Tweet

第3回　Solarisコンテナでセキュリティを強化

　　前回記事の「Cool Stackで手軽に『SAMP』」では、実際にOpenSolarisとApache Rollerを用いたブログサイトを構築する手順について解説しました。皆さんも試してみていただけたでしょうか？　意外に（？）簡単な作業で始められるので、最初の取り掛かりとしてはちょうどよかったのではないでしょうか。

　さて、今回はOpenSolarisの仮想化技術「Solarisコンテナ」を用いて、よりセキュアなブログサーバ構築という新しい課題にチャレンジしてみましょう。

関連記事：
	ラベルベースのアクセス制御機能を備えた新Solaris 10 http://www.atmarkit.co.jp/news/200701/31/solaris.html
	ノートPCでこそ使いたいZFS http://www.atmarkit.co.jp/news/200706/29/zfs.html

Solarisコンテナとセキュリティ

　コンピュータ資産を有効活用する手法として、仮想化技術への注目が集まっています。

　多くのIT部門ではサービスを立ち上げるたびに新規にサーバを導入した結果、管理が複雑になったり、サーバルームの設備運用コストが増大したことが問題視されています。また、それぞれのサーバ容量見積もりはサービスの負荷ピーク時に合わせてあるので、多くの時間はサーバ資源が無駄になっていることも問題です。

　サーバ環境の統合は、最新の仮想化技術によってさらに加速化されようとしています。

　Solarisコンテナを用いると、1つの物理マシン上に複数の仮想Solaris実行環境（ゾーンと呼ぶ）が構成できます。それぞれのゾーンは独立しているので、いままで物理的に分散していたサービスの運用や管理を1つのマシンに統合することが可能です。

　さらに、マシンのCPU資源などを各ゾーンに割り当てるリソース管理機能も提供されるので、資源を有効に活用することができます。リソースはサーバの負荷に応じて動的に割り当てることもできます。つまり、Solarisコンテナとは、ゾーンとリソース管理の組み合わせで提供される機能です（図1）。

図1　Solarisコンテナの概念

　ゾーンはセキュリティにも優れています。ゾーン間では互いのプロセスへのアクセスはネットワークAPIによる通信に限定されます。それぞれのゾーンは独立しているので、特定のゾーンを停止させたり、再起動させることが可能です。

　このように、ゾーンの分離性やセキュリティ機能は、従来の物理的に分散されたサーバ環境の統合を強力に支援します。ここまでの説明でSolarisコンテナのイメージはつかんでいただけたでしょうか？

サンのサーバ仮想化技術

　ところで、最近ではさまざまなシステムの仮想化技術が登場しているため、混乱している人もいるでしょう。サン・マイクロシステムズ（以下サン）からも複数のサーバ仮想化技術が提供されています。それらについて簡単に整理してみましょう（図2）。

図2　サンの仮想化体系（クリックすると拡大します）

■Sunダイナミック・システム・ドメイン

　これはサーバハードウェアを物理的に区画化（ハードパーティション）して、1台のサーバ上で、複数のオペレーティングシステム・インスタンスが稼働する環境を提供します。このアプローチは1980年代にメインフレームの機能として存在しており、サンは1990年代半ばごろにこの技術をオープンシステムに取り入れました。制約として、物理的な構成をシステム稼働中に動的に変更できないことがあります。

■LDom（仮想マシン）

　ハイパーバイザーと呼ぶオペレーティング・システムによってハードウェアを仮想化する技術です。

　サンのUltraSPARC T1とT2プロセッサベースのシステムでは、ハイパーバイザーはファームウェアで実装されています。仮想化されたハードウェア上でSolarisをはじめとするさまざまな種類のOSが動作します。また、Solarisコンテナ（OSの仮想化）と併せて利用することも可能です。

■xVM

　2007年秋、サンはシステムの仮想化技術を体系化し、xVMを発表しました。

　xVMには上述のLDomだけでなく、x86／x64アーキテクチャ向けに、Xenをベースとする仮想マシン機能も新たに含まれます。これは、2008年2月よりダウンロード可能になった「Solaris Express, Developer Edition 1/08」の新機能として提供されています。また、関連するオープンソースプロジェクトのコミュニティハブ「OpenxVM」（openxvm.org）も立ち上がりました。

第2回へ

1/4

Index OpenSolarisでサーバ構築 　第3回　Solarisコンテナでセキュリティを強化

Page 1 　Solarisコンテナとセキュリティ 　Sunのサーバ仮想化技術 　 Page 2 　Solarisコンテナの構造 　Solarisコンテナを用いたApache Roller導入に挑戦！ 　 Page 3 　Solarisコンテナの設定手順   Page 4 　Solarisコンテナの設定手順（2） 　さらなるセキュリティ強化も

Linux Square全記事インデックス

	連載：Heartbeatでかんたんクラスタリング（連載中） オープンソースソフトウェアの「Heartbeat」を使ってHAクラスタを実現し、サービスを「落とさない」仕組みを実現します
	特集：Apache 2.2でWebサイトをパフォーマンスアップ！ 最新安定版Apache 2.2は、何が変わったのか？ 最新のApacheを新機能の使い方とともに解説する
	連載：実用 Apache 2.0運用・管理術（全8回） 本連載では、Apache 2.0の運用や管理方法を解説する。まず必須設定と基本的なセキュリティ対策を行い今後の運用に備える
	連載：実用 BIND 9で作るDNSサーバ（全15回） 本連載では、BIND 9の構築／運用方法を解説していく。実際に役立つことを目的に、セキュリティや大規模運用などのテーマを取り上げていく
	連載：実用qmailサーバ運用・管理術（全14回） 本連載を通して、qmailによるメールサーバの高度な構築・運用・管理術を紹介。SPAM対策やML管理からサーバでのウイルスチェックなどまで
	特集：Samba 3.0の全貌 改訂版 Samba 3.0リリースから8カ月。ここであらためて、Samba 3.0系列の新機能、インストール方法、国際化の現状を解説する
	more

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード