« SolarisでApache2 | メイン | SolarisでWebmin »
2005年03月28日
Solarisコンテナ
Solaris10では、Zoneという「アプリケーション実行環境」をいくつも作成することができる。
これは、本来のOS空間上に仮想OS空間とでもいうべき領域を作成できるようなイメージだ。
なんとなくエミュレータに近い感じだが、エミュレータが本来のOSとは異なるOSをエミュレートするのに対して、ZoneはUNIX上にUNIX環境を作成する。
これの利点はセキュリティ面にあるようで、本来のOS部分(global zone)と個々のZone(non global zone)との間は通信できないように切り離すことができるため、サーバデーモンのセキュリティホールをつかれてrootをとられても、それはそのプログラムが動作していたZone(non global zone)のrootであって、大元(global zone)のrootではないということになる。
SoftwareDesign誌を読んで、まぁ、そんな感じに理解しているのだが、あってるのかいな?
問題は、一つのZoneの作成にメモリを40MB必要とするので、何GBもメモリを積んでいるようなハイスペックなサーバマシンならともかく、私のように中古のノートPCをサーバにするような貧乏人にはちょっとつらい。
しかし、外部セグメントにポートを開いているサーバプログラムは、Zoneで動かすと安心できるかもしれない(なんとなく・・・)。
投稿者 masatsu : 2005年03月28日 00:45