本文件概述了目前發行版本 Solaris 10 5/09 中新增或增強的所有 Solaris 10 作業系統 (OS) 功能。
如需自 2002 年 5 月 Solaris 9 作業系統首次發行以來 Solaris 10 作業系統中所有引入或增強功能的概述,請參閱「Solaris 10 5/09 新增功能」。
下列系統資源功能及增強功能已增加至 Solaris 10 5/09 發行版本中。
如果來源區域路徑與目標區域路徑皆位於 ZFS 上並且都在同一個池中,便會取得來源區域路徑的快照,並且 zoneadm 複製會使用 ZFS 來複製該區域。
您可以指定複製 ZFS 區域路徑,而非指定複製 ZFS。如果來源區域路徑與目標區域路徑都不在 ZFS 上,或兩者只有其中之一在 ZFS 上時,則複製程序會使用現有的複製技術。
不論如何,如果無法使用 ZFS 複製的話,系統會從來源區域路徑將資料複製至目標區域路徑。
如需更多資訊,請參閱:
「zoneadm(1M) 線上手冊」
「System Administration Guide: Solaris Containers-Resource Management and Solaris Zones」
請使用 -b 選項,指定在附加過程中要從區域移除掉的官方修補程式或臨時診斷救援 (IDR) 修補程式。此選項只適用於使用 SVr4 封裝的區域標記。
如需更多資訊,請參閱:
「zoneadm(1M) 線上手冊」
「System Administration Guide: Solaris Containers-Resource Management and Solaris Zones」
下列系統管理功能及增強功能已增加至 Solaris 10 5/09 發行版本中。
現在由下列 Solaris 管理功能 (SMF) 服務來管理 IP 安全性 (IPsec):
svc:/network/ipsec/policy:default – policy 服務會檢查 /etc/inet/ipsecinit.conf 檔案,並將資料送入 IPsec 安全性策略資料庫 (SPD)。必須啟動 policy 服務,而且其檔案 /etc/inet/ipsecinit.conf 必須存在,才能進行開機階段的 IPsec 策略配置。
svc:/network/ipsec/ike:default – ike 服務會控制 iked(1M) 中的網際網路金鑰交換 (IKE) 常駐程式。此服務控制 ike 的方式與常駐程式控制的其他服務 (如 ssh 或 sendmail) 相似。
svc:/network/ipsec/manual-key:default – manual-key 服務會檢查 /etc/inet/secret/ipseckeys 檔案,並將金鑰送入 IPsec 安全性關聯資料庫 (SADB)。在使用 SMF 之前,只要存在 /etc/inet/secret/ipseckeys 檔案便已足夠,但如今也應啟用該服務,才能載入手動 IPsec 金鑰。
svc:/network/ipsec/ipsecalgs:default – ipsecalgs 服務會預設啟用,並將 Solaris Cryptographic Framework 演算法對映到在 IPsec 中使用它們之處。ipsecalgs(1M) 所啟用的變更隨後會更新 ipsecalgs 服務。
SMF 管理將所有 SMF 功能引入 IPsec,例如:介面一致性、重新啟動的功能以及錯誤追蹤。
下列安全性功能及增強功能已增加到 Solaris 10 5/09 發行版本中。
Solaris 10 5/09 發行版本包含了使用者資料包協定 (UDP) 通訊端的公用 API,這些通訊端可充當 IPsec 網路位址轉譯器 (NAT) 遍歷端點。
UDP_NAT_T_ENDPOINT 通訊端選項,啟用時會在傳出的 UDP 通訊前面加上大小為 4 位元組、值為 0 的安全參數索引 (SPI),並刪除傳入通訊上的 0 值 SPI。具有非 0 值 SPI 的傳入通訊在進入通訊端時,會被自動傳輸到 IPsec 的封裝安全性有效負載 (ESP),進行 ESP-in-UDP 解除封裝。ESP-in-UDP 封裝是透過 IPsec 安全性關聯 (SA) 中的特性來判斷的。
此功能讓 IPsec 金鑰管理軟體開發人員可以建立能夠轉換 NAT 裝置的金鑰管理協定。iked(1M) 中的 Solaris IKE 常駐程式會使用此項功能,而使用 pfiles(1M) 指令則可顯示這類通訊端。
Solaris 10 5/09 發行版本針對 IPsec 與 IKE 引入了下列演算法:
三套更大的 Diffie-Hellman 整數模數群組,包括 2048 位元、3072 位元及 4096 位元 – 更大的 Diffie-Hellman 群組可在 IKE Phase 1 與 Phase 2 中使用。根據 RFC 3526,依照群組編號將這些群組指定如下:14 代表 2048 位元、15 代表 3072 位元、16 代表 4096 位元。
SHA-2 系列雜湊包括 sha256、sha384 及 sha512 – 使用 HMAC 的 SHA-2 可用於 IPsec 的認證標頭 (AH) 與 ESP,以及在 IKE 的互動中也可用於 IKE。SHA-2 根據 RFC 4868 用於 IPsec,但 ICV 長度將截短為 16 個位元組 (針對 SHA256)、24 個位元組 (針對 SHA384) 以及 32 個位元組 (針對 SHA512)。
SHA-2 無法用於以 ikecert (1M) 產生的憑證。
此功能讓 SunSSH 伺服器與用戶端能夠透過 OpenSSL PKCS#11 引擎來使用 Solaris Cryptographic Framework。SunSSH 使用加密架構來進行對稱式加密演算法的硬體加密加速,這對資料傳輸速度是很重要的。此功能專為具有 n2cp (7D) 加密驅動程式的 UltraSPARC® T2 處理器平台而設計。
UltraSPARC T1 處理器平台不受此功能影響,因為 ncp(7D) 驅動程式並不支援對稱式加密演算法。不論為 UseOpenSSLEngine 選項設定的值是多少,不具任何硬體加密外掛程式的平台都不受此功能影響。UseOpenSSLEngine 選項的預設值已設為開啟,而且不需要更新伺服器與用戶端的 SSH 配置檔案。
SunSSH 應配合 Sun Crypto Accelerator 6000 機板的軟體 1.1 版使用,並應安裝下列修補程式:
若為 SPARC 系統,應安裝 128365-02
若為 x86 系統,應安裝 128366-02
Sun Crypto Accelerator 6000 機板軟體 1.0 版並無修補程式可用。若要解決此問題,請在伺服器與用戶端兩邊從 Ciphers 的選項關鍵字中移除 AES 計數器模式。
如需更多資訊,請參閱:「ssh_config(4)」 與 「sshd_config(4)」
下列裝置管理功能已增加到 Solaris 10 5/09 發行版本中。
此功能提供基本的 CPU 進階配置及電源介面 (ACPI) T-State 支援。T-State 支援能讓 CPU 驅動程式接收 _TPC 變更通知,作為控制處理器速度的一種方式。在某些系統上常以此種方式,再配合上現有的 CPU ACPI P-State,作為被動的散熱機制。
如需更多資訊,請參閱 http://opensolaris.org/os/community/pm/。
下列系統效能功能及增強功能已增加至 Solaris 10 5/09 發行版本中。
此功能為 ixgbe 驅動程式以及某些 ixgbe 驅動程式的錯誤修正引入大型區段卸載 (LSO) 支援。LSO 對 NIC 而言是很重要的功能,尤其對 10 GB NIC 更是如此。LSO 能將第 4 層上的分段工作卸載給 NIC 驅動程式。透過減少 CPU 的經常性耗用時間,LSO 能夠改善傳輸效能。此功能預設為啟用。
此功能包含了下列增強功能:
事件驅動的 CPU 電源管理 – 在支援 Solaris 所提供之動態電壓與頻率調整 (DVFS) 的系統上,核心的排程程式或派送程式會以合併負載並釋放要進行深層電源管理的其他 CPU 的方式,將執行緒排程給整個系統上的所有 CPU。當派送程式辨識到一組可進行電源管理之 CPU 的利用率發生了重大的變更時,就會觸發 CPU 電源狀態的變更。如此可消除定期輪詢整個系統中 CPU 利用率的需求,並讓系統能夠在未使用 CPU 時節省更多電力,而在使用 CPU 時又能驅策效能。在支援 DVFS 的系統上,會預設啟用事件驅動的 CPU 電源管理。此功能亦可停用,或透過「power.conf(4)」中的 cpupm 關鍵字來使用舊有以輪詢為基礎的 CPU 電源管理。
支援 Intel Nehalem 系統上的深層閒置 CPU 電源管理或深層 C-state – 此專案也增加了 Solaris 對 Intel Nehalem 系統上深層 C-state 的支援。此項支援讓未使用的 CPU 資源能夠動態置於某種狀態,此時 CPU 所消耗的電力僅占正常運作狀態下所消耗電力的一小部分。此功能也提供 Solaris 對省電功能的支援,以及決定閒置的 CPU 何時應該要求進入深層閒置模式的策略實作。在受支援時,此功能會預設啟用,另外亦可透過 power.conf(4) 中的 cpu-deep-idle 關鍵字予以停用。
可觀察 Intel 加速模式的功能 – Intel Nehalem 系統具有能力,可在尚有升溫餘地時提高可用核心中某個子集的運作頻率。此項能力會暫時增強效能,但會受到硬體控制,並且不會對軟體造成影響。從 Solaris 10 5/09 發行版本起,全新的 kstat 模組會觀察系統何時進入加速模式,以及其運作的頻率。
下列開發者工具功能和增強功能已增加至 Solaris 10 5/09 發行版本。
SunVTSTM 7.0 Patch Set 5 有下列增強功能:
基礎架構增強功能:
在測試中指定裝置特定選項的能力
建立通用或特定主機的階段作業以供測試
特定測試階段的迴圈功能
支援終端機使用者介面 (UI),以便建立或載入通用階段作業與特定主機的階段作業
CPU 診斷增強功能:
系統測試 systest 可在發生故障事件時執行處理器等級的隔離
CPU 測試 cputest 為多重處理的測試。單一測試二進位檔即可同時測試系統中所有的 CPU。
記憶體診斷增強功能:
以 physmem 為基礎的 ramtest 具有選項,可讀取以 KB、MB 與 GB 為單位的位址長度
改善的 l3 緩衝區測試,運用更多的記憶體以及行進式測試演算法
IO 診斷增強功能:
目前的微處理器包含了硬體效能計數器,可對許多與 CPU 運作方式相關的不同硬體事件進行測量。硬體事件包括指令與資料快取失誤,以及處理器內部的各種狀態。來自效能計數器的資料可用來分析並調校軟體在某特定類型處理器上的運作方式。使用 Solaris 10 5/09 作業系統,可以透過 libcpc(3LIB) 介面以及 cputrack (1) 和 cpustat(1M) 公用程式,來存取 CPU 效能計數器 (cpc)。
下列驅動程式功能及增強功能已增加到 Solaris 10 5/09 發行版本中。
此功能引入 Solaris 針對 Mellanox, Ltd 第四代 InifiniBand (IB) HCA 晶片的驅動程式。hermon 驅動程式為刀鋒環境中傳統 HCA、EM 與 NEM 的 SDR、DDR 與 QDR 晶片提供 IB 支援。
與前幾代 IB 產品相較,hermon 驅動程式能啟用 IB 傳輸中更高的頻寬與更低的延時。更高的頻寬與更低的延時在高效能運算 (HPC) 應用程式中至為重要,但不只於此,效能的增強在所有環境中也都很有利。
此外,作為 MPI 程式庫重要基礎的 uDAPL 程式庫也已更新,以便與此驅動程式搭配,提供以 MPI 為基礎的應用程式最佳的效能。
從 Solaris 10 5/09 發行版本起,iSCSI Target 已經升級,以提供全新功能。
這項 iSCSI Target 更新包含了下列效能、延展性、互通性與可靠性的改善:
改善的 TCP/IP 逾時回復
由 iSCSI 初始器呼叫的 SCSI RESET
程式碼路徑與記憶體發生錯誤的清除
改善與目標通訊埠群組標籤 (TPGT) 間的互通性、單向與雙向 CHAP 認證,以及 RADIUS 伺服器支援
改善的網際網路儲存名稱服務 (iSNS) 支援,包括從不可用的 iSNS 伺服器回復
更新的 SCSI-3 永久性保留功能,可供 Solaris 與其他作業系統上各種叢集解決方案中使用
Solaris iSCSI Target 發行版本目前針對下列作業系統支援廣泛種類的 iSCSI 初始器:
Solaris 10
OpenSolaris
Linux:Red Hat Enterprise Linux (RHEL)、Suse 以及 Ubuntu
VMWare ESX
Microsoft Windows (XP、Vista、Server 2003、Server 2008、Windows Cluster Server)
Mac OS X
ntxn(7D) 是一款全新的 NIC 驅動程式,支援 NetXen 以 PCI Express 為基礎的 10 GB 乙太網路介面卡 (NIC)。在安裝了 NetXen NIC 的平台上,使用者可以透過 Solaris 作業系統存取網路。
從 Solaris 10 5/09 發行版本起,ICH10 與 Hartwell 網路介面成為了某些 x64 與 x86 機器上預設的網路介面卡 (NIC)。使用者可以輕鬆透過這些網路介面來存取網路。
如果 xge 驅動程式能夠在支援 MSI-X 的平台上配置足夠的 MSI-X 向量,驅動程式便能啟用多個接收環及 MSI-X。此功能可以增強驅動程式的效能。如果驅動程式無法配置足夠的 MSI-X 向量,便繼續依照之前以舊有的中斷模式運作。
下列語言支援增強功能已增加到 Solaris 10 5/09 發行版本中。
Solaris 10 5/09 發行版本現在支援哈薩克 kk_KZ.UTF-8 與烏克蘭 uk_UA.UTF-8 語言環境。
下列其他軟體功能已增加到 Solaris 10 5/09 發行版本中。
Fp-scrubber 是使用者層級的常駐程式,會定期執行非入侵性的測試,以驗證浮點運算器 (FPU) 硬體是否正常運作。當測試偵測到錯誤時,就會使用 fmd(1M) 指令啟動錯誤管理動作。Fp-scrubber 常駐程式僅支援 UltraSPARC III 與 UltraSPARC IV 等級的處理器。