安全

　　这一部分的问题与实现 WPAR 的安全措施有关。

　　一个 WPAR 的授权用户是否能够使用相同的授权访问另一个 WPAR？

　　不能，每个 WPAR 都管理自己的用户。这意味着，有权访问 WPAR A 的用户无权访问 WPAR B。

　　WPAR 如何能够帮助增强安全性？

　　通过使用系统 WPAR，可以将一个应用程序与另一个应用程序分隔开而且可以分隔它们的根权限。现在，可以授予用户对某个特定 WPAR 的根权限，而无需授予它们对全局环境的根权限。这提高了全局系统的安全性。各个 WPAR 中的根用户不能更改系统范围的资源。另外，您可以使用基于角色的访问控制概要来进一步限制 WPAR 中的权限。

　　是否可以在 WPAR 中更改操作系统特征？

　　操作系统的特征是由全局环境定义的。在 WPAR 中，不能设置诸如每用户的最大进程数之类的特征。

　　应用程序开发人员

　　您可以在共享或非共享环境中安装应用程序。

　　" 在共享环境中安装应用程序时，该应用程序将安装在全局环境中。这时，该应用程序可以由一个或多个 WPAR 共享。

　　" 在非共享环境中安装应用程序时，该应用程序仅安装在 WPAR 中。这时，其他 WPAR 无权访问该应用程序。

　　您采用的方法对应用程序的安装有不同的意义。

　　本文这一部分的问题与在共享环境或非共享环境中安装应用程序相关，还与其他应用程序开发问题相关。

　　我的应用程序能否在 WPAR 中成功安装？

　　当在系统 WPAR 中安装应用程序时，是否能成功安装取决于应用程序使用 /usr 和 /opt 目录的方式。缺省情况下，系统 WPAR 对全局环境中（以及与其他 WPAR 共享）的 /usr 和 /opt 目录具有只读访问权。因此，在应用程序的安装过程中，任何向 /usr 或 /opt 目录写入的尝试都将失败（请注意：如果需要，可以通过其他方法解决此问题。）

　　对于要在 WPAR 中运行的应用程序，该应用程序的安装应该没有问题，因为软件已经安装在全局环境的文件系统中。

　　我的应用程序将在 WPAR 中运行吗？

　　对于大多数应用程序，WPAR 显示为 AIX 的一个实例，并且无需对应用程序进行任何修改即可运行。在 WPAR 中，应用程序具有如下特征：

　　" 私有执行环境

　　" 与其他应用程序隔离

　　" 专用网络访问

　　" 仅与 WPAR 中的其他进程进行进程间通信

　　如果我的应用程序需要向 /opt 或 /usr 目录执行写入操作该怎么办？

　　在 WPAR 的缺省安装中，/opt 和 /usr 目录是只读的。不过，有些应用程序设计为向 /opt 或 /usr 目录中的目录进行写入。克服这种局限性的一种方法是创建一个可写的文件系统，并将该文件系统安装在 WPAR 中，以供应用程序使用。

　　是否可以在 WPAR 中定义 /opt 和 /usr 的私有副本？

　　可以，在创建 WPAR 时可以创建 /opt 和 /usr 目录的私有副本；不过，这会增加文件系统的使用率。

　　在 WPAR 中修改了哪些 AIX 命令？

　　由于 WPAR 无权访问设备，因此在 WPAR 中运行时，某些命令会有不同的响应。例如，当在 WPAR 中运行时，如果尝试使用 -v 参数，AIX netstat 命令将会失败。

　　什么是可重定位软件包？

　　IBM AIX V6.1 在软件的安装和管理上引入了一个新概念：可重定位软件包。可重定位应用程序的文件可以相对于一个基本目录进行安装，该基本目录不同于 AIX 环境的 /root 目录。使用此功能，可以将同一应用程序的多个版本部署到一个 AIX 实例中。系统管理员通过在一个特定的 WPAR 中启动每个版本可以利用可重定位应用程序--因此，可以从一个 LPAR 提供具有不同服务器代码版本的多个服务器。

　　我如何在一个应用程序 WPAR 中启动 Apache Web 服务器？

　　在创建 WPAR 时，同时还会创建一个基于 WPAR 名称（如果提供主机名，也可以基于主机名）的网络接口。因此，当启动 Apache Web 服务器时，WPAR 可以成功解析 Apache 服务器的 IP 地址非常重要。例如，使用以下命令：wparexec -n myapp -h webserver1 /usr/IBMINS/bin/apachectl start 您必须在 /etc/hosts 文件中定义 webserver1 主机名，或者它必须能够由网络 DNS 进行解析。如果不在 AIX wparexec 命令中指定主机名，则必须在 /etc/hosts 文件中定义 myapp，或者能够由网络 DNS 进行解析。