Solaris 10 brengt administratieve verrijking

Onderhoud en beveiliging eenvoudiger

De laatste versie van het besturingsysteem Solaris van Sun beschikt over flexibele administratiemogelijkheden, die het makkelijker maken systemen te beveiligen en te onderhouden en resources toe te wijzen.

Solaris 10 van Sun Microsystems biedt nieuwe, onderscheidende en goed geïmplementeerde administratieve mogelijkheden en ondersteunt verschillende platforms.
We hebben kunnen constateren dat Solaris 10 een nuttige opwaardering is voor ondernemingen die het besturingsysteem gebruiken. Dankzij de bredere ondersteuning van platformen is het ook het overwegen waard in situaties waar Solaris eerder nog geen optie was. Het kan draaien op de Opteron van AMD en het Xeon EM64T x86-platform, zowel als op de 64-bits UltraSparc van Sun zelf en de Sparc64 platforms van Fujitsu Siemens.

Compatibiliteit

De x86-hardwareondersteuning van Solaris 10 is echter niet zo breed als die van Linux en Windows. Er is daarom meer kans op problemen bij het installeren van Solaris 10 op hardware die niet op de hardware compatibility list van Sun staat. Bij het installeren van Solaris 10 op een van de testsystemen van IT-week liepen we bijvoorbeeld vertraging op door een niet-ondersteunde dvd-drive, die we moesten verwijderen alvorens we verder konden. Alle software van Sun - van Java Enterprise System (JES) tot het Java Desktop Systeem (JDS) loopt nu op de x86- en x86-64 versies van Solaris.
Solaris 10 omvat vele prominente open source applicaties, maar voor andere open source applicaties en nieuwere versies van de meegeleverde applicaties hebben we ons gewend tot een vrijwilligersproject, genaamd blastwave.org, dat voornamelijk open source applicaties samenbrengt voor Solaris-systemen. We hebben voor-gecompileerde Solaris binaries opgehaald met de tool 'pkgget', die we konden downloaden van Blastwave en die ongeveer werkt als het Advanced Package Tool van Debian. Sun garandeert dat Solaris 10 binair compatibel is met vorige versies van Solaris, zodat opwaarderen vanaf voorgaande versies vergemakkelijkt wordt.

Beveiliging

Het beveiligingsraamwerk van Solaris 10 maakt een strak toezicht mogelijk op de systeembronnen via een autorisatiesysteem. Dat kan zorgdragen voor een fijnere controle dan het gebruikergebaseerde toegangsregime tot bepaalde delen van het besturingsysteem dat traditioneel wordt gebruikt bij Unix- en Linux-systemen. De traditionele Unix-autorisaties blijven de default-standaard in Solaris 10; de 'superuser' is niet verdwenen.
We kunnen echter de beheertools voor de rechten van gebruikers en processen aanwenden om de almachtige 'root account' te vervangen door met minder macht beklede 'rollen' die zijn toegesneden op specifieke taken. Het opzetten daarvan doen we in grafische schermen of middels tekstcommando's van Management Console van Solaris. Solaris 10 beschikt over een tool genaamd 'ppriv' die systeembeheerders helpt bij het bepalen van de autorisaties die een bepaalde applicatie nodig heeft om te kunnen draaien.
Met de process rights management tool beheren we de rechten van de verschillende processen. De rol van administrateur van de name service bijvoorbeeld kan een standaardgebruiker in staat stellen zich rechten toe te eigenen op een hoger niveau om die service te draaien. Process rights management kan de hardware- en gegevensbronnen inperken, waardoor de potentiële schade beperkt blijft als een aanvaller er in slaagt de name service te compromitteren.

Zones

Een nieuwe feature van Solaris kan applicaties isoleren. Die eigenschap komt overeen met de 'jails' van FreeBSD en stelt beheerders in staat op een systeem met Solaris 10 virtuele verschijningsvormen (instances) van het besturingssysteem te creëren, Zones geheten. Die functioneren alsof het individuele machines zijn, met hun eigen afzonderlijke netwerkinterfaces en met - als ze op die manier zijn ingericht - afzonderlijke versies van applicaties en bibliotheken.
Solaris Zones delen de meeste van hun systeembestanden met het host-systeem, ofwel de globale zone. Minder dan 100 MB aan bestanden wordt naar een nieuwe Zone gekopieerd bij de aanmaak daarvan. Vergeleken met volledig gevirtualiseerde machineomgevingen spaart dit schijfruimte en reduceert het de beheertaken, omdat upgrades of software-installaties die gedaan worden op het host-systeem ook van toepassing verklaard kunnen worden voor de virtuele afgeleide verschijningsvormen.
We konden in Solaris 10 Zones aanmaken via niet meer dan een handjevol terminalcommando's. Het proces was tamelijk rechttoe rechtaan, maar we zien graag een Zone toolbox toegevoegd worden aan de Solaris Management Console. We konden ook functionaliteit van het resource-beheerprogramma benutten om bronnen te verdelen over afzonderlijke virtuele verschijningsvormen. Gecombineerd met de isolatie daarvan en de flexibiliteit van de Zones is dit een goede set functies voor taken als serverconsolidatie.

Solaris Fault Manager

Een ander nuttige administratieve functie is Predictive Self Healing, die een verbeterd service manager raamwerk omvat en een nieuwe component die luistert naar de naam Solaris Fault Manager. De service manager maakt de automatische herstart mogelijk van processen die gecrasht zijn omdat ze per ongeluk afgebroken zijn, inclusief het herstarten van alle services waarvan de gestopte service afhankelijk is. De nieuwe manager kan ook een opname maken van draaiende serviceconfiguraties en verschaft gedetailleerdere statusinformatie omtrent draaiende en falende services.
Solaris Fault Manager is een subsysteem dat foutboodschappen en andere data ontvangt van services en hardware, die gegevens interpreteert en gepaste actie onderneemt en in gang zet, zoals het offline halen van een haperende CPU en een beheerder daarvan op de hoogte stellen.

DTrace

Een ander nuttig nieuw gereedschap is DTrace, dat ontwikkelaars en systeembeheerders diepgaander laat kijken naar de werking van Solaris en de applicaties die daarop draaien dan ze kunnen doen met tools als 'truss' van Sun. Wellicht nog belangrijker: te onderzoeken applicaties hoeven voor DTrace niet gestopt of aangepast te worden, waardoor het probleemloos en veilig kan draaien op productiemachines.
Interactie van de gebruikers met DTrace loopt via commando's en scripts geschreven in een door Sun ontwikkelde taal die 'D' heet, waarvan de syntax dicht tegen die van 'C' aanligt. Om goede resultaten te verkrijgen met DTrace is het wel aan te bevelen vertrouwd te zijn met de applicatie die u aan een diagnose onderwerpt.
 
Vertaling: René Rippen