Рассмотрим, как в Solaris реализован механизм, когда роутер обслуживает несколько подсетей. По умолчанию, возвратные пакеты посылаются по всем активным интерфейсам по round-robin. Но нам нужно что бы пакет отправлялся туда, откуда пришёл. Повлиять на это может параметр ip_strict_dst_multihoming (который по умолчанию имеет значение 0). Установка параметра в 1 решает эту проблему:
Если что-то пошло не так и ваша система не загружается, то не спешите расстраиваться. Можно загрузиться с установочного или LiveCD, примонтировать пул и исправить ошибки.
В данной статье я опишу лишь как можно получить доступ к пулам с помощью LiveCD.
Тестовый стенд: Solaris 11
$rcorder /etc/rc.d/* /usr/local/etc/rc.d/*
$ls /etc/rc`runlevel | cut -d ' ' -f 2`.d | sort
$svccfg list
Вот небольшие рекомендации по тюнигу и защите от небольшого DDoS’a
– Изменяем стандартное значение maximux segmet size.
ndd -set /dev/tcp tcp_mss_def 546
– Отключим «path MTU discovery» и система перестанет ставить бит «don’t fragment»
ndd -set /dev/ip ip_path_mtu_discovery 0
Данная статья является вольным переводом этой
И так, как узнать размер блока, которым был создан файл? Посмотреть свойство zfs? Нет. Так мы сможем узнать только текущий размер блока, поскольку он может меняться налету. Что же делать? На помощь приходит дебаггер zdb.
Ограничение по процессорной мощности, не так просто, как кажется. Существует несколько способов ограничить потребление процессора:
Тестовый стенд: Solaris 11
Что бы зона не смогла подвесить весь сервер, нужно её ограничивать по ресурсам. Обычно ограничивают использование оперативной памяти и процессорной мощности. Разберём как правильно ограничить использование памяти для зоны
Тестовый стенд: Solaris 11, zonename – zone0
Как защитить файл от удаления из-под root’a? Ведь root может удалить любой файл? Или не любой? Оказывается, и здесь есть небольшая защита от дурака.
Создатели файловых систем позаботились о том, что бы добавить возможность выставить дополнительные флаги на файлы или папки, которые бы ввели дополнительную защиту:
– нельзя удалить файл (неважно под каким пользователем это делать)
– можно только дописывать/добавлять, но не изменять или удалять
а так же много других возможностей. Напомню, что это свойство файловой системы, а не ОС, поэтому, не для всех ОС эти свойства применимы
Компиляцию в Solaris можно делать многими способами, но я расскажу о 2-х, на мой взгляд, популярных: SunStudio и gcc.
В базовой поставке эти компоненты отсутствуют, поэтому их придётся ставить отдельно. Но для обеих компонентов будут нужны header’ы и их тоже нужно будет поставить:
#pkg install system/header
Иначе будет ругаться
fatal error: string.h: No such file or directory
Напомню, что в Solaris include-файлы лежат в /usr/include.
Кстати, под Solaris лучше использовать именно SunStudio, а не gcc, так как у первого лучше оптимизация под Solaris.
Solaris brand zone – это механизм, который позволяет запускать внутри зоны другие ОС а так же их различные версии. Данная возможность появилась в Solaris 11 и она позволяет запускать Solaris10 и Linux внутри зоны Solaris11.
И так, рассмотрим пример переноса зоны из Solaris10 в Solaris11.