Kapitel 1 Neuerungen in Solaris 10 5/09

Dieses Dokument enthält einen Überblick über alle Leistungsmerkmale von Solaris 10, die in der aktuellen Version Solaris 10 5/09 neu eingeführt oder verbessert wurden.

Einen Überblick über alle Leistungsmerkmale von Solaris 10, die neu eingeführt oder verbessert wurden, seit Solaris 9 im Mai 2002 erstmals veröffentlicht wurde, finden Sie unter Neuerungen in Solaris 10 5/09.

Verbesserung von Systemressourcen

In der Version Solaris 10 5/09 wurden die folgenden Systemressourcen und Verbesserungen implementiert.

Zusätzliche Unterstützung für die Verwendung von ZFS-Klonen beim Klonen einer Zone

Wenn der Zonenpfad der Quelle und der Zonenpfad des Ziels sich im ZFS-Dateisystem befinden und beide im selben Pool enthalten sind, wird ein Snapshot der Quelle des Zonenpfads erstellt, und der Klon zoneadm verwendet ZFS, um die Zone zu klonen.

Sie können festlegen, dass ein ZFS-Zonenpfad kopiert werden soll, anstatt festzulegen, dass das ZFS-Dateisystem geklont werden soll. Wenn sich weder der Zonenpfad der Quelle noch der Zonenpfad des Ziels im ZFS-Dateisystem befinden oder sich einer der Zonenpfade im ZFS-Dateisystem befindet und der andere nicht, verwendet der Klonprozess die vorhandene Kopiertechnik.

In jedem Falle kopiert das System die Daten aus einem Zonenpfad der Quelle in einen Zonenpfad des Ziels, wenn kein ZFS-Klon verwendet werden kann.

Weitere Informationen finden Sie hier:

• Manpage zoneadm(1M)

• Systemverwaltungshandbuch: Solaris Container – Ressourcenverwaltung und Solaris Zones

Option zoneadm attach -b

Mit der Option -b können offizielle oder Interim Diagnostics/Relief-Patches (IDR) während des Anhängens aus einer Zone zurückgenommen werden. Diese Option kann nur für Zone Brands angewendet werden, die Pakete des Typs SVr4 verwenden.

Weitere Informationen finden Sie hier:

• Manpage zoneadm(1M)

• Systemverwaltungshandbuch: Solaris Container – Ressourcenverwaltung und Solaris Zones

Systemverwaltungserweiterungen

In Solaris 10 5/09 wurden die folgenden Leistungsmerkmale und Verbesserungen für die Systemverwaltung implementiert.

SMF-Dienste für IPsec

Die IP-Sicherheit (IPsec) wird jetzt über die folgenden Solaris Management Facility (SMF)-Dienste verwaltet:

• svc:/network/ipsec/policy:default – Der Richtlinien-Dienst sucht nach der Datei /etc/inet/ipsecinit.conf und legt die Daten in der IPsec Security Policy Database (SPD, Sicherheitsrichtlinien-Datenbank) ab. Der Richtlinien-Dienst muss gestartet werden, und seine Datei , /etc/inet/ipsecinit.conf, muss für die Konfiguration der Systemstart-IPsec-Richtlinien zur Verfügung stehen.

• svc:/network/ipsec/ike:default – Der ike-Dienst steuert den Internet Key Exchange (IKE)-Dämon in iked(1M). Dieser Dienst steuert ike in ähnlicher Weise wie andere dämongesteuerte Dienste, wie beispielsweise ssh oder sendmail.

• svc:/network/ipsec/manual-key:default – Der manual-key Dienst sucht nach der Datei /etc/inet/secret/ipseckeys und legt die Schlüsseldaten in der IPsec Security Association Database (SADB, Sicherheitszuordnungs-Datenbank) ab. Vor dem Einsatz von SMF genügte bereits das Vorhandensein der Datei /etc/inet/secret/ipseckeys , heute jedoch muss der Dienst aktiviert werden, um manuelle IPsec-Schlüssel zu laden.

• svc:/network/ipsec/ipsecalgs:default – Der ipsecalgs-Dienst wird standardmäßig aktiviert und ordnet die Algorithmen der Verschlüsselungsstruktur von Solaris entsprechend ihrer Verwendung in IPsec zu. Wenn Änderungen über ipsecalgs(1M) aktiviert werden, wird anschließend der ipsecalgs -Dienst aktualisiert.

Die SMF-Verwaltung überträgt alle SMF-Funktionen auf IPsec, beispielsweise Schnittstellenkonsistenz, Neustart-Fähigkeit und Fehlerverfolgung.

Verbesserte Sicherheitsfunktionen

In Solaris 10 5/09 wurden die folgenden Sicherheitsfunktionen und -verbesserungen implementiert.

NAT-Durchquerung für Entwickler von IPsec-Schlüsselverwaltungsfunktionen

Die Version Solaris 10 5/09 enthält eine öffentliche API für User Datagram Protocol (UDP)-Sockets, die als Endpunkte für die IPsec-NAT-Durchquerung dienen.

Die Option UDP_NAT_T_ENDPOINT-Socket ermöglicht (sofern aktiviert) UDP-Datenverkehr mit einem aus vier Bytes bestehenden vorangestellten Null-Sicherheitsparameterindex (SPI) bei ausgehendem Datenverkehr und entfernt Null-SPIs bei eingehendem Datenverkehr. Eingehender Datenverkehr für solch einen Socket mit einem SPI, der ungleich Null ist, wird automatisch an Encapsulating Security Payload (ESP) von IPsec für die ESP-in-UDP-Entkapselung weitergeleitet. Die ESP-in-UDP-Verkapselung wird durch eine Eigenschaft in der IPsec-Sicherheitszuordnung festgelegt.

Diese Funktion ermöglicht den Entwicklern von IPsec-Schlüsselverwaltungssoftware, Schlüsselverwaltungsprotokolle zu erstellen, die Durchgangsverbindungen für NAT-Geräte herstellen können. Der IKE-Dämon von Solaris in iked(1M) verwendet diese Einrichtung, und solche Sockets werden mithilfe des Befehls pfiles(1M) angezeigt.

Leistungsfähigere Algorithmen für IPsec

Die Version Solaris 10 5/09 stellt folgende Algorithmen für IPsec und IKE bereit:

• Drei größere Diffie-Hellman-Ganzzahl-Gruppen mit 2048 Bit, 3072 Bit und 4096 Bit – die größeren Diffie-Hellman-Gruppen stehen in den IKE-Phasen 1 und 2 zur Verfügung. Die Gruppen werden durch Gruppennummern angegeben: 14 für 2048 Bit, 15 für 3072 Bit und 16 für 4096 Bit entsprechend RFC 3526.

• SHA-2-Reihe von Hash-Werten (darunter sha256, sha384 und sha512) – SHA-2 verwendet HMAC und steht für Authentication Header (AH) und ESP von IPsec zur Verfügung, sowie für IKE während des Dialogverkehrs. SHA-2 wird in IPsec entsprechend RFC 4868 verwendet, mit gekürzten ICV-Längen von 16 Byte für SHA256, 24 Byte für SHA384 und 32 Byte für SHA512.

  ---

  Hinweis –

  SHA-2 steht nicht für Zertifikate zur Verfügung, die mit ikecert (1M) generiert wurden.

  ---

SunSSH mit Unterstützung des OpenSSL-PKCS#11-Moduls

Diese Funktion ermöglicht dem SunSSH-Server und dem Client, mithilfe des OpenSSL-PKCS#11-Moduls die Verschlüsselungsstruktur von Solaris zu verwenden. SunSSH verwendet eine Verschlüsselungsstruktur für die Hardware-Verschlüsselungsbeschleunigung von symmetrischen Verschlüsselungsalgorithmen, was für die Datenübertragungsgeschwindigkeit wichtig ist. Diese Funktion ist für UltraSPARC® T2-Prozessor-Plattformen mit dem Verschlüsselungstreiber n2cp (7D) vorgesehen.

Diese Funktion hat keinen Einfluss auf UltraSPARC T1-Prozessor-Plattformen, da der Treiber ncp(7D) keine symmetrischen Verschlüsselungsalgorithmen unterstützt. Zudem hat diese Funktion keinen Einfluss auf Plattformen ohne Hardware-Verschlüsselungs-Plugins, egal welcher Wert für die Option UseOpenSSLEngine festgelegt ist. Der Standardwert der Option UseOpenSSLEngine wird auf "on" gesetzt, und die SSH-Konfigurationsdateien des Servers und des Clients müssen nicht aktualisiert werden.

SunSSH muss in Verbindung mit Version 1.1 der Software für die Sun Crypto Accelerator 6000-Karte verwendet werden, und folgende Patches müssen installiert sein:

• 128365-02 für SPARC-basierte Systeme

• 128366-02 für x86-basierte Systeme

---

Hinweis –

Für Software der Version 1.0 der Sun Crypto Accelerator 6000-Karte ist kein Patch verfügbar. Um diesem Problem abzuhelfen, entfernen Sie sowohl server- als clientseitig die AES-Zählermodi aus der Schlüsselwort-Option "Ciphers" (Verschlüsselungen).

---

Weitere Informationen finden Sie unter ssh_config(4) und sshd_config(4)

Verbesserungen am Gerätemanagement

Die Version Solaris 10 5/09 wurde um folgende Geräteverwaltungsfunktionen erweitert.

x86: Unterstützung des T-Zustands für Intel-basierte Prozessoren

Diese Funktion bietet Unterstützung des T-Zustands für CPU Advanced Configuration and Power Interface (ACPI). Die Unterstützung des T-Zustands ermöglicht dem CPU-Treiber, _TPC-Änderungsmeldungen zu empfangen, wodurch die Prozessorgeschwindigkeit gesteuert werden kann. Oft wird dies bei manchen Systemen zusammen mit den vorhandenen CPU-ACPI-P-Zuständen als passiver Belüftungsmechanismus ausgeführt.

Weitere Informationen finden Sie unter http://opensolaris.org/os/community/pm/.

Verbesserung der Systemleistung

In Solaris 10 5/09 wurden die folgenden Leistungsmerkmale und Verbesserungen für die Systemverwaltung implementiert.

Large Segment Offload Support (Unterstützung der Auslagerung großer Segmente) für Intel PCI Express 10Gb-NIC-Treiber

Diese Funktion bietet Unterstützung für LSO (Large Segment Offload, Auslagerung großer Segmente) für die ixgbe-Treiber und einige ixgbe-Treiber-Fehlerbehebungsverfahren. LSO ist eine wichtige Funktion für NIC, insbesondere für 10-Gb-NICs. LSO kann den Segmentierungsauftrag von Schicht 4 auf den NIC-Treiber übertragen. LSO verbessert die Übertragungsleistung durch Verringerung des CPU-Overheads. Diese Funktion ist standardmäßig aktiviert.

Solaris Power Aware Dispatcher and Deep C-State Support (Unterstützung für Solaris-Energieverwaltungs-Dispatcher und Deep C-Zustand)

Diese Funktion bietet folgende Verbesserungen:

• Ereignisgesteuerte CPU-Energieverwaltung – bei Systemen, die Dynamic Voltage and Frequency Scaling (DVFS) von Solaris unterstützen, sorgt der Kernel-Scheduler oder Dispatcher für die Verteilung von Threads auf die CPUs des Systems, wodurch Lasten zusammengeführt werden und eine effizientere Energieverwaltung anderer CPUs möglich ist. Änderungen des CPU-Energiezustands werden ausgelöst, wenn der Dispatcher erkennt, dass die Auslastung einer Gruppe von CPUs, deren Energiebedarf verwaltbar ist, sich bedeutend verändert hat. Dadurch entfällt die Notwendigkeit, regelmäßig die CPU-Auslastung über das System abzufragen. Außerdem kann das System Energie sparen, wenn die CPUs nicht verwendet werden, während die Leistung gesteigert werden kann, wenn die CPUs verwendet werden. Bei Systemen, die DVFS unterstützen, ist die ereignisgesteuerte CPU-Energieverwaltung standardmäßig aktiviert. Diese Funktion kann deaktiviert werden, oder die vorhandene abfragebasierte CPU-Energieverwaltung kann verwendet werden, indem das Schlüsselwort cpupm in power.conf(4) angegeben wird.

• Unterstützung für Tiefschlaf-CPU-Energieverwaltung oder Deep C-Zustand bei Nehalem-basierten Systemen von Intel – außerdem wird Solaris-Unterstützung für Deep C-Zustände bei Nehalem-basierten Systemen von Intel bereitgestellt. Diese Unterstützung erlaubt, dass ungenutzte CPU-Ressourcen dynamisch in einen Zustand versetzt werden, in dem sie nur einen Bruchteil der Energie verbrauchen, die im normalen Betriebszustand verbraucht wird. Diese Funktion bietet ebenfalls Solaris-Unterstützung für die Energiesparfunktion und sorgt für die Richtlinienumsetzung, durch die bestimmt wird, wann inaktive CPUs den Tiefschlafmodus anfordern sollten. Diese Funktion wird standardmäßig aktiviert (sofern sie unterstützt wird) und kann über das Schlüsselwort cpu-deep-idle in power.conf(4) deaktiviert werden.

• Beobachtbarkeit für die Funktion "Turbo-Modus" von Intel-Nehalem-basierte Systeme von Intel besitzen die Fähigkeit, die Betriebsfrequenz einer Untermenge von verfügbaren Kernen zu erhöhen, wenn dafür genügend thermaler Spielraum zur Verfügung steht. Diese Fähigkeit ermöglicht eine temporäre Verstärkung der Leistung, wird aber von der Hardware gesteuert und ist softwaretechnisch erkennbar. Mit der Implementierung der Version Solaris 10 5/09 kann ein neues kstat-Modul eingesetzt werden, das beobachtet, wann das System in den Turbo-Modus umschaltet und mit welcher Frequenz es arbeitet.

Verbesserungen für Entwicklungstools

In Solaris 10 5/09 wurden die folgenden Funktionen und Verbesserungen für Entwicklungstools implementiert.

SunVTS 7.0 Patch Set 5

SunVTS^TM 7.0 Patch Set 5 bietet folgende Verbesserungen:

• Infrastrukturelle Verbesserungen:

  • Möglichkeit, gerätespezifische Optionen in einem Test anzugeben

  • Erzeugung generischer oder hostspezifischer Sitzungen für Testzwecke

  • Schleifenfunktion für einen bestimmten Testdurchlauf

  • Unterstützung von Terminal-Benutzerschnittstellen für die Erzeugung oder das Laden von generischen und hostspezifischen Sitzungen

• Verbesserungen für CPU-Diagnosezwecke

  • Der Systemtest, systest, führt im Falle eines Ausfalls eine Isolierung auf Prozessorebene aus.

  • Der CPU-Test, cputest, ist ein Test, der mehrere Prozesse umfasst. Anhand einer einzelnen binären Prüfziffer können alle im System enthaltenen CPUs gleichzeitig getestet werden.

• Verbesserungen für Speicherdiagnosezwecke

  • physmem-basierter ramtest, mit der Option, die Adressenlänge in KB, MB und GB zu lesen

  • Verbesserter l3-Puffer-Test mit zusätzlichem Speicherplatz und Ablauftest-Algorithmen

• Verbesserungen für E/A-Diagnosezwecke

  • Ein neuer hlgraphicstest-Test zum Testen von Grafikkarten

  • Benutzer können beim Netzwerktest die Option "back-to-back loopback" (Ende-zu-Ende-Prüfschleife) für die nxge -Schnittstelle aktivieren.

  • Cddvdtest wurde verbessert, um verschiedene Laufwerksgeschwindigkeiten zu unterstützen

  • Disktest wurde verbessert, um folgende Funktionen zu unterstützen:

    • Optimierung der Leistung von USB-Speichergeräten

    • Prüfung der Leistung von Datenträgern

    • Kein Schreibtest auf Root-Datenträger

    • Prüfung von Halbleiterbauelementen mittels Prüfebene und Wear-Leveling-Mechanismus

    • Unterstützung des Lese-und-Schreib-Puffer-Cache-Tests

x86: CPU-Leistungsindikator-Aktualisierungen für Intel-Prozessoren

Moderne Mikroprozessoren enthalten Hardware-Leistungsindikatoren, die die Messung zahlreicher unterschiedlicher Hardware-Ereignisse ermöglichen, die mit dem Verhalten der CPU in Zusammenhang stehen. Zu Hardware-Ereignissen zählen Anweisungs- und Cachespeicherungsfehlschläge sowie verschiedene interne Prozessorzustände. Die Daten aus den Leistungsindikatoren können verwendet werden, um das Verhalten der Software zu analysieren und auf einen bestimmten Prozessortyp abzustimmen. Die Version Solaris 10 5/09 ermöglicht über die Schnittstelle libcpc(3LIB) und über die Dienstprogramme cputrack (1) und cpustat(1M) den Zugriff auf CPU-Leistungsindikatoren (cpc).

Verbesserungen an Treibern

In Solaris 10 5/09 wurden die folgenden Treiber-Funktionen und Verbesserungen implementiert.

Hermon-Treiber

Diese Funktion bietet einen Solaris-Treiber für die vierte Generation der InifiniBand (IB)-HCA-Chips von Mellanox, Ltd. Der Hermon-Treiber bietet IB-Unterstützung für SDR-, DDR- und QDR-Chips für konventionelle HCAs, EMs und NEMs, die in Blade-Umgebungen eingesetzt werden.

Der Hermon-Treiber sorgt im Vergleich mit früheren Generationen des IB-Produkts für eine größere Bandbreite und geringere Latenz in IB-Übertragungen. Die größere Bandbreite und die geringere Latenz sind die wichtigsten Faktoren in der Hochleistungsdatenverarbeitung, während eine erhöhte Leistung in allen Umgebungen von Vorteil ist.

Außerdem wird die uDAPL-Bibliothek, eine wichtige Grundlage der MPI-Bibliothek, aktualisiert, damit sie mit diesem Treiber kompatibel ist, wodurch für eine optimale Leistung in Verbindung mit MPI-basierten Anwendungen gesorgt wird.

iSCSI Target

Mit der Implementierung der Version Solaris 10 5/09 wird iSCSI Target aktualisiert, wodurch neue Leistungsmerkmale und Funktionen bereitgestellt werden.

Die Aktualisierung von iSCSI Target schließt folgende Verbesserungen der Leistung, Skalierbarkeit, Interoperabilität und Zuverlässigkeit ein:

• Verbesserte Wiederherstellung bei TCP/IP-Zeitüberschreitung

• Aufruf von SCSI RESETs durch iSCSI-Initiator

• Codepfad- und Speicherlochbereinigung

• Verbesserte Interoperabilität mit Target Port Group Tags (TPGT), unidirektionale und bidirektionale CHAP-Authentifizierung und RADIUS-Server-Unterstützung

• Verbesserte Unterstützung des Internet Storage Name Service (iSNS), einschließlich Wiederherstellung bei Nichtverfügbarkeit von iSNS-Servern

• Aktualisierte SCSI-3 Persistent Reserve-Funktion (SCSI-3-Funktion zur persistenten Reservierung), wodurch die Funktion sowohl bei Solaris als auch anderen Betriebssystemen in verschiedenen Clustering-Lösungen verwendet werden kann

Die Solaris iSCSI Target-Version unterstützt nun eine große Zahl von iSCSI-Initiatoren für die folgenden Betriebssysteme:

• Solaris 10

• OpenSolaris

• Linux: Red Hat Enterprise Linux (RHEL), Suse und Ubuntu

• VMWare ESX

• Microsoft Windows (XP, Vista, Server 2003, Server 2008, Windows Cluster Server)

• Mac OS X

x86: NetXen 10-GigE Device Driver

ntxn(7D) ist ein neuer NIC-Treiber, der PCI Express-basierte 10-Gigabit-Ethernet-Netzwerkschnittstellenkarten (NICs) von NetXen unterstützt. Bei Plattformen mit installierter NetXen-Netzwerkschnittstellenkarte können Benutzer über Solaris auf das Netzwerk zugreifen.

Unterstützung für Intel-ICH10 und Hartwell-NIC durch E1000g-Treiber

Mit der Implementierung der Version Solaris 10 5/09 werden bei manchen x64- und x86-Maschinen für die ICH10- und Hartwell-Netzwerkschnittstellen die standardmäßigen Netzwerkschnittstellenkarten (NICs) eingesetzt. Mit diesen Netzwerkschnittstellen können Benutzer leicht auf das Netzwerk zugreifen.

Der xge-Treiber kann mehrere Empfangsringe und MSI-X aktivieren

Der xge-Treiber kann mehrere Empfangsringe und MSI-X aktivieren, sofern der Treiber genügend MSI-X-Vektoren auf Plattformen zuordnen kann, die MSI-X unterstützen. Die Leistung des Treibers wird durch diese Funktion erhöht. Wenn der Treiber nicht genügend MSI-X-Vektoren zuordnen kann, arbeitet er weiterhin im vorhandenen Unterbrechungsmodus.

Verbesserungen der Sprachunterstützung

In Version Solaris 10 5/09 wurden folgende Verbesserungen für die Sprachunterstützung implementiert.

Neue Sprachumgebungsunterstützung für Kasachstan und die Ukraine

Die Version Solaris 10 5/09 unterstützt jetzt die Sprachumgebungen kk_KZ.UTF-8 (Kasachstan) und uk_UA.UTF-8 (Ukraine).

Weitere Software-Verbesserungen

Die Version Solaris 10 5/09 wurde um folgende Softwarefunktionen erweitert.

SPARC: Fp-scrubber-Dämon

Der Fp-scrubber ist ein Dämon auf Benutzerebene, der regelmäßig nichtintrusive Tests ausführt, um die Funktionsfähigkeit der Hardware der Gleitkomma-Einheit zu überprüfen. Wenn bei der Durchführung des Tests ein Fehler erkannt wird, wird mithilfe des Befehls fmd(1M) eine Fehlerverwaltungsaktion eingeleitet. Der Fp-scrubber-Dämon unterstützt nur Prozessoren der Kategorie UltraSPARC III und UltraSPARC IV.