Capítulo 1 Novedades de la versión Solaris 10 5/09

Este documento resume todas las funciones del sistema operativo (SO) Solaris 10 que son nuevas o que se han mejorado en la versión actual, la versión Solaris 10 5/09.

Para obtener un resumen de todas las funciones del SO Solaris 10 que se introdujeron o han mejorado desde que se distribuyó originalmente el SO Solaris 9 en mayo de 2002, consulte Novedades de Solaris 10 5/09.

Mejoras en los recursos del sistema

Las siguientes funciones y mejoras de los recursos del sistema se han incorporado a la versión Solaris 10 5/09.

Compatibilidad adicional para el uso de clones ZFS durante la clonación de una zona

Si las rutas de zona de origen y destino residen en ZFS y ambas están en el mismo grupo, se toma una instantánea de la ruta de zona de origen y el clon zoneadm utiliza ZFS para clonar la zona.

Puede especificar que se copie una ruta de zona ZFS en lugar de especificar la clonación de ZFS. Si ni la ruta de zona de origen ni la de destino se encuentran en ZFS, o si una de ellas se encuentra en ZFS y la otra no, el proceso de clonación utiliza la técnica de copia existente.

En todos los casos, el sistema copia los datos de una ruta de zona de origen a una ruta de zona de destino si no es posible utilizar un clon ZFS.

Para obtener más información, consulte las siguientes direcciones:

• Página de comando man zoneadm(1M)

• Guía de administración de sistemas: Zonas de Solaris y administración de recursos y contenedores de Solaris

Opción zoneadm attach -b

Utilice la opción -b para especificar los parches oficiales o de IDR (Interim Diagnostics Relief), que se desinstalarán de una zona durante la conexión. Esta opción sólo se aplica a las marcas de zona que utilizan empaquetado SVr4.

Para obtener más información, consulte las siguientes direcciones:

• Página de comando man zoneadm(1M)

• Guía de administración de sistemas: Zonas de Solaris y administración de recursos y contenedores de Solaris

Mejoras en la administación del sistema

Las siguientes funciones y mejoras de administración del sistema se han agregado a la versión Solaris 10 5/09.

Servicios SMF para IPsec

Los siguientes servicios de Solaris Management Facility (SMF) se encargan ahora de la seguridad IP (IPsec):

• svc:/network/ipsec/policy:default: el servicio policy comprueba el archivo /etc/inet/ipsecinit.conf e incluye los datos en la base de datos de directivas de seguridad (SPD) de IPsec. Es preciso haber iniciado el servicio policy, y su archivo /etc/inet/ipsecinit.conf debe existir para la configuración de directivas IPsec para el arranque.

• svc:/network/ipsec/ike:default: el servicio ike controla el daemon IKE (Internet Key Exchange) de iked(1M). Este servicio controla el ike de forma similar a otros servicios controlados por daemon, como ssh o sendmail.

• svc:/network/ipsec/manual-key:default: el servicio manual-key comprueba el archivo /etc/inet/secret/ipseckeys e incluye las claves en la base de datos de asociaciones de seguridad (SADB) de IPsec. Antes del uso de SMF, bastaba con la existencia del archivo /etc/inet/secret/ipseckeys , pero ahora el servicio también debe estar activado para poder cargar claves IPsec manuales.

• svc:/network/ipsec/ipsecalgs:default: el servicio ipsecalgs está activado de forma predeterminada y asigna los algoritmos de estructura criptográfica de Solaris (Solaris Cryptographic Framework) a sus usos en IPsec. Los cambios habilitados con ipsecalgs(1M) actualizan posteriormente el servicio ipsecalgs.

La gestión SMF incluye todas las funciones SMF en IPsec, como la coherencia entre interfaces, la posibilidad de reiniciar o el seguimiento de errores.

Mejoras en la seguridad

Las siguientes funciones y mejoras de seguridad se han agregado a la versión Solaris 10 5/09.

Travesía NAT para desarrolladores de administración de claves IPsec

La versión Solaris 10 5/09 contiene una API pública para los sockets de protocolo de datagrama de usuario (User Datagram Protocol o UDP) que actúan como puntos finales de traducción de direcciones de red (Network Address Translator o NAT) de IPsec.

Cuando la opción de socket UDP_NAT_T_ENDPOINT está habilitada, el tráfico UDP tiene como prefijo un valor de índice de parámetros de seguridad (SPI) de cero de cuatro bytes en el tráfico saliente y aplica SPI de cero al tráfico entrante. El tráfico entrante vinculado a dicho socket cuyo SPI no sea cero se transfiere automáticamente a Encapsulating Security Payload (ESP) de IPsec para la decapsulación ESP-en-UDP. La encapsulación ESP-en-UDP se determina mediante una propiedad de la asociación de seguridad (SA) de IPsec.

Esta función permite a los desarrolladores de software de administración de claves de IPsec crear protocolos de administración de claves que puedan viajar por dispositivos NAT. El daemon IKE de Solaris de iked(1M) utiliza esta función y se muestran los sockets utilizando el comando pfiles(1M).

Algoritmos más sólidos para IPsec

La versión Solaris 10 5/09 introduce los siguientes algoritmos para IPsec e IKE:

• Tres grupos de módulos de enteros Diffie-Hellman mayores, que incluyen 2048 bits, 3072 bits y 4096 bits. Los grupos Diffie-Hellman mayores están disponibles en las fases 1 y 2 de IKE. Los grupos se especifican por el número de grupo 14 para 2048 bits, 15 para 3072 bits y 16 para 4096 bits, según RFC 3526.

• La serie de hashes SHA-2, que incluye sha256, sha384 y sha512. SHA-2 con HMAC está disponible para los encabezados de autenticación (Authentication Header o AH) de IPsec y ESP, así como para IKE durante sus interacciones. SHA-2 se utiliza en IPsec según RFC 4868, con longitudes ICV truncadas de 16 bytes para SHA256, 24 bytes para SHA384 y 32 bytes para SHA512.

  ---

  Nota –

  SHA-2 no está disponible para los certificados generados con ikecert (1M).

  ---

SunSSH con compatibilidad de motor OpenSSL PKCS#11

Esta función permite al servidor y el cliente SunSSH utilizar la estructura criptográfica de Solaris a través del motor OpenSSL PKCS#11. SunSSH utiliza la estructura criptográfica para la aceleración criptográfica de hardware de los algoritmos criptográficos simétricos, lo cual es importante para la velocidad de transferencia de datos. Esta función se ha concebido para las plataformas de procesadores UltraSPARC® T2 con controladores criptográficos n2cp (7D).

Esta función no afecta a las plataformas de procesadores UltraSPARC T1, ya que el controlador ncp(7D) no admite algoritmos criptográficos simétricos. Tampoco afecta a las plataformas que no tienen plugins criptográficos de hardware, independientemente del valor que se configure para la opción UseOpenSSLEngine. La opción UseOpenSSLEngine está activada de forma predeterminada y no es preciso actualizar los archivos de configuración SSH del cliente ni el servidor.

SunSSH debería utilizarse con la versión 1.1 del software de placa Sun Crypto Accelerator 6000 con los siguientes parches instalados:

• 128365-02 para sistemas basados en SPARC

• 128366-02 para sistemas basados en x86

---

Nota –

No hay ningún parche disponible para la versión 1.0 del software de placa Sun Crypto Accelerator 6000. Para solucionar este problema, quite los modos de contador de AES del teclado de opción Ciphers tanto en el servidor como en el cliente.

---

Para más información, consulte ssh_config(4) y sshd_config(4)

Mejoras en la administración de dispositivos

La siguiente función de administración de dispositivos se ha incorporado a la versión Solaris 10 5/09.

x86: Compatibilidad con T-State para procesadores basados en Intel

Esta función proporciona compatibilidad con T-State para la administración de energía Advanced Configuration and Power Interface (ACPI) de CPU básicas. La compatibilidad con T-State permite al controlador de la CPU recibir notificaciones de cambios _TPC para controlar la velocidad del procesador. Se utiliza con frecuencia en algunos sistemas como mecanismo de refrigeración pasivo junto con los P-States ACPI de CPU.

Para obtener más información, consulte http://opensolaris.org/os/community/pm/.

Mejoras en el rendimiento del sistema

Las siguientes funciones y mejoras del rendimiento del sistema se han agregado a la versión Solaris 10 5/09.

Compatibilidad con descarga de segmentos grandes para controlador NIC Intel PCI Express de 10 GB

Esta función introduce la compatibilidad con la descarga de segmentos grandes (Large Segment Offload o LSO) para el controlador ixgbe y algunos errores resueltos del controlador ixgbe. LSO es una función importante para NIC, especialmente para NIC de 10 GB. LSO puede descargar el trabajo de segmentación de la capa 4 en el controlador NIC. LSO mejora el rendimiento de la transmisión al reducir la sobrecarga de la CPU. Esta función está habilitada de forma predeterminada.

Compatibilidad con la tecnología Power Aware Dispatcher de Solaris y Deep C-State

Esta función incluye las siguientes mejoras:

• Administración de la alimentación de la CPU por eventos: en los sistemas que admiten Dynamic Voltage and Frequency Scaling (DVFS) de Solaris, el programador y el distribuidor de kernel planificarán los subprocesos en las CPU del sistema de modo que se fusione la carga y se liberen otras CPU para una mejor administración de la alimentación. El estado de alimentación de la CPU se activa cuando el distribuidor reconoce que el uso en un grupo de CPU cuya alimentación se puede administrar ha cambiado de forma significativa. De este modo, no es necesario sondear el uso de la CPU del sistema periódicamente y el sistema ahorra energía cuando no se utilizan las CPU, a la vez que se obtiene un mayor rendimiento durante el uso de esas CPU. En los sistemas compatibles con DVFS, la administración de la alimentación de las CPU por eventos está activada de forma predeterminada. Esta función puede estar desactivada o puede utilizarse la administración de alimentación de CPU basada en sondeos heredados mediante la palabra clave cpupm en power.conf(4).

• Compatibilidad con administración de alimentación de CPU inactivas o Deep C-State en sistemas basados en Intel Nehalem: el proyecto también incluye compatibilidad con Solaris para Deep C-States en sistemas basados en Intel Nehalem. Esta compatibilidad permite colocar dinámicamente los recursos de la CPU que no se utilizan en un estado en que consumen una pequeña parte de la energía que consumen en un estado operativo normal. Esta función también proporciona compatibilidad de Solaris con la función de ahorro de energía, así como la aplicación de directivas que determinan cuándo las CPU inactivas deben solicitar el modo de inactividad profundo. Esta función se activará de forma predeterminada siempre que sea posible, y se puede desactivar con la palabra clave cpu-deep-idle en power.conf(4).

• Observación de la función de modo Turbo de Intel: los sistemas basados en Intel Nehalem cuentan con la posibilidad de elevar la frecuencia operativa de un subconjunto de los núcleos disponibles cuando hay suficiente espacio térmico en cabeza. Esta función aumenta el rendimiento temporalmente, pero está controlada por el hardware y es transparente para el software. A partir de la versión Solaris 10 5/09, un nuevo módulo kstat controla cuándo entra el sistema en modo turbo y con qué frecuencia funciona.

Mejoras en las herramientas de desarrolladores

Las siguientes funciones y mejoras de las herramientas de desarrollo se han agregado a la versión Solaris 10 5/09.

SunVTS 7.0 Patch Set 5

SunVTS^TM 7.0 Patch Set 5 presenta las mejoras siguientes:

• Mejoras en la infraestructura:

  • Capacidad para especificar opciones concretas del dispositivo en una prueba

  • Creación de sesiones genéricas o específicas del host para realización de pruebas

  • Función de bucle para pasar determinadas pruebas

  • Compatibilidad con interfaz de usuario terminal para la creación o la carga de sesiones genéricas o específicas del host

• Mejoras en los diagnósticos de la CPU:

  • La prueba del sistema, systest, aísla el nivel del procesador en caso de error.

  • La prueba de la CPU, cputest, es una prueba multiproceso. Un único binario de prueba puede probar todas las CPU del sistema de forma simultánea.

• Mejoras en los diagnósticos de memoria:

  • ramtest basado en physmem tiene la posibilidad de leer la longitud de las direcciones en Kbytes, Mbytes y Gbytes

  • Prueba de búfer l3 mejorada con memoria añadida y algoritmos de prueba March

• Mejoras en los diagnósticos de E/S:

  • Se ha añadido la prueba hlgraphicstest para probar tarjetas gráficas

  • Los usuarios pueden especificar una opción de bucle opuesto para la interfaz nxge de la prueba de red

  • Cddvdtest se ha mejorado para admitir diferentes velocidades de la unidad

  • Disktest se ha mejorado para admitir las siguientes funciones:

    • Se configura para obtener el máximo rendimiento de los dispositivos de almacenamiento USB

    • Realiza pruebas de rendimiento del disco

    • No realiza pruebas de escritura en el disco root

    • Prueba dispositivos de estado sólido (Solid State Devices o SSD) con el nivel de prueba y el mecanismo de nivel de desgaste

    • Admite pruebas de caché de búfer de lectura y escritura

x86: Actualizaciones del contador de rendimiento de la CPU para procesadores Intel

Los microprocesadores modernos contienen contadores de rendimiento de hardware que permiten medir distintos eventos de hardware en relación con el comportamiento de la CPU. Los eventos de hardware incluyen los fallos de caché de datos e instrucciones, así como varios estados internos del procesador. Es posible utilizar los datos de los contadores de rendimiento para analizar y configurar el comportamiento del software de un tipo de procesador específico. El SO Solaris 10 5/09 proporciona acceso a los contadores de rendimiento de CPU (CPC) a través de la interfaz libcpc(3LIB) y las utilidades cputrack (1) y cpustat(1M).

Mejoras en controladores

Las siguientes funciones y mejoras de controladores se han agregado a la versión Solaris 10 5/09.

Controlador hermon

Esta función introduce un controlador Solaris para la cuarta generación de chips HCA InifiniBand (IB) de Mellanox, Ltd. El controlador hermon proporciona compatibilidad IB para los chips SDR, DDR y QDR para las HCA, EM y NEM convencionales para entornos de módulos.

El controlador hermon permite un mayor ancho de banda y una menor latencia en las transmisiones IB, en comparación con las generaciones anteriores del producto IB. El mayor ancho de banda y la menor latencia son de vital importancia en aplicaciones informáticas de alto rendimiento (HPC), aunque el aumento del rendimiento es una ventaja para todos los entornos.

Además, la biblioteca uDAPL, la base principal de la biblioteca MPI, se actualiza para funcionar con este controlador, con lo cual se ofrece un rendimiento óptimo con las aplicaciones basadas en MPI.

iSCSI Target

A partir de la versión Solaris 10 5/09, se actualiza iSCSI Target para proporcionar nuevas funciones.

Esta actualización de iSCSI Target incluye las siguientes mejoras de rendimiento, escalabilidad, interoperabilidad y fiabilidad:

• Recuperación de tiempo de espera de TCP/IP mejorada

• Comandos SCSI RESET invocados por el iniciador iSCSI

• Limpieza de pérdidas de memoria y rutas de código

• Interoperabilidad mejorada con etiquetas de grupos de puertos de destino (Target Port Group Tags o TPGT), autenticación CHAP unidireccional y bidireccional, y compatibilidad con servidores RADIUS

• Compatibilidad mejorada con el servicio de nombres de almacenamiento de Internet (Improved Internet Storage Name Service o iSNS), incluida la recuperación de los servidores iSNS no disponibles

• Función de reserva persistente SCSI-3 actualizada que permite utilizar la funcionalidad en varias soluciones de clúster tanto en Solaris como en otros sistemas operativos

La versión de iSCSI Target de Solaris ahora admite una gran variedad de iniciadores iSCSI para los siguientes sistemas operativos:

• Solaris 10

• OpenSolaris

• Linux: Red Hat Enterprise Linux (RHEL), Suse y Ubuntu

• VMWare ESX

• Microsoft Windows (XP, Vista, Server 2003, Server 2008, Windows Cluster Server)

• MAC OS X

x86: Controlador de dispositivos NetXen 10-GigE

ntxn(7D) es un nuevo controlador NIC que admite las tarjetas de interfaz de red (NIC) Ethernet 10 basadas en PCI Express de NetXen. Los usuarios pueden acceder a la red a través del SO Solaris en las plataformas que tienen una tarjeta NIC NetXen instalada.

Compatibilidad con NIC Intel ICH10 y Hartwell en controladores E1000g

A partir de la versión Solaris 10 5/09, las interfaces de red ICH10 y Hartwell son las tarjetas NIC predeterminadas en algunos equipos x64 y x86. Los usuarios pueden acceder a la red fácilmente con estas interfaces de red.

El controlador xge puede habilitar múltiples centros de recepción y MSI-X

El controlador xge permite múltiples centros de recepción y MSI-X si puede asignar suficientes vectores MSI-X en plataformas compatibles con MSI-X. Esta función mejora el rendimiento del controlador. Si el controlador no puede asignar suficientes vectores MSI-X, seguirá funcionando como antes en el modo de interrupción heredado.

Mejoras en la compatibilidad de idiomas

La siguiente función de compatibilidad de idiomas se ha incorporado a la versión Solaris 10 5/09.

Nueva compatibilidad de idioma para Kazajistán y Ucrania

La versión Solaris 10 5/09 ahora es compatible con kk_KZ.UTF-8 de Kazajistán y uk_UA.UTF-8 de Ucrania.

Mejoras adicionales de software

La siguiente función de software adicional se ha incorporado a la versión Solaris 10 5/09.

SPARC: Daemon Fp-scrubber

Fp-scrubber es un daemon de usuario que ejecuta periódicamente pruebas no intrusivas para validar el funcionamiento correcto del hardware de unidad de coma flotante (FPU). Cuando la prueba detecta un error, se inicia una acción para la administración de errores utilizando el comando fmd(1M). El daemon Fp-scrubber sólo admite las clases de procesadores UltraSPARC III y UltraSPARC IV.