Dieses Dokument enthält einen Überblick über alle Leistungsmerkmale von Solaris 10, die in der aktuellen Version Solaris 10 5/09 neu eingeführt oder verbessert wurden.
Einen Überblick über alle Leistungsmerkmale von Solaris 10, die neu eingeführt oder verbessert wurden, seit Solaris 9 im Mai 2002 erstmals veröffentlicht wurde, finden Sie unter Neuerungen in Solaris 10 5/09.
In der Version Solaris 10 5/09 wurden die folgenden Systemressourcen und Verbesserungen implementiert.
Wenn der Zonenpfad der Quelle und der Zonenpfad des Ziels sich im ZFS-Dateisystem befinden und beide im selben Pool enthalten sind, wird ein Snapshot der Quelle des Zonenpfads erstellt, und der Klon zoneadm verwendet ZFS, um die Zone zu klonen.
Sie können festlegen, dass ein ZFS-Zonenpfad kopiert werden soll, anstatt festzulegen, dass das ZFS-Dateisystem geklont werden soll. Wenn sich weder der Zonenpfad der Quelle noch der Zonenpfad des Ziels im ZFS-Dateisystem befinden oder sich einer der Zonenpfade im ZFS-Dateisystem befindet und der andere nicht, verwendet der Klonprozess die vorhandene Kopiertechnik.
In jedem Falle kopiert das System die Daten aus einem Zonenpfad der Quelle in einen Zonenpfad des Ziels, wenn kein ZFS-Klon verwendet werden kann.
Weitere Informationen finden Sie hier:
Manpage zoneadm(1M)
Systemverwaltungshandbuch: Solaris Container – Ressourcenverwaltung und Solaris Zones
Mit der Option -b können offizielle oder Interim Diagnostics/Relief-Patches (IDR) während des Anhängens aus einer Zone zurückgenommen werden. Diese Option kann nur für Zone Brands angewendet werden, die Pakete des Typs SVr4 verwenden.
Weitere Informationen finden Sie hier:
Manpage zoneadm(1M)
Systemverwaltungshandbuch: Solaris Container – Ressourcenverwaltung und Solaris Zones
In Solaris 10 5/09 wurden die folgenden Leistungsmerkmale und Verbesserungen für die Systemverwaltung implementiert.
Die IP-Sicherheit (IPsec) wird jetzt über die folgenden Solaris Management Facility (SMF)-Dienste verwaltet:
svc:/network/ipsec/policy:default – Der Richtlinien-Dienst sucht nach der Datei /etc/inet/ipsecinit.conf und legt die Daten in der IPsec Security Policy Database (SPD, Sicherheitsrichtlinien-Datenbank) ab. Der Richtlinien-Dienst muss gestartet werden, und seine Datei , /etc/inet/ipsecinit.conf, muss für die Konfiguration der Systemstart-IPsec-Richtlinien zur Verfügung stehen.
svc:/network/ipsec/ike:default – Der ike-Dienst steuert den Internet Key Exchange (IKE)-Dämon in iked(1M). Dieser Dienst steuert ike in ähnlicher Weise wie andere dämongesteuerte Dienste, wie beispielsweise ssh oder sendmail.
svc:/network/ipsec/manual-key:default – Der manual-key Dienst sucht nach der Datei /etc/inet/secret/ipseckeys und legt die Schlüsseldaten in der IPsec Security Association Database (SADB, Sicherheitszuordnungs-Datenbank) ab. Vor dem Einsatz von SMF genügte bereits das Vorhandensein der Datei /etc/inet/secret/ipseckeys , heute jedoch muss der Dienst aktiviert werden, um manuelle IPsec-Schlüssel zu laden.
svc:/network/ipsec/ipsecalgs:default – Der ipsecalgs-Dienst wird standardmäßig aktiviert und ordnet die Algorithmen der Verschlüsselungsstruktur von Solaris entsprechend ihrer Verwendung in IPsec zu. Wenn Änderungen über ipsecalgs(1M) aktiviert werden, wird anschließend der ipsecalgs -Dienst aktualisiert.
Die SMF-Verwaltung überträgt alle SMF-Funktionen auf IPsec, beispielsweise Schnittstellenkonsistenz, Neustart-Fähigkeit und Fehlerverfolgung.
In Solaris 10 5/09 wurden die folgenden Sicherheitsfunktionen und -verbesserungen implementiert.
Die Version Solaris 10 5/09 enthält eine öffentliche API für User Datagram Protocol (UDP)-Sockets, die als Endpunkte für die IPsec-NAT-Durchquerung dienen.
Die Option UDP_NAT_T_ENDPOINT-Socket ermöglicht (sofern aktiviert) UDP-Datenverkehr mit einem aus vier Bytes bestehenden vorangestellten Null-Sicherheitsparameterindex (SPI) bei ausgehendem Datenverkehr und entfernt Null-SPIs bei eingehendem Datenverkehr. Eingehender Datenverkehr für solch einen Socket mit einem SPI, der ungleich Null ist, wird automatisch an Encapsulating Security Payload (ESP) von IPsec für die ESP-in-UDP-Entkapselung weitergeleitet. Die ESP-in-UDP-Verkapselung wird durch eine Eigenschaft in der IPsec-Sicherheitszuordnung festgelegt.
Diese Funktion ermöglicht den Entwicklern von IPsec-Schlüsselverwaltungssoftware, Schlüsselverwaltungsprotokolle zu erstellen, die Durchgangsverbindungen für NAT-Geräte herstellen können. Der IKE-Dämon von Solaris in iked(1M) verwendet diese Einrichtung, und solche Sockets werden mithilfe des Befehls pfiles(1M) angezeigt.
Die Version Solaris 10 5/09 stellt folgende Algorithmen für IPsec und IKE bereit:
Drei größere Diffie-Hellman-Ganzzahl-Gruppen mit 2048 Bit, 3072 Bit und 4096 Bit – die größeren Diffie-Hellman-Gruppen stehen in den IKE-Phasen 1 und 2 zur Verfügung. Die Gruppen werden durch Gruppennummern angegeben: 14 für 2048 Bit, 15 für 3072 Bit und 16 für 4096 Bit entsprechend RFC 3526.
SHA-2-Reihe von Hash-Werten (darunter sha256, sha384 und sha512) – SHA-2 verwendet HMAC und steht für Authentication Header (AH) und ESP von IPsec zur Verfügung, sowie für IKE während des Dialogverkehrs. SHA-2 wird in IPsec entsprechend RFC 4868 verwendet, mit gekürzten ICV-Längen von 16 Byte für SHA256, 24 Byte für SHA384 und 32 Byte für SHA512.
SHA-2 steht nicht für Zertifikate zur Verfügung, die mit ikecert (1M) generiert wurden.
Diese Funktion ermöglicht dem SunSSH-Server und dem Client, mithilfe des OpenSSL-PKCS#11-Moduls die Verschlüsselungsstruktur von Solaris zu verwenden. SunSSH verwendet eine Verschlüsselungsstruktur für die Hardware-Verschlüsselungsbeschleunigung von symmetrischen Verschlüsselungsalgorithmen, was für die Datenübertragungsgeschwindigkeit wichtig ist. Diese Funktion ist für UltraSPARC® T2-Prozessor-Plattformen mit dem Verschlüsselungstreiber n2cp (7D) vorgesehen.
Diese Funktion hat keinen Einfluss auf UltraSPARC T1-Prozessor-Plattformen, da der Treiber ncp(7D) keine symmetrischen Verschlüsselungsalgorithmen unterstützt. Zudem hat diese Funktion keinen Einfluss auf Plattformen ohne Hardware-Verschlüsselungs-Plugins, egal welcher Wert für die Option UseOpenSSLEngine festgelegt ist. Der Standardwert der Option UseOpenSSLEngine wird auf "on" gesetzt, und die SSH-Konfigurationsdateien des Servers und des Clients müssen nicht aktualisiert werden.
SunSSH muss in Verbindung mit Version 1.1 der Software für die Sun Crypto Accelerator 6000-Karte verwendet werden, und folgende Patches müssen installiert sein:
128365-02 für SPARC-basierte Systeme
128366-02 für x86-basierte Systeme
Für Software der Version 1.0 der Sun Crypto Accelerator 6000-Karte ist kein Patch verfügbar. Um diesem Problem abzuhelfen, entfernen Sie sowohl server- als clientseitig die AES-Zählermodi aus der Schlüsselwort-Option "Ciphers" (Verschlüsselungen).
Weitere Informationen finden Sie unter ssh_config(4) und sshd_config(4)
Die Version Solaris 10 5/09 wurde um folgende Geräteverwaltungsfunktionen erweitert.
Diese Funktion bietet Unterstützung des T-Zustands für CPU Advanced Configuration and Power Interface (ACPI). Die Unterstützung des T-Zustands ermöglicht dem CPU-Treiber, _TPC-Änderungsmeldungen zu empfangen, wodurch die Prozessorgeschwindigkeit gesteuert werden kann. Oft wird dies bei manchen Systemen zusammen mit den vorhandenen CPU-ACPI-P-Zuständen als passiver Belüftungsmechanismus ausgeführt.
Weitere Informationen finden Sie unter http://opensolaris.org/os/community/pm/.
In Solaris 10 5/09 wurden die folgenden Leistungsmerkmale und Verbesserungen für die Systemverwaltung implementiert.
Diese Funktion bietet Unterstützung für LSO (Large Segment Offload, Auslagerung großer Segmente) für die ixgbe-Treiber und einige ixgbe-Treiber-Fehlerbehebungsverfahren. LSO ist eine wichtige Funktion für NIC, insbesondere für 10-Gb-NICs. LSO kann den Segmentierungsauftrag von Schicht 4 auf den NIC-Treiber übertragen. LSO verbessert die Übertragungsleistung durch Verringerung des CPU-Overheads. Diese Funktion ist standardmäßig aktiviert.
Diese Funktion bietet folgende Verbesserungen:
Ereignisgesteuerte CPU-Energieverwaltung – bei Systemen, die Dynamic Voltage and Frequency Scaling (DVFS) von Solaris unterstützen, sorgt der Kernel-Scheduler oder Dispatcher für die Verteilung von Threads auf die CPUs des Systems, wodurch Lasten zusammengeführt werden und eine effizientere Energieverwaltung anderer CPUs möglich ist. Änderungen des CPU-Energiezustands werden ausgelöst, wenn der Dispatcher erkennt, dass die Auslastung einer Gruppe von CPUs, deren Energiebedarf verwaltbar ist, sich bedeutend verändert hat. Dadurch entfällt die Notwendigkeit, regelmäßig die CPU-Auslastung über das System abzufragen. Außerdem kann das System Energie sparen, wenn die CPUs nicht verwendet werden, während die Leistung gesteigert werden kann, wenn die CPUs verwendet werden. Bei Systemen, die DVFS unterstützen, ist die ereignisgesteuerte CPU-Energieverwaltung standardmäßig aktiviert. Diese Funktion kann deaktiviert werden, oder die vorhandene abfragebasierte CPU-Energieverwaltung kann verwendet werden, indem das Schlüsselwort cpupm in power.conf(4) angegeben wird.
Unterstützung für Tiefschlaf-CPU-Energieverwaltung oder Deep C-Zustand bei Nehalem-basierten Systemen von Intel – außerdem wird Solaris-Unterstützung für Deep C-Zustände bei Nehalem-basierten Systemen von Intel bereitgestellt. Diese Unterstützung erlaubt, dass ungenutzte CPU-Ressourcen dynamisch in einen Zustand versetzt werden, in dem sie nur einen Bruchteil der Energie verbrauchen, die im normalen Betriebszustand verbraucht wird. Diese Funktion bietet ebenfalls Solaris-Unterstützung für die Energiesparfunktion und sorgt für die Richtlinienumsetzung, durch die bestimmt wird, wann inaktive CPUs den Tiefschlafmodus anfordern sollten. Diese Funktion wird standardmäßig aktiviert (sofern sie unterstützt wird) und kann über das Schlüsselwort cpu-deep-idle in power.conf(4) deaktiviert werden.
Beobachtbarkeit für die Funktion "Turbo-Modus" von Intel-Nehalem-basierte Systeme von Intel besitzen die Fähigkeit, die Betriebsfrequenz einer Untermenge von verfügbaren Kernen zu erhöhen, wenn dafür genügend thermaler Spielraum zur Verfügung steht. Diese Fähigkeit ermöglicht eine temporäre Verstärkung der Leistung, wird aber von der Hardware gesteuert und ist softwaretechnisch erkennbar. Mit der Implementierung der Version Solaris 10 5/09 kann ein neues kstat-Modul eingesetzt werden, das beobachtet, wann das System in den Turbo-Modus umschaltet und mit welcher Frequenz es arbeitet.
In Solaris 10 5/09 wurden die folgenden Funktionen und Verbesserungen für Entwicklungstools implementiert.
SunVTSTM 7.0 Patch Set 5 bietet folgende Verbesserungen:
Infrastrukturelle Verbesserungen:
Möglichkeit, gerätespezifische Optionen in einem Test anzugeben
Erzeugung generischer oder hostspezifischer Sitzungen für Testzwecke
Schleifenfunktion für einen bestimmten Testdurchlauf
Unterstützung von Terminal-Benutzerschnittstellen für die Erzeugung oder das Laden von generischen und hostspezifischen Sitzungen
Verbesserungen für CPU-Diagnosezwecke
Der Systemtest, systest, führt im Falle eines Ausfalls eine Isolierung auf Prozessorebene aus.
Der CPU-Test, cputest, ist ein Test, der mehrere Prozesse umfasst. Anhand einer einzelnen binären Prüfziffer können alle im System enthaltenen CPUs gleichzeitig getestet werden.
Verbesserungen für Speicherdiagnosezwecke
physmem-basierter ramtest, mit der Option, die Adressenlänge in KB, MB und GB zu lesen
Verbesserter l3-Puffer-Test mit zusätzlichem Speicherplatz und Ablauftest-Algorithmen
Verbesserungen für E/A-Diagnosezwecke
Ein neuer hlgraphicstest-Test zum Testen von Grafikkarten
Benutzer können beim Netzwerktest die Option "back-to-back loopback" (Ende-zu-Ende-Prüfschleife) für die nxge -Schnittstelle aktivieren.
Cddvdtest wurde verbessert, um verschiedene Laufwerksgeschwindigkeiten zu unterstützen
Disktest wurde verbessert, um folgende Funktionen zu unterstützen:
Optimierung der Leistung von USB-Speichergeräten
Prüfung der Leistung von Datenträgern
Kein Schreibtest auf Root-Datenträger
Prüfung von Halbleiterbauelementen mittels Prüfebene und Wear-Leveling-Mechanismus
Unterstützung des Lese-und-Schreib-Puffer-Cache-Tests
Moderne Mikroprozessoren enthalten Hardware-Leistungsindikatoren, die die Messung zahlreicher unterschiedlicher Hardware-Ereignisse ermöglichen, die mit dem Verhalten der CPU in Zusammenhang stehen. Zu Hardware-Ereignissen zählen Anweisungs- und Cachespeicherungsfehlschläge sowie verschiedene interne Prozessorzustände. Die Daten aus den Leistungsindikatoren können verwendet werden, um das Verhalten der Software zu analysieren und auf einen bestimmten Prozessortyp abzustimmen. Die Version Solaris 10 5/09 ermöglicht über die Schnittstelle libcpc(3LIB) und über die Dienstprogramme cputrack (1) und cpustat(1M) den Zugriff auf CPU-Leistungsindikatoren (cpc).
In Solaris 10 5/09 wurden die folgenden Treiber-Funktionen und Verbesserungen implementiert.
Diese Funktion bietet einen Solaris-Treiber für die vierte Generation der InifiniBand (IB)-HCA-Chips von Mellanox, Ltd. Der Hermon-Treiber bietet IB-Unterstützung für SDR-, DDR- und QDR-Chips für konventionelle HCAs, EMs und NEMs, die in Blade-Umgebungen eingesetzt werden.
Der Hermon-Treiber sorgt im Vergleich mit früheren Generationen des IB-Produkts für eine größere Bandbreite und geringere Latenz in IB-Übertragungen. Die größere Bandbreite und die geringere Latenz sind die wichtigsten Faktoren in der Hochleistungsdatenverarbeitung, während eine erhöhte Leistung in allen Umgebungen von Vorteil ist.
Außerdem wird die uDAPL-Bibliothek, eine wichtige Grundlage der MPI-Bibliothek, aktualisiert, damit sie mit diesem Treiber kompatibel ist, wodurch für eine optimale Leistung in Verbindung mit MPI-basierten Anwendungen gesorgt wird.
Mit der Implementierung der Version Solaris 10 5/09 wird iSCSI Target aktualisiert, wodurch neue Leistungsmerkmale und Funktionen bereitgestellt werden.
Die Aktualisierung von iSCSI Target schließt folgende Verbesserungen der Leistung, Skalierbarkeit, Interoperabilität und Zuverlässigkeit ein:
Verbesserte Wiederherstellung bei TCP/IP-Zeitüberschreitung
Aufruf von SCSI RESETs durch iSCSI-Initiator
Codepfad- und Speicherlochbereinigung
Verbesserte Interoperabilität mit Target Port Group Tags (TPGT), unidirektionale und bidirektionale CHAP-Authentifizierung und RADIUS-Server-Unterstützung
Verbesserte Unterstützung des Internet Storage Name Service (iSNS), einschließlich Wiederherstellung bei Nichtverfügbarkeit von iSNS-Servern
Aktualisierte SCSI-3 Persistent Reserve-Funktion (SCSI-3-Funktion zur persistenten Reservierung), wodurch die Funktion sowohl bei Solaris als auch anderen Betriebssystemen in verschiedenen Clustering-Lösungen verwendet werden kann
Die Solaris iSCSI Target-Version unterstützt nun eine große Zahl von iSCSI-Initiatoren für die folgenden Betriebssysteme:
Solaris 10
OpenSolaris
Linux: Red Hat Enterprise Linux (RHEL), Suse und Ubuntu
VMWare ESX
Microsoft Windows (XP, Vista, Server 2003, Server 2008, Windows Cluster Server)
Mac OS X
ntxn(7D) ist ein neuer NIC-Treiber, der PCI Express-basierte 10-Gigabit-Ethernet-Netzwerkschnittstellenkarten (NICs) von NetXen unterstützt. Bei Plattformen mit installierter NetXen-Netzwerkschnittstellenkarte können Benutzer über Solaris auf das Netzwerk zugreifen.
Mit der Implementierung der Version Solaris 10 5/09 werden bei manchen x64- und x86-Maschinen für die ICH10- und Hartwell-Netzwerkschnittstellen die standardmäßigen Netzwerkschnittstellenkarten (NICs) eingesetzt. Mit diesen Netzwerkschnittstellen können Benutzer leicht auf das Netzwerk zugreifen.
Der xge-Treiber kann mehrere Empfangsringe und MSI-X aktivieren, sofern der Treiber genügend MSI-X-Vektoren auf Plattformen zuordnen kann, die MSI-X unterstützen. Die Leistung des Treibers wird durch diese Funktion erhöht. Wenn der Treiber nicht genügend MSI-X-Vektoren zuordnen kann, arbeitet er weiterhin im vorhandenen Unterbrechungsmodus.
In Version Solaris 10 5/09 wurden folgende Verbesserungen für die Sprachunterstützung implementiert.
Die Version Solaris 10 5/09 unterstützt jetzt die Sprachumgebungen kk_KZ.UTF-8 (Kasachstan) und uk_UA.UTF-8 (Ukraine).
Die Version Solaris 10 5/09 wurde um folgende Softwarefunktionen erweitert.
Der Fp-scrubber ist ein Dämon auf Benutzerebene, der regelmäßig nichtintrusive Tests ausführt, um die Funktionsfähigkeit der Hardware der Gleitkomma-Einheit zu überprüfen. Wenn bei der Durchführung des Tests ein Fehler erkannt wird, wird mithilfe des Befehls fmd(1M) eine Fehlerverwaltungsaktion eingeleitet. Der Fp-scrubber-Dämon unterstützt nur Prozessoren der Kategorie UltraSPARC III und UltraSPARC IV.