Capitolo 1 Nuove funzioni disponibili nella versione Solaris 10 5/09

Questo documento contiene un riepilogo di tutte le funzioni del sistema operativo Solaris 10 che sono state introdotte o migliorate nella versione attuale, Solaris 10 5/09.

Per un riepilogo di tutte le funzioni introdotte o migliorate in Solaris 10 rispetto alla versione Solaris 9 distribuita originariamente nel maggio 2002, vedereNuove funzioni di Solaris 10 5/09.

Miglioramenti alle risorse del sistema

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni relative alle risorse del sistema e i seguenti miglioramenti.

Supporto di cloni ZFS per la clonazione di una zona

Se gli zonepath di origine e di destinazione si trovano su ZFS e nello stesso pool, viene creato uno snapshot dello zonepath di origine e la funzione zoneadm utilizza ZFS per clonare la zona.

È possibile specificare se copiare uno zonepath ZFS anziché clonarlo. Se né lo zonepath di origine né quello di destinazione si trovano su ZFS o se uno è su ZFS e l'altro no, il processo di clonazione utilizza il sistema di copia già esistente.

In tutti i casi, se non è possibile utilizzare un clone ZFS, il sistema copia i dati da uno zonepath di origine a uno di destinazione.

Per maggiori informazioni, vedere:

• Pagina man zoneadm(1M)

• System Administration Guide: Solaris Containers-Resource Management and Solaris Zones

Opzione -b zoneadm attach

Utilizzare l'opzione -b per specificare patch ufficiali o IDR (Interim Diagnostics Relief) da rimuovere dalla zona durante il collegamento. Questa opzione può essere utilizzata esclusivamente per le zone che utilizzano i pacchetti SVr4.

Per maggiori informazioni, vedere:

• Pagina man zoneadm(1M)

• System Administration Guide: Solaris Containers-Resource Management and Solaris Zones

Miglioramenti all'amministrazione di sistema

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni di amministrazione di sistema e i seguenti miglioramenti.

Servizi SMF per IPsec

IPsec (IP Security) è ora gestito tramite i seguenti servizi SMF (Solaris Management Facility):

• svc:/network/ipsec/policy:default – Il servizio policy verifica la presenza del file /etc/inet/ipsecinit.conf e inserisce i dati nel database SPD (Security Policy Database) di IPsec. Il servizio policy deve essere avviato e il file, /etc/inet/ipsecinit.conf, deve esistere al momento dell'avvio della configurazione dei criteri di IPsec.

• svc:/network/ipsec/ike:default – Il servizio ikecontrolla il deamon IKE (Internet Key Exchange) in iked (1M). Questo servizio controlla ike allo stesso modo di altri servizi controllati da daemon quali ssh oppure sendmail.

• svc:/network/ipsec/manual-key:default – Il servizio manual-key verifica la presenza del file /etc/inet/secret/ipseckeys e inserisce le chiavi nel database SADB (Security Association Database) di IPsec. Precedentemente all'introduzione di SMF, era sufficiente la presenza del file /etc/inet/secret/ipseckeys, ma ora il servizio deve essere anche abilitato per poter caricare manualmente le chiavi IPsec.

• svc:/network/ipsec/ipsecalgs:default – Il servizio ipsecalgs è abilitato per impostazione predefinita e mappa gli algoritmi del Solaris Cryptographic Framework per l'utilizzo in IPsec. Le modifiche abilitate con ipsecalgs(1M) successivamente aggiornano il servizio ipscalgs.

La gestione SMF trasferisce in IPsec tutte le funzioni di SMF, ad esempio la congruenza dell'interfaccia, la capacità di riavvio e l'individuazione degli errori.

Miglioramenti alla sicurezza

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni di sicurezza e i seguenti miglioramenti.

NAT-Traversal per sviluppatori Key Management di IPsec

Solaris 10 5/09 contiene un'API pubblica per socket UDP che agiscono come punti finali del NAT Traversal IPsec.

L'opzione socket UDP_NAT_T_ENDPOINT, se abilitata, aggiunge al traffico UDP un prefisso SPI di valore zero di quattro byte sul traffico in uscita ed elimina gli SPI con valore zero sul traffico in entrata. Il traffico in entrata per tale socket con un SPI diverso da zero viene automaticamente trasferito in ESP (Encapsulating Security Payload) di IPsec per la decapsulazione di ESP in UDP. L'incapsulamento di ESP in UDP è determinato da una proprietà nella Security Association (SA) di IPsec.

Questa funzione consente agli sviluppatori di software per la gestione delle chiavi Ipsec di creare protocolli che possono attraversare dispositivi NAT. Questa funzione viene utilizzata dal daemon IKE di Solaris in iked(1M) e i socket vengono visualizzati utilizzando il comando pfiles(1M).

Algoritmi più efficaci per IPsec

Solaris 10 5/09 presenta i seguenti algoritmi per IPsec e IKE:

• Tre gruppi moltiplicativi a 2048 bit, 3072 bit e 4096 bit, di interi modulo di Diffie-Hellman – I gruppi più grandi di Diffie-Hellman sono disponibili nelle fasi 1 e 2 di IKE. I gruppi sono indicati con il numero 14 per 2048 bit, 15 per 3072 bit, 16 per 4096 bit, come da RFC 3526.

• L'autenticazione HMAC che utilizza la serie SHA-2 di valori di hash tra cui sha256, sha384 e sha512 è disponibile per l'Autentication Header (AH) e l'ESP di IPsec e per le interazioni IKE. SHA-2 viene utilizzato in IPsec come da RFC 4868, con lunghezze ICV troncate di 16 byte per SHA256, 24 byte per SHA384 e 32 byte per SHA512.

  ---

  Nota –

  SHA-2 non è disponibile per certificati creati con ikecert (1M).

  ---

SunSSH con supporto per il motore OpenSSL PKCS#11

Questa funzionalità consente al server e al client SunSSH di utilizzare il Solaris Cryptographic Framework attraverso il motore OpenSSL PKCS#11. SunSSH utilizza una struttura crittografica per l'accelerazione hardware di algoritmi di crittografia simmetrici che è rilevante per la velocità di trasferimento dei dati. Questa funzionalità è destinata alle piattaforme del processore UltraSPARC® T2 con driver crittografici n2cp (7D).

Questa funzionalità non riguarda le piattaforme del processore UltraSPARC T1 in quanto il driver ncp(7D) non supporta gli algoritmi di crittografia simmetrici. Questa funzionalità non riguarda le piattaforme senza alcun plug-in crittografico hardware indipendentemente dal valore impostato per l'opzione UseOpenSSLEngine. Per impostazione predefinita, l'opzione UseOpenSSLEngine è attivata e i file di configurazione SSH del server e del client non devono essere aggiornati.

SunSSH deve essere utilizzato con la versione 1.1 del software per la scheda Sun Crypto Accelerator 6000 con le seguenti patch installate:

• 128365-02 per sistemi basati su SPARC

• 128366-02 per sistemi basati su x86

---

Nota –

Per il software versione 1.0 della scheda Sun Crypto Accelerator 6000 non è disponibile nessuna patch. Per risolvere il problema, rimuovere le modalità del contatore AES dalle opzioni della parola chiave Ciphers sia sul server che sul client.

---

Per maggiori informazioni, vedere ssh_config(4) e sshd_config(4)

Miglioramenti alla gestione dei dispositivi

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni di gestione dei dispositivi.

x86: Supporto T-State per processori Intel

Questa funzione fornisce il supporto di base per T-State dell'interfaccia ACPI (Advanced Configuration and Power Interface) della CPU. Il supporto T-State consente al driver della CPU di ricevere notifiche di modifica _TCP per controllare la velocità del processore. Questa procedura è frequente in alcuni sistemi in cui viene utilizzata come meccanismo di raffreddamento passivo insieme ai P-State ACPI della CPU già esistente.

Per maggiori informazioni, vedere http://opensolaris.org/os/community/pm/.

Miglioramenti alle prestazioni del sistema

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni relative alle prestazioni e i seguenti miglioramenti.

Supporto di Large Segment Offload per driver NIC Intel PCI Express da 10 Gb

Questa funzione consente di ottenere il supporto di LSO (Large Segment Offload) per il driver ixgbe e alcune soluzioni ai problemi del driver ixge. LSO è una funzione importante per le schede di rete, in particolare quella da 10 Gb. LSO può scaricare il lavoro di segmentazione sul livello 4 al driver NIC. LSO migliora le prestazioni di trasmissione riducendo il sovraccarico della CPU. Questa funzione è abilitata per impostazione predefinita.

Supporto per Power Aware Dispatcher Solaris e Deep C-State

Questa funzione include i seguenti miglioramenti:

• Gestione dell'alimentazione della CPU basata sugli eventi – Nei sistemi che supportano DVFS (Dynamic Voltage and Frequency Scaling) di Solaris, lo scheduler o dispatcher del kernel pianificherà i thread nelle CPU del sistema in modo da aggregare il carico e liberare altre CPU da gestire dal punto di vista energetico. Le modifiche allo stato dell'alimentazione della CPU vengono apportate quando il dispatcher rileva una notevole variazione di utilizzo in un gruppo di CPU gestibili dal punto di vista energetico. Questo elimina la necessità di verificare periodicamente l'utilizzo della CPU nel sistema e consente di risparmiare più energia quando le CPU non vengono utilizzate e monitorare le loro prestazioni quando utilizzate. Nei sistemi che supportano il DVFS, la gestione dell'alimentazione basata su eventi nella CPU viene abilitata per impostazione predefinita. È possibile disabilitare questa funzione o utilizzare la gestione dell'energia nella CPU basata sulle verifiche periodiche utilizzando la chiave cpupm in power.conf(4).

• Supporto per Deep Idle CPU Power Management oppure Deep C-State per sistemi basati su Intel Nehalem – Il progetto include anche il supporto Solaris per Deep C-State nei sistemi basati su Intel Nehalem. Questo supporto consente di impostare dinamicamente le risorse non utilizzate della CPU in uno stato in cui consumano una frazione dell'energia che consumerebbero nello stato operativo normale. Questa funzione consente inoltre a Solaris di supportare il risparmio energetico e la norma con cui viene valutata l'attivazione della modalità deep idle per le CPU inattive. Se supportata, questa funzione viene abilitata per impostazione predefinita; è possibile disabilitarla con la chiave cpu-deep-idle in power.conf(4).

• Osservabilità per la funzione Turbo Mode di Intel – I sistemi basati su Intel Nehalem consentono di aumentare la frequenza operativa di un sottoinsieme di core disponibili quando la soglia termica è sufficiente. Questa funzionalità temporanea consente di migliorare le prestazioni ma è controllata dall'hardware e non è rilevata nel software. A partire da Solaris 10 5/09, un nuovo modulo kstat controlla quando il sistema entra nella modalità turbo e a quale frequenza opera.

Miglioramenti agli strumenti di sviluppo

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni relative agli strumenti di sviluppo e i seguenti miglioramenti.

SunVTS 7.0 Patch Set 5

Sono stati apportati i seguenti miglioramenti a SunVTS^TM7.0 Patch Set 5:

• Miglioramenti all'infrastruttura:

  • Possibilità di impostare le opzioni specifiche di un dispositivo durante un test

  • Creazione di sessioni di test generiche o specifiche per singoli host

  • Funzione loop su un test specifico

  • Supporto dell'interfaccia utente (UI) del terminale per la creazione o il caricamento di sessioni generiche o specifiche per singoli host

• Miglioramenti alla diagnostica della CPU:

  • Il test del sistema, systest, effettua un isolamento a livello di processore in caso di guasto

  • Il test della CPU, cputest, è un test multiprocesso Un singolo test binario permette di effettuare un controllo simultaneo di tutte le CPU presenti nel sistema.

• Miglioramenti alla diagnostica della memoria:

  • Il test della RAM basato su physmem consente di leggere la lunghezza di un indirizzo in Kbyte, Mbyte, e Gbyte

  • Miglioramenti al test del buffer della cache L3 grazie all'aggiunta di memoria, e degli algoritmi del march-test

• Miglioramenti alla diagnostica degli I/O:

  • Aggiunta di un nuovo test hlgraphicstest per il controllo delle schede grafiche

  • Possibilità per l'utente di specificare l'opzione di loopback back-to-back per l'interfaccia nxge nel test di rete

  • Miglioramenti al test Cddvdtest per supportare diverse velocità dell'unità

  • Il test del disco disktest è stato migliorato per supportare le seguenti funzioni:

    • Sottoporre a sollecitazione i dispositivi di memorizzazione USB

    • Verificare le prestazioni del disco

    • Non eseguire il test di scrittura sull'unità disco radice

    • Sottoporre a test i dispositivi a stato solido (SSD) con tecnologia wear leveling

    • Sottoporre a test la cache buffer in lettura e scrittura

x86: Aggiornamenti al contatore di prestazioni della CPU per processori Intel

I moderni microprocessori contengono contatori delle prestazioni hardware che consentono di misurare una serie di eventi hardware connessi al comportamento della CPU. Gli eventi hardware includono la perdita di istruzioni e di dati dalla cache nonché numerosi stati interni del processore. I dati ottenuti dai contatori di prestazioni possono essere utilizzati per analizzare e ottimizzare il comportamento del software in specifici tipi di processore. Il sistema operativo Solaris 10 5/09 consente di accedere ai contatori delle prestazioni della CPU (cpc) mediante l'interfaccia libcpc(3LIB) e le utilità cputrack (1) e cpustat(1M).

Miglioramenti ai driver

In Solaris 10 5/09 sono state aggiunte le seguenti funzioni relative ai driver e i seguenti miglioramenti.

Driver hermon

Questa funzione introduce un driver Solaris per la quarta generazione di chip InifiniBand (IB) HCA di Mellanox, Ltd. Il driver hermon fornisce supporto IB per chip SDR, DDR, e QDR per HCA, EM e NEM convenzionali per ambienti blade.

Il driver hermon consente una maggiore ampiezza di banda e una minore latenza nelle trasmissioni IB rispetto alla precedente generazione di prodotti di questo tipo. La maggiore ampiezza di banda e la minore latenza sono particolarmente importanti nelle applicazioni di elaborazione ad alte prestazioni (HPC), ma in generale comportano miglioramenti nelle prestazioni di tutti gli ambienti.

Inoltre, la libreria uDAPL, un sottoinsieme critico della libreria MPI, è stata aggiornata per consentire le operazioni con questo tipo di driver, offrendo così prestazioni ottimali per le applicazioni basate su MPI.

iSCSI Target

Con Solaris 10 5/09, iSCSI Target è stato aggiornato per offrire nuove funzionalità.

Il nuovo iSCSI Target include i seguenti miglioramenti in termini di prestazioni, scalabilità, interoperabilità e affidabilità:

• Miglioramenti nel ripristino da un timeout TCP/IP

• RESET SCSI richiesti dall'iniziatore iSCSI

• Cleanup di code path e perdite di memoria

• Miglioramenti nell'interoperabilità con i TPGT (Target Port Group Tags), autenticazione unidirezionale e bidirezionale CHAP e supporto di server RADIUS

• Miglioramenti nel supporto iSNS (Storage Name Service) Internet, con funzioni di recupero da server iSNS non disponibili

• Funzionalità Persistent Reserve SCSI-3 aggiornata in modo da permettere l'utilizzo di questa funzionalità in varie soluzioni cluster sia in Solaris che in altri sistemi operativi

Grazie al nuovo iSCSI Target, Solaris adesso supporta un'ampia serie di iniziatori iSCSI per i seguenti sistemi operativi:

• Solaris 10

• OpenSolaris

• Linux: Red Hat Enterprise Linux (RHEL), Suse, e Ubuntu

• VMWare ESX

• Microsoft Windows (XP, Vista, Server 2003, Server 2008, Windows Cluster Server)

• Mac OS X

x86: Driver per dispositivi NetXen 10-GigE

Il driver ntxn(7D) è un nuovo driver NIC che supporta le schede di rete NIC Ethernet basate su PCI Express a 10 Gigabit di NetXen. L'utente potrà quindi accedere alla rete attraverso il sistema operativo Solaris in piattaforme in cui sia installata una scheda di rete NetXen.

Driver E1000g con supporto per schede di rete Intel ICH10 e Hartwell

A partire da Solaris 10 5/09, le schede di rete ICH10 e Hartwell sono le schede di rete NIC predefinite in alcuni computer x64 e x86. Grazie a queste schede, l'utente può quindi accedere facilmente alla rete.

Il driver xge consente di abilitare più anelli per la ricezione e l'interrupt MSI-X

Il driver xge consente di abilitare più anelli per la ricezione e l'interrupt MSI-X se il driver stesso può allocare un numero sufficiente di vettori MSI-X in piattaforme che supportano MSI-X. Questa funzionalità consente di ottenere prestazioni migliori del driver. Se invece il driver non riesce ad allocare un numero sufficiente di vettori MSI-X, questo continuerà a funzionare come in precedenza in modalità interrupt.

Miglioramenti al supporto delle lingue

In Solaris 10 5/09 è stato aggiunto il seguente miglioramento al supporto delle lingue.

Nuovo supporto per le impostazioni internazionali del Kazakistan e dell'Ucraina

Solaris 10 5/09 supporta ora le impostazioni internazionali kk_KZ.UTF-8 del Kazakistan e uk_UA.UTF-8 dell'Ucraina.

Miglioramenti al software aggiuntivo

In Solaris 10 5/09 è stata aggiunta la seguente funzionalità al software aggiuntivo.

SPARC: Daemon Fp-scrubber

Il daemon FP-scrubber effettua periodicamente test non intrusivi per verificare il corretto funzionamento dell'hardware FPU (floating-point unit, unità in virgola mobile). Se durante un test viene rilevato un errore, verrà avviata un'azione di gestione degli errori utilizzando il comando fmd(1M). Il daemon FP-scrubber supporta solo la serie di processori UltraSPARC III e UltraSPARC IV.