconfigは、システム構成情報の提供や消去に使用するツールです。

SysconfigまたはSCIツールは、基本的なsc_profile.xmlファイルを作成します。

詳しくは、システム構成ツールの変更を参照してください 。

 

こちらと次で説明します。

/etc/nsswitch.conf を編集して、ホストやユーザーなどに関する情報をシステムに取り込む方法を指定します。

以下により管理されています。
# svccfg -s svc:/system/name-service/switch

参照事例: 手動モード時のネームサービスの構成

 

このセクションの最初の行にあるSMFのメリットを参照してください。

/etc/nodename を編集してホストのIDを設定します。

以下により管理されています。
# svccfg -s svc:/system/identity:node

次のWebページの例を参照: システム構成の変更とシステム構成の SMFへの移行

 

このセクションの最初の行にあるSMFのメリットを参照してください。

/etc/defaultdomain を編集してNISドメインを設定します。

以下により管理されています。
# svccfg -s svc:/network/nis/domain
プロパティは config/domainname です。

 

このセクションの最初の行にあるSMFのメリットを参照してください。

/etc/default/init を編集します。

以下により管理されているロケール
# svccfg -s svc;/system/environment:init

以下により管理されているタイムゾーン
# svccfg -s svc;/system/environment:init

詳しくは、システムコンソール、端末サービス、および電源管理の変 更を参照してください。

 

このセクションの最初の行にあるSMFのメリットを参照してください。

/etc/resolv.conf で設定したサービス・サーバーおよびドメインに名前を付けます。

以下により管理されています。
# svccfg -s svc:/network/dns/client

参照事例: 手動モード時のネームサービスの構成

 

このセクションの最初の行にあるSMFのメリットを参照してください。

さらに、Oracle Solaris 10 resolv.confのエラーにはフラグが付かず、結果が管理者の意図に一致しない動作を引き起こします。 Oracle Solaris 11では、基本的な エラー・チェックはSMFテンプレートで実行され、SMFを通じて報告されます。

 

getty、pmadm、ttyadm、ttymonによってシリアル・ポートを管理します。

以下により管理されています。
# svccfg –s svc://system/console-login:terma
および
# svccfg –s svc://system/console-login:terma

 

このセクションの最初の行にあるSMFのメリットを参照してください。

/etc/power.confファイルの編集とpmconfigコマンドの使用による電源管理

poweradmコマンドによる電源管理

詳しくは、電源管理の構成を参照してください。

 

このセクションの最初の行にあるSMFのメリットを参照してください。

Oracle Solaris 10の他のネーミング・サービス・ファイルのOracle Solaris 11 SMFサービスへのマッピングは、Naming Services That Have Migrated to SMFに説明があります。

ifconfigを使用して、現在の構成を変更します。

手動構成モードの場合、ifconfigコマンドまたは新しいipadmおよびdladmコマンドを使用します。

自動構成モードの場合、netcfgを使用します。参照: ネットワーク構 成に使用するコマンド

 

ネットワーク仮想化により多くの新機能が追加され、また過負荷が続くことで、ifconfigは不適切な管理アプローチになりました。

システム登録は自動登録機能によって処理します。Oracle Solaris 10 8/11ではOracle Configuration Managerが利用できますが、デフォルトで は有効に設定されていません。

システム登録はOracle Configuration Managerによって実行します。 参照:Oracle Solaris Configuration Reportingおよびシステム登録の変更

システム登録には、構成情報の収集とOracleリポジトリへのアップロードが含まれています。顧客システムに関する情報の収集能力は、顧客にすぐれた サポート・エクスペリエンスを提供する上での中心的な要素です。

他のネットワーク構成トピックは、「ネットワーク」セクションで取り上げます。

 

 

ネットワーク


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

限定的仮想化: VLANサポート・リンクおよびIPMP集計

現在、ネットワーク仮想化はOracle Solarisネットワーク・サブシステムの基本的な部分となっています。仮想NIC(VNIC)、仮想スイッチ、VLANサポートを利用でき ます。

参照:
ネットワーク仮想化およびリソース管理

参照:
Oracle Solaris 11のネットワーク仮想化テクノロジー
 

次のホワイト・ペーパーも参照してください。

Oracle Solaris 11 Network Virtualization and Network Resource Management

 

ネットワーク仮想化によって、複数のアプリケーションと高帯域幅接続を共有でき、またネットワーク全体のトポロジを単一システムに統合することを想定 したサーバー統合の機会が拡大されます。

IPQoSが提供するネットワークのためのサービス品質コントロール。 ネットワーク帯域幅をコントロールする方法なし。

新しいリソース管理機能によるネットワーク・サービス品質には、次のものがあります。

ポート、IPアドレス、プロトコルによる物理NICおよび仮想NICへの帯域幅制限の割当て

ネットワーク・トラフィック処理専用CPUリソースの割当て

ネットワーク仮想化およびリソース管理Oracle Solaris 11 のネットワーク仮想化に注目したページのリソース・ページ、上述のネットワーク仮想化のホワイト・ペーパーを参照してください。

また、リソース管理制約の下でVNICがすでにOracle Solarisゾーンに割り当てられている場合、
そのVNICは自動的に、そのリソース制約に関連付けられます。
Oracle Solaris 10のIPQoSは、サービス品質機能を提供するためのネットワーキング・スタック・アドオンでしたが、ネットワーク・パフォー マンスに影響を及ぼしました。Oracle Solaris 11では、ネットワーク帯域幅管理はデータ・リンク・レイヤーに統合されており、パフォーマンスへの影響は最小限度に抑えられています 。 新しいネットワーク・リソース管理は、特定のトラフィック特性を微調整する能力を持つ物理NICおよび仮想NIC両方の最大帯域制限を設定するフレームワークとなります。

ゾーンに関しては、帯域幅とCPU割当てコントロールが、1つのゾーンにおけるリソース使用が他のゾーンのリソース使用に悪影響を及ぼすのを防止します。

管理をOracle Solaris 11で動作する大域ゾーンから行う限り、Oracle Solaris 10ゾーンで帯域幅管理およびCPU割当てを活用できます。

 

ネットワークの観察はおもに、ifconfigとnetstatによって実行できます。

Oracle Solaris 11では、データ・リンク・レイヤー統計用dlstat(1M)と、flowstat(1M)(下記参照)という2つの新しいネットワーク観察用コマンドが追加装備されてお り、さらにネットワークをzonestat(1M)を介して観察できます。

 

統計データ収集機能が強化され、dlstatの場合には履歴分析のために一定の期間についての統計データを収集する能力によって、容量計画、デバッ グおよびレポート作成を目的とした使用が可能になります。

サポートされているときのVLAN互換性はセットアップが複雑になります。

仮想NICによるVLANの統合サポート。 VNICインフラストラクチャでVLANをサポートするため、VNICにVLANタグを設定できます。参照: 仮想ローカルエリアネットワークの管理

 

VLAN管理が簡素化されます。 構成の必要がなくなり、VNICから送信されるパケットにVLANタグが自動的に追加されます。 Oracle Solaris仮想スイッチはVLANタグを理解し、トラフィックの分離を確実に実行します。

ロードバランサなし

現在、統合ロードバランサ(ILB)はOracle Solarisの機能になっています。 管理はildadm(1M)コマンドによって行います。

参照: 統合ロードバランサの概要

 

統合ロードバランサにより、ロードバランサが必要になった場合も別途機器を購入する必要がなくなります。

ロードバランサは、Oracle Solaris 11のネットワーク仮想化機能によって可能になったネットワーク統合プロジェクトにおける構成要素の一つです。

ネットワーク・パケットの受信は、常に割込み駆動型です。

適応ポーリングによって、ネットワーク・パケットを使用し、受信トラフィック量に従って割込みモードとポーリング・モードを切り替えることができます。

Oracle Solaris 11ネットワーク・スタックの改良点については、ホワイト・ペーパー
Oracle Solaris 11 Network Virtualization and Network Resource Management
を参照してください。

この動作により、送られてくるネットワーク・パケットを処理するもっとも効率の良い方法が常に動作中になります。 トラフィックが極めて多く、受信者が非 常に忙しいネットワークでは、割込みによるシステムの混乱でCPUリソースに対して大きな要求が生じるのを避けることができます。

VLANとスイッチ・インフラストラクチャの動的作成を自動調整する方法がありません。

システムおよびスイッチ・インフラストラクチャでのVLANの動的作成は、GARP VLAN Registration Protocol(GVRP)経由でサポー トされています。

ホストはGVRPを使用して、物理リンク上に構成されたVLANの物理スイッチに動的に情報を提供することが可能になります。 この機能がスイッチとホストで有効になると、 物理リンクで有効なVLANを含むメッセージがホストからスイッチに定期的に送られるようになります。 スイッチはそのメッセージのコンテンツを使用して、スイッチ・ポートで正しいVLAN を有効にします。

その結果、必要なVLANだけがスイッチ・ポート上で有効となるためセキュリティが強化されます。また、スイッチが複製するマルチキャスト・パケットの数が 減ることでパフォーマンスも向上します。

ifconfigを使用して、現在の構成を変更します。
 

手動構成モードの場合、ifconfigコマンドまたは新しいipadmおよびdladmコマンドを使用します。

自動構成モードの場合、netcfgを使用します。参照: ネッ トワーク構成に使用するコマンド

ネットワーク仮想化は、データリンク管理をIP管理から分離することで管理がはるかに容易になります。 さらに、エラーが発生しやすいテキスト構成ファイ ルをトラッキングし、編集する必要がなくなります。

 

 

セキュリティ


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

インストール中にSecure by Defaultを選択することは可能ですが、それはデフォルト・セキュリティ設定ではありません。

Secure by Defaultがインストール時のデフォルト・セキュリティ設定です。sshはサービスのみに対応しています。

デフォルトで、Oracle Solaris 11のインストール時の脆弱性は改善されています。

rootユーザーは通常、管理目的に使用します。

rootはユーザーに割り当てることができるロールです。ロールをユーザーに変えることが可能です。
#rolemod -K type=normal root

 

rootユーザーはシステムにログインできません。代わりにrootロールが割り当てられ、それによってユーザーはシステムにログインできるようになります。これに より、アカウンタビリティが向上します。 たとえばログインの監査では、単にrootとしてログインしたユーザーだけでなく、システムにアクセスしたユーザー名を知ることができます。

デフォルトによらない監査と一部のパフォーマンスは、状況によっては影響をもたらすことがあります。

監査は1つのサービスであり、デフォルトで有効になっています。 Auditconfigは、監査ポリシーの表示および変更に使用します。 SMFは監査サービス、 svc:/system/auditd:defaultを制御します。

参照: Oracle Solarisの管理:セキュリティーサービス

 

デフォルトの段階でより注意することによって、監査のパフォーマンス・インパクトを最小限に抑えます。

IPFilterは、ipfルール・ファイルによって管理します。

IP Filter管理は、SMFに統合されています。
svc.ipfdデーモンが、ファイアウォール構成を使用するサービスでの動作を監視します。
互換性は、ipfルール・ファイルによって維持されます。

「構成」セクションで取り上げたSMF管理サービスへの全面シフトの一部

suは、rootユーザーの機能を引き継ぐための標準コマンドです。

suを追加するため、Sudoコマンドが含まれています。

Oracle Solarisには、一般に広く使用されているオープンソース・ユーティリティが含まれています。

aset(1M)を使用して、システム・ファイルおよびディレクトリに対するアクセスのモニタリングや制限を行います。

ASET機能は、svc.ipfd、BART、SMF、不変ゾーンおよびその他Oracle Solaris 11でサポートされているセキュリティ機能を含むIP Filterの組合せ に交換されます。

 

管理者権限は、個人ユーザーと、職務の分離のために設定されたロールに割り当てることができます。

ロールおよび権利に対する数多くの追加

  • -割当てと委任の違い
  • -Media Restore権利プロファイル
  • -プロファイルベース実行がすべてのプロセスに引き継がれているため、pfexecが不要になりました。
  • -RBACを有効にするためのスクリプトすべてを修正することなく、ロール・ベース・アクセス・コントロール(RBAC)を実行する機能
  • Stop権利プロファイルにより、管理者は制限付きアカウントを作成できます。
参照: 役割、権限、特権、および認証.

 

ロール・コンセプトはSolaris 8で、責任はSolaris 9でそれぞれ導入され、Oracle Solaris 11では使用を促進するための微調整の協調的対応が行 われました。

幅広いセキュリティ標準をサポート

 

サポートしているセキュリティ標準の拡張/交換

Internet Key Exchange(IKE)とIPsec – 現在、IKEにはこれまでより多くのDiffie-Hellmanグループが加わっており、また楕円曲線暗号(ECC)を使用すること もできます。 IPsecにはAES-CCMおよびAES-GCMモードが含まれ、Oracle SolarisのTrusted Extensions機能のためにネットワーク・トラフィックを保護する能力があります (Trusted Extensions)。
Kerberosは、クライアントとサーバーの相互認証が可能です。 また、X.509証明書とPKINITプロトコルを使用した初期認証のサポートが導入されました。参照: Kerberosサービス
BARTデフォルト・ハッシュはSHA256です。

SSH – X.509証明書を使用したホストおよびユーザー認証のサポート

 

セキュリティ標準の最新の変更を把握しておくことが、Oracle Solarisリリースの重要な設計目標です。

ZFSファイルシステムの暗号化については、「ZFS」セクションを参照してください。

 

 

ローカライゼーションと国際化


Oracle Solaris 10 8/11

Oracle Solaris 11 11/11

Oracle Solaris 11の利点

コア・ローカライズは次のとおりです。

中国語(簡体字)
中国語(繁体字)
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
スペイン語
スウェーデン語

ポルトガル語(ブラジル)

 

200ロケールをサポート。 ローカライズのコア・セットは次のとおりです。

中国語(簡体字)
中国語(繁体字)
英語
フランス語
ドイツ語
イタリア語
日本語
韓国語
スペイン語
ポルトガル語(ブラジル)


参照: 国際化とローカリゼーションの変更

 

コア・グループ外では、ローカライズへのサポートをさらに強化しました。

 

関連リンク:
  Evaluating Oracle Solaris 11ページに戻る
  Oracle Solaris 11テクノロジー・スポットライト
  Oracle Solaris 11 How-To Articles