Chapitre 1 Nouveautés de la version Solaris 10 5/09

Ce document répertorie toutes les fonctions du système d'exploitation (SE) Solaris 10 introduites ou améliorées dans la version Solaris 10 5/09.

Pour connaître toutes les fonctions du système d'exploitation Solaris 10 introduites ou améliorées depuis l'introduction initiale du SE Solaris 9 en mai 2002, reportez-vous à la rubrique Nouveautés de Solaris 10 5/09.

Ressources système

Les améliorations et fonctionnalités de ressources système suivantes ont été ajoutées à la version Solaris 10 5/09.

Prise en charge de l'utilisation des clones ZFS lors du clonage d'une zone

Si les chemins de zone source et cible résident sur ZFS et se trouvent tous deux dans le même pool, un instantané du chemin de zone source est créé. Le clone zoneadm utilise ZFS pour cloner la zone.

Vous pouvez spécifier de copier un chemin de zone ZFS au lieu de spécifier de cloner le ZFS. Si ni le chemin de zone source ni le chemin de zone cible n'est défini sur ZFS, ou si l'un est défini sur ZFS et l'autre non, le processus de clonage utilise la technique de copie existante.

Dans tous les cas, le système copie les données à partir d'un chemin de zone source vers un chemin de zone cible lorsqu'il est impossible d'utiliser un clone ZFS.

Pour plus d'informations, consultez les références suivantes :

• Page de manuel zoneadm(1M)

• Guide d’administration système : Gestion des ressources conteneurs Solaris et des zones Solaris

Option Zoneadm attach -b

Utilisez l'option -b pour spécifier un patch officiel ou IDR (Interim Diagnostics Relief) à désinstaller d'une zone pendant le rattachement. Cette option s'applique uniquement aux marques de zone qui utilisent des packages SVr4.

Pour plus d'informations, consultez les références suivantes :

• Page de manuel zoneadm(1M)

• Guide d’administration système : Gestion des ressources conteneurs Solaris et des zones Solaris

Améliorations apportées à l'administration système

Les améliorations et fonctionnalités d'administration système suivantes ont été ajoutées à la version Solaris 10 5/09.

Services SMF pour IPsec

Le protocole IPsec (IP security) est désormais géré par les services de l'utilitaire de gestion des services Solaris (SMF) suivants :

• Svc:/network/ipsec/policy:default : le service policy vérifie le fichier /etc/inet/ipsecinit.conf et insére les données dans la base de données SPD (Security Policy Database) IPsec. Le service policy doit être démarré et son fichier, /etc/inet/ipsecinit.conf, doit exister pour la configuration de la stratégie IPsec au moment de l'initialisation.

• svc:/network/ipsec/ike:default: le service ike contrôle le démon IKE dans iked(1M). Ce service contrôle le démon ike de manière similaire à d'autres services contrôlés par des démons tels que ssh ou sendmail.

• svc:/network/ipsec/manual-key:default : le service manual-key vérifie le fichier /etc/inet/secret/ipseckeys et insère les clés dans la base de données SADB (Security Association Database) IPsec. Avant SMF, l'existence du fichier /etc/inet/secret/ipseckeys était suffisante, mais à présent le service doit également être activé pour charger les clés IPsec manuelles.

• svc:/network/ipsec/ipsecalgs:default : le service ipsecalgs est activé par défaut et mappe les algorithmes de structure cryptographique Solaris avec leur utilisation dans IPsec. Les modifications activées avec ipsecalgs(1M) actualisent par la suite le service ipsecalgs.

La gestion SMF apporte toutes les fonctions SMF à IPsec, telles que la cohérence de l'interface, une capacité de redémarrage et une fonction de suivi des erreurs.

Sécurité

Les améliorations et fonctionnalités de sécurité suivantes ont été ajoutées à la version Solaris 10 5/09.

NAT-Traversal pour développeurs d'applications de gestion de clés IPsec

La version Solaris 10 5/09 contient une API publique pour les sockets UDP qui agissent en tant que points d'extrémité de NAT-Traversal IPsec.

L'option de socket UDP_NAT_T_ENDPOINT, lorsqu'elle est activée, dispose d'un trafic UDP préfixé avec une valeur SPI (index de paramètres de sécurité) zéro de quatre octets pour le trafic sortant et un SPI zéro pour le trafic entrant. Le trafic entrant lié pour ce type de socket avec une valeur SPI non nulle est automatiquement transféré à l'ESP (Encapsulating Security Payload) IPsec pour une décapsulation ESP dans UDP. L'encapsulation ESP dans UDP est déterminée par une propriété dans l'association de sécurité IPsec.

Cette fonction permet aux développeurs de logiciels de gestion de clés IPsec de créer des protocoles de gestion des clés pouvant passer par des périphériques NAT. Le démon IKE Solaris dans iked(1M) utilise cette fonction et de tels sockets sont affichés à l'aide de la commande pfiles(1M).

Des algorithmes plus puissants pour IPsec

La version Solaris 10 5/09 introduit les algorithmes suivants pour IPsec et IKE :

• Trois groupes Diffie-Hellman entier-modulo plus grands, de 2 048 bits, 3 072 bits et 4 096 bits. Les groupes Diffie-Hellman les plus grands sont disponibles dans IKE Phase 1 et Phase 2. Les groupes sont spécifiés par des numéros de groupe : 14 pour 2 048 bits, 15 pour 3 072 bits et 16 pour 4 096 bits, par RFC 3526.

• Série SHA-2 de hachages incluant sha256, sha384, sha512.– L'algorithme SHA-2 utilisant HMAC est disponible pour l'en-tête d'authentification IPsec et ESP, ainsi que pour IKE pendant ses interactions. SHA-2 est utilisé dans IPsec par RFC 4868, avec des longueurs ICV tronquées de 16 octets pour SHA256, 24 octets pour SHA384 24 et 32 octets pour SHA512.

  ---

  Remarque –

  SHA-2 n'est pas disponible pour les certificats générés avec ikecert (1M).

  ---

Prise en charge de SunSSH avec moteur OpenSSL PKCS#11

Cette fonction permet au serveur et au client SunSSH d'utiliser la structure cryptographique de Solaris via le moteur OpenSSL PKCS#11. SunSSH utilise la structure cryptographique pour l'accélération cryptographique matérielle des algorithmes de chiffrage symétriques, importante pour la vitesse de transfert de données. Cette fonction est destinée aux plates-formes à processeur T2 UltraSPARC® dotées d'un pilote de chiffrement n2cp (7D).

Les plates-formes à processeur T1 UltraSPARC T1 ne sont pas affectées par cette fonction étant donné que le pilote ncp(7D) ne gère pas les algorithmes de chiffrement symétriques. Les plates-formes sans plug-in de chiffrement matériel ne sont pas affectées par cette fonction, quelle que soit la valeur définie pour l'option UseOpenSSLEngine. La valeur par défaut de l'option UseOpenSSLEngine est ON (activé), et les fichiers de configuration SSH serveur et client n'ont pas besoin d'être mis à jour.

SunSSH doit être utilisé avec une carte accélératrice Sun Crypto Accelerator 6000 version 1.1 avec les patchs suivants installés :

• 128365-02 pour les systèmes SPARC-

• 128366-02 pour les systèmes x86-

---

Remarque –

Aucun patch n'est disponible pour la carte accélératrice Sun Crypto Accelerator 6000 version 1.0. Pour résoudre ce problème, supprimez le mode compteur AES des mots-clés d'option de chiffrement sur le serveur et le client.

---

Pour plus d'informations, reportez-vous aux rubriques ssh_config(4) et sshd_config(4)

Gestion des périphériques

La fonction suivante de gestion de périphérique a été ajoutée dans la version Solaris 10 5/09.

x86 : Prise en charge de T-State pour les processeurs Intel

Cette fonction offre la prise en charge de T-state de l'interface ACPI (Advanced Configuration and Power Interface) de l'UC de base. La prise en charge de T-state permet au pilote de l'UC de recevoir des notifications de changement _TPC afin de contrôler la vitesse du processeur. Cela se fait fréquemment sur certains systèmes en tant que mécanisme de refroidissement passif avec les P-States d'interface ACPI UC existants.

Pour plus d'informations, consultez la page Web http://opensolaris.org/os/community/pm/.

Performances système

Les améliorations et fonctionnalités de performances système suivantes ont été ajoutées à la version Solaris 10 5/09.

Prise en charge de Large Segment Offload pour pilote de carte réseau 10 Go PCI Express d'Intel

Cette fonctionnalité introduit la prise en charge de la technologie LSO (Large Segment Offload) pour le pilote ixgbe et quelques correctifs de bogue du pilote ixgbe. LSO est une fonction importante pour les cartes réseau, surtout celles de 10 Go. LSO permet de décharger la segmentation de la couche 4 vers le pilote de carte réseau. LSO améliore les performances de transmission tout en diminuant le temps système de l'UC. Cette fonction est activée par défaut.

Prise en charge de Solaris Power Aware Dispatcher et Deep C-State

Cette fonction inclut les améliorations suivantes :

• Gestion de l'alimentation des UC en fonction des événements : sur les systèmes qui prennent en charge les fonctions Dynamic Voltage and Frequency Scaling (DVFS) de Solaris, l'ordonnanceur ou le dispatcheur de noyau programme des fils de discussion sur les UC du système de manière à fusionner la charge et à libérer les autres UC d'une gestion approfondie de l'alimentation. Les modifications d'état d'alimentation de l'UC sont déclenchés lorsque le dispatcheur reconnaît que l'utilisation d'un groupe d'UC dont l'alimentation peut être gérée a changé de manière significative. Cette opération élimine le besoin d'effectuer des contrôles périodiques de l'utilisation de l'UC sur le système, et permet au système d'économiser davantage d'énergie lorsque les UC ne sont pas utilisées, tout en boostant les performances lorsque les UC sont utilisées. La gestion de l'alimentation des UC en fonction des événements est activée par défaut sur les systèmes qui prennent en charge DVFS. Cette fonction peut être désactivée, ou la gestion de l'alimentation des UC basée sur des contrôles existants peut être utilisée à l'aide du mot-clé cpupm dans power.conf(4).

• Prise en charge de Deep Idle CPU Power Management ou Deep C-state pour les systèmes Intel Nehalem : le projet ajoute également la prise en charge par Solaris de Deep C-State pour les systèmes Intel Nehalem. Cette prise en charge permet aux ressources inutilisées de l'UC d'être placées de façon dynamique dans un état où elles consomment une fraction de la puissance consommée dans leur état de fonctionnement normal. Cette fonction fournit également la prise en charge par Solaris de la fonctionnalité d'économie d'énergie, ainsi que l'implémentation de la stratégie qui décide quand une UC inactive doit envoyer une requête de veille prolongée. Cette fonction est activée par défaut dans les systèmes qui la prennent en charge, et peut être désactivée via le mot-clé cpu-deep-idle dans power.conf(4).

• Fonctionnalité d'observation du mode Turbo d'Intel : les systèmes Intel Nehalem peuvent augmenter la fréquence de fonctionnement d'un sous-ensemble des coeurs disponibles s'il existe un dégagement thermique suffisant. Cette fonction booste temporairement les performances, mais elle est contrôlée par le matériel et transparente pour le logiciel. À·partir de la version Solaris 10 5/09, un nouveau module kstat observe lorsque le système passe en mode turbo et sa fréquence de fonctionnement.

Outils de développement

Les améliorations et fonctionnalités de développement suivantes ont été ajoutées à la version Solaris 10 5/09.

SunVTS 7.0 Patch Set 5

Les améliorations suivantes ont été apportées à SunVTS ^TMPatch Set 5 :

• Améliorations de l'infrastructure :

  • Possibilité de spécifier des options spécifiques de périphérique dans un test

  • Création de sessions génériques ou spécifiques à un hôte à des fins de test

  • Fonction de boucle sur un test particulier

  • Prise en charge de l'interface utilisateur du terminal pour la création ou le chargement de sessions génériques et spécifiques à un hôte

• Amélioration des diagnostics sur les UC :

  • Le test du système, systest, effectue une isolation au niveau du processeur en cas de défaillance

  • Le test de l'UC, cputest, est un test multiprocessus. Un fichier binaire de test unique permet de tester toutes les UC du système simultanément.

• Amélioration des diagnostics de mémoire :

  • physmem-based ramtest permet de lire la longueur d'adresse en Ko, Mo et Go

  • Test du tampon l3 amélioré avec de nouveaux algorithmes de test de fonctionnement pour la mémoire

• Amélioration des diagnostics d'entrée/sortie :

  • Nouveau test hlgraphicstest ajouté pour tester les cartes graphiques

  • Les utilisateurs peuvent définir une option de loopback back-to-back pour l'interface nxge dans le test réseau

  • Cddvdtest est optimisée pour prendre en charge différentes vitesses de lecteur

  • Disktest est optimisée pour prendre en charge les fonctions suivantes :

    • Sollicitation des périphériques de stockage USB

    • Test de performance du disque

    • Pas de test d'écriture sur le disque root

    • Test des périphériques SSD grâce à un mécanisme de gestion de l'usure

    • Prise en charge du test de mise en cache du tampon de lecture/écriture

x86 : Mises à jour des compteurs de performance de l'UC pour les processeurs Intel

Les microprocesseurs modernes contiennent des compteurs de performance matériels qui permettent de mesurer les différents événements matériels liés au comportement de l'UC. Les événements matériels incluent les échecs d'instruction et de mise en cache des données, ainsi que divers états internes du processeur. Des données obtenues à partir des compteurs de performance peuvent être utilisées pour analyser et régler le comportement des logiciels sur un type de processeur particulier. Le SE Solaris 10 5/09 fournit l'accès à des compteurs de performance de l'UC (cpc, CPU Performance Counters) via l'interface libcpc(3LIB) et les utilitaires cputrack (1) et cpustat(1M).

Pilote

Les améliorations et fonctionnalités de pilotes suivantes ont été ajoutées à la version Solaris 10 5/09.

Pilote hermon

Cette fonctionnalité introduit un pilote Solaris pour la quatrième génération de puces InifiniBand (IB) HCA de Mellanox, Ltd. Le pilote hermon offre la prise en charge IB des puces SDR, DDR et QDR pour les environnements à lames HCA, EM et NEM conventionnels.

Le pilote hermon permet une bande passante supérieure et une latence inférieure dans transmissions IB par rapport aux générations précédentes de produits IB. La bande passante supérieures et la latence inférieure trouvent une utilité majeure dans les applications informatiques haute performance, bien que l'augmentation des performances soit un avantage dans tous les environnements.

En outre, la bibliothèque uDAPL, l'une des bases fondamentales de la bibliothèque MPI, a été mise à jour pour fonctionner avec ce pilote, fournissant des performances optimales dans les applications MPI.

Cible iSCSI

A partir de la version Solaris 10 5/09, la cible iSCSI est mise à niveau pour offrir de nouvelles fonctions et fonctionnalités.

Cette cible iSCSI mise à jour comprend les améliorations suivantes en termes de performance, d'évolutivité, d'interopérabilité et de fiabilité :

• Récupération du délai d'attente TCP/IP améliorée

• SCSI RESET appelé par l'nitiateur iSCSI

• Chemin d'accès au code et nettoyage de fuite mémoire

• Interopérabilité améliorée avec la prise en charge des TBGT (Target Port Group Tags), de l'authentification CHAP unidirectionnelle et bidirectionnelle et du serveur RADIUS

• Prise en charge des services iSNS (Internet Storage Name Service), y compris la reprise à partir de serveurs iSNS non disponibles

• Fonctionnalité SCSI-3 Persistent Reserve qui permet d'utiliser la fonctionnalité dans plusieurs solutions de clustering sur des systèmes d'exploitation Solaris et autres

La version Solaris iSCSI Target prend désormais en charge une grande variété d'initiateurs iSCSI pour les systèmes d'exploitation suivants :

• Solaris10

• OpenSolaris

• Linux : Red Hat Enterprise Linux (RHEL), SUSE et Ubuntu

• VMWare ESX

• Microsoft Windows (XP, Vista, Server 2003, Server 2008, Windows Cluster Server)

• Mac OS X

x86 : Pilote NetXen 10-GigE

Le ntxn(7D) est un nouveau pilote de carte réseau qui prend en charge les cartes d'interface réseau (NIC) Ethernet PCI Express 10 Go de NetXen. Les utilisateurs peuvent accéder au réseau via le SE Solaris sur des plates-formes dotées d'une carte réseau NetXen.

Prise en charge de carte réseau Intel ICH10 et Hartwell dans le pilote E1000g

A partir de la version Solaris 10 5/09, les interfaces réseau ICH10 et Hartwell sont les cartes d'interface réseau (NIC) par défaut sur certaines machines x64 et x86. Les utilisateurs peuvent accéder au réseau facilement grâce à ces interfaces réseau.

Le pilote Xge permet d'activer plusieurs anneaux de réception et MSI-X

Le pilote xge permet d'activer plusieurs anneaux de réception et MSI-X si le pilote peut affecter suffisamment de vecteurs MSI-X sur les plates-formes prenant en charge MSI-X. Les performances du pilote sont optimisées par cette fonction. Si le pilote ne peut pas affecter suffisamment de vecteurs MSI-X, le pilote continue afin de fonctionner comme auparavant dans le mode d'interruption existant.

Prise en charge des langues asiatiques

La fonction suivante de prise en charge de langues a été ajoutée dans la version Solaris 10 5/09.

Prise en charge de nouveaux paramètres locaux pour le Kazakhstan et l'Ukraine

La version Solaris 10 5/09 prend désormais en charge les paramètres locaux kk_KZ.UTF-8 pour le Kazakhstan et uk_UA.UTF-8 pour l'Ukraine.

Améliorations apportées aux logiciels supplémentaires

La fonction suivante de gestion de périphérique a été ajoutée dans la version Solaris 10 5/09.

SPARC : Démon Fp-Scrubber

Le démon Fp-Scrubber est un démon utilisateur qui exécute périodiquement des tests non-intrusifs pour valider le bon fonctionnement du matériel FPU. Lorsque le test détecte une erreur, une action de gestion de pannes est exécutée à l'aide de la commande fmd(1M). Le démon Fp-Scrubber prend uniquement en charge les classes de processeurs UltraSPARC III et UltraSPARC IV.