第 1 章 Solaris 10 5/09 リリースの新機能

このマニュアルでは、Solaris 10 オペレーティングシステム (OS) に含まれる機能について、Solaris 10 5/09 リリースで新しく追加または拡張された機能の概要を説明します。

Solaris 9 OS が 2002 年 5 月にはじめて配布されたあとに導入または拡張された Solaris 10 OS のすべての機能の概要については、『Solaris 10 5/09 の概要』を参照してください。

システム資源の機能拡張

Solaris 10 5/09 リリースでは、次のシステム資源機能と拡張機能が追加されました。

ゾーンの複製時に ZFS クローンを使用するために追加されたサポート

ソースとターゲットのゾーンパスがどちらも ZFS 上に存在し、同じプール内にある場合、ソースのゾーンパスのスナップショットが作成され、zoneadm clone では ZFS を使用してゾーンが複製されます。

ZFS を複製するように指定する代わりに、ZFS ゾーンパスをコピーするように指定することができます。ソースとターゲットのゾーンパスがどちらも ZFS 上に存在しないか、一方だけが ZFS 上に存在する場合、複製処理では既存のコピー手法が使用されます。

どの場合でも、ZFS クローンを使用できないときには、ソースのゾーンパスからターゲットのゾーンパスにデータがコピーされます。

詳細については、次を参照してください。

• zoneadm(1M) のマニュアルページ

• 『Solaris のシステム管理 (Solaris コンテナ : 資源管理と Solaris ゾーン)』

zoneadm attach -b オプション

ゾーンの接続時にゾーンから除去する公式パッチまたは IDR (Interim Diagnostics Relief) パッチを指定するには、-b オプションを使用します。このオプションは、SVR4 パッケージを使用するゾーンブランドだけに適用されます。

詳細については、次を参照してください。

• zoneadm(1M) のマニュアルページ

• 『Solaris のシステム管理 (Solaris コンテナ : 資源管理と Solaris ゾーン)』

システム管理の機能拡張

Solaris 10 5/09 リリースでは、次のシステム管理機能および拡張機能が追加されました。

IPsec の SMF サービス

IP セキュリティー (IPsec) は、次の Solaris 管理機能 (SMF) サービスによって管理されるようになりました。

• svc:/network/ipsec/policy:default – policy サービスは /etc/inet/ipsecinit.conf ファイルが存在するかどうかを調べ、データを IPsec セキュリティーポリシーデータベース (SPD) に入力します。ブート時の IPsec ポリシー構成には、policy サービスが起動され、そのファイル /etc/inet/ipsecinit.conf が存在している必要があります。

• svc:/network/ipsec/ike:default – ike サービスは iked(1M) のインターネットキー交換 (IKE) デーモンを制御します。このサービスは、デーモンで制御される ssh や sendmail などのサービスと同様の方法で ike を制御します。

• svc:/network/ipsec/manual-key:default – manual-key サービスは /etc/inet/secret/ipseckeys ファイルが存在するかどうかを調べ、キーを IPsec セキュリティーアソシエーションデータベース (SADB) に入力します。手動 IPsec キーをロードするには、SMF より前は /etc/inet/secret/ipseckeys ファイルが存在するだけで十分でしたが、現在ではサービスが有効になっていることも必要です。

• svc:/network/ipsec/ipsecalgs:default – ipsecalgs サービスはデフォルトで有効になり、Solaris 暗号化フレームワークのアルゴリズムと IPsec でのその使用方法を対応付けます。その後、ipsecalgs(1M) で有効にされた変更によって ipsecalgs サービスが更新されます。

SMF 管理により、インタフェースの整合性、再起動機能、障害追跡などのすべての SMF 機能が IPsec に提供されます。

セキュリティーの機能拡張

Solaris 10 5/09 リリースでは、次のセキュリティー機能と拡張機能が追加されました。

IPsec キー管理開発者向けの NAT トラバーサル

Solaris 10 5/09 リリースには、IPsec NAT (Network Address Translator) トラバーサルエンドポイントとして機能するユーザーデータグラムプロトコル (UDP) ソケット用の公開 API が含まれています。

UDP_NAT_T_ENDPOINT ソケットオプションを有効にすると、UDP トラフィックの送信トラフィックには先頭に 4 バイトの 0 セキュリティーパラメータインデックス (SPI) 値が付加され、受信トラフィックの 0 SPI は取り除かれます。0 以外の SPI を持つこのようなソケット宛の受信トラフィックは、ESP の UDP カプセル化解除のために IPsec のカプセル化セキュリティーペイロード (ESP) に自動的に転送されます。ESP の UDP カプセル化は、IPsec セキュリティーアソシエーション (SA) のプロパティーによって決定されます。

この機能により、IPsec キー管理ソフトウェアの開発者は、NAT デバイスを通過できるキー管理プロトコルを作成することができます。iked(1M) の Solaris IKE デーモンではこの機能が使用され、このようなソケットは pfiles(1M) コマンドを使用して表示されます。

IPsec アルゴリズムの強化

Solaris 10 5/09 リリースでは、IPsec と IKE に次のアルゴリズムが導入されています。

• 2048 ビット、3072 ビット、および 4096 ビットを含む、より大きいサイズの 3 つの Diffie-Hellman 整数モジュラスグループ – より大きいサイズの Diffie-Hellman グループを IKE フェーズ 1 とフェーズ 2 で使用できます。RFC 3526 に従って、2048 ビットグループはグループ番号 14、3072 ビットグループはグループ番号 15、4096 ビットグループはグループ番号 16 で指定されます。

• SHA256、SHA384、SHA512 を含む SHA-2 シリーズのハッシュ – HMAC を使用する SHA-2 を、対話中に IPsec の認証ヘッダー (AH) と ESP、および IKE に使用できます。SHA-2 は RFC 4868 に従って IPsec で使用され、ICV の長さは SHA256 では 16 バイト、SHA384 では 24 バイト、SHA512 では 32 バイトに切り捨てられます。

  ---

  注 –

  SHA-2 は ikecert(1M) で生成された証明書には使用できません。

  ---

SunSSH と OpenSSL PKCS#11 エンジンのサポート

この機能により、SunSSH サーバーとクライアントは、OpenSSL PKCS#11 エンジンを介して Solaris 暗号化フレームワークを使用できます。SunSSH は暗号化フレームワークを使用して、データ転送速度にとって重要な対称暗号化アルゴリズムのハードウェア暗号化の高速化を行います。この機能は、n2cp(7D) 暗号化ドライバを使用する UltraSPARC® T2 プロセッサプラットフォームを対象としています。

ncp(7D) ドライバは対称暗号化アルゴリズムをサポートしていないため、UltraSPARC T1 プロセッサプラットフォームはこの機能の影響を受けません。ハードウェア暗号化プラグインを使用しないプラットフォームは、UseOpenSSLEngine オプションに設定されている値にかかわらず、この機能の影響を受けません。UseOpenSSLEngine オプションのデフォルト値はオンに設定されています。サーバーとクライアントの SSH 構成ファイルを更新する必要はありません。

SunSSH は、Sun Crypto Accelerator 6000 ボードのソフトウェアバージョン 1.1 に次のパッチをインストールして使用するようにしてください。

• 128365-02 (SPARC システム用)

• 128366-02 (x86 システム用)

---

注 –

Sun Crypto Accelerator 6000 ボードのソフトウェアバージョン 1.0 にはパッチが用意されていません。この問題を回避するには、サーバー側とクライアント側の両方で、暗号化方式オプションのキーワードから AES カウンタモードを削除してください。

---

詳細は、ssh_config(4) および sshd_config(4) のマニュアルページを参照してください。

デバイス管理の機能拡張

Solaris 10 5/09 リリースでは、次のデバイス管理機能が追加されました。

x86: Intel ベースプロセッサの T ステートのサポート

この機能は、CPU ACPI (Advanced Configuration and Power Interface) の T ステートの基本的なサポートを提供します。T ステートのサポートにより、CPU ドライバはプロセッサ速度の制御方法として _TPC 変更通知を受信できるようになります。これは受動的な冷却機構として、既存の CPU ACPI P ステートとともに、一部のシステムで頻繁に行われています。

詳細は、http://opensolaris.org/os/community/pm/ を参照してください。

システムパフォーマンスの機能拡張

Solaris 10 5/09 リリースでは、次のシステムパフォーマンス機能と拡張機能が追加されました。

Intel PCI Express 10Gb NIC ドライバの LSO のサポート

この機能により、ixgbe ドライバの LSO (Large Segment Offload) サポートが導入され、一部の ixgbe ドライバのバグが修正されます。LSO は NIC に重要な機能で、特に 10-Gb NIC には重要です。LSO では、レイヤー 4 のセグメンテーションジョブを NIC ドライバにオフロードできます。LSO は CPU のオーバーヘッドを減らすことによって送信パフォーマンスを向上させます。この機能は、デフォルトで有効になっています。

Solaris Power Aware Dispatcher とディープ C ステートのサポート

この機能には次の拡張機能が含まれています。

• イベント方式の CPU 電源管理 – Solaris による動的電圧・周波数制御 (DVFS) をサポートしているシステムでは、カーネルスケジューラまたはディスパッチャーによってシステムの CPU 全体でスレッドのスケジュールが管理されます。この管理は、負荷を合体し、徹底した電源管理のためにほかの CPU を解放する方法で行われます。CPU の電源状態は、電源管理可能な CPU グループの使用率が大幅に変化したことをディスパッチャーが認識したときに変更されます。これにより、システム全体の CPU の使用率を定期的なポーリングで調べる必要がなくなり、CPU が使用されていないときはより多くの電力を節約できると同時に、CPU の使用時にはパフォーマンスを高めることができます。イベント方式の CPU 電源管理は、DVFS をサポートしているシステムではデフォルトで有効になります。power.conf(4) の cpupm キーワードを使用して、この機能を無効にするか、従来のポーリングに基づく CPU 電源管理を使用することができます。

• Intel Nehalem システムでのディープアイドル CPU 電源管理のサポートまたはディープ C ステートのサポート – プロジェクトでは、Intel Nehalem システムでのディープ C ステートの Solaris によるサポートも追加されています。このサポートにより、使用されていない CPU 資源を、その通常の動作状態に比較してごくわずかな電力を消費する状態に動的に移行できます。この機能は電力節約機能の Solaris サポートも提供し、アイドル状態の CPU がどのような場合にディープアイドルモードを要求するかを決定するポリシーも実装します。この機能は、サポートされる場合はデフォルトで有効になり、power.conf(4) の cpu-deep-idle キーワードを使用して無効にすることができます。

• Intel ターボモード機能の監視機能 – Intel Nehalem システムには、温度上昇に十分な余裕がある場合に、使用可能なコアのサブセットの動作周波数を上げる機能があります。この機能はパフォーマンスを一時的に高めますが、ハードウェアによって制御されており、ソフトウェアには透過的に実行されます。Solaris 10 5/09 リリース以降では、システムがいつターボモードに入り、どの周波数で動作しているかが、新しい kstat モジュールで監視されます。

開発者ツールの機能拡張

Solaris 10 5/09 リリースでは、次の開発者用ツール機能と拡張機能が追加されました。

SunVTS 7.0 Patch Set 5

SunVTS^TM 7.0 Patch Set 5 に含まれる拡張機能は次のとおりです。

• インフラストラクチャーの拡張機能:

  • テストでデバイス固有のオプションを指定する機能

  • テスト用の汎用的なセッションまたはホスト固有のセッションの作成

  • 特定のテストパスでのループ機能

  • 汎用的なセッションまたはホスト固有のセッションの作成やロードを行うための端末ユーザーインタフェース (UI) のサポート

• CPU 診断の拡張機能:

  • システムテスト systest は、障害発生時にプロセッサレベルでの遮断を実行します。

  • CPU テスト cputest は、マルチプロセステストです。単一のテストバイナリでシステム内のすべての CPU を同時にテストできます。

• メモリー診断の拡張機能:

  • physmem ベースの ramtest には、アドレス長を K バイト、M バイト、および G バイトで読み取るオプションがあります。

  • 追加のメモリーとマーチテストアルゴリズムを使用する向上した l3 バッファーテスト

• 入出力診断の拡張機能:

  • グラフィックカードをテストするための新しい hlgraphicstest テストが追加されました

  • ユーザーはネットワークテストで nxge インタフェースにバックツーバックのループバックオプションを指定できます

  • cddvdtest が拡張され、異なるドライブ速度をサポートするようになりました

  • disktest が拡張され、次の機能をサポートするようになりました。

    • USB ストレージデバイスにストレスを加えるための調整

    • ディスクパフォーマンステストを実行する

    • ルートディスクには書き込みテストを実行しない

    • テストレベルとウェアレベリング機構を使用して半導体デバイス (SSD) をテストする

    • 読み取り/書き込みバッファーキャッシュテストをサポートする

x86: Intel プロセッサ向けの CPU パフォーマンスカウンタの更新

最近のマイクロプロセッサはハードウェアパフォーマンスカウンタを備えており、CPU 動作に関連するさまざまなハードウェアイベントを測定できます。ハードウェアイベントには、命令やデータのキャッシュミス、プロセッサのさまざまな内部状態などがあります。パフォーマンスカウンタのデータは、特定タイプのプロセッサにおけるソフトウェアの動作の分析や調整に使用できます。Solaris 10 5/09 OS では、libcpc(3LIB) インタフェースと cputrack(1) および cpustat(1M) ユーティリティーを介して CPU パフォーマンスカウンタ (cpc) にアクセスできます。

ドライバの機能拡張

Solaris 10 5/09 リリースでは、次のドライバ機能と拡張機能が追加されました。

hermon ドライバ

この機能により、Mellanox, Ltd. の第 4 世代 InifiniBand (IB) HCA チップ向けの Solaris ドライバが導入されます。hermon ドライバは、ブレード環境の従来の HCA、EM、および NEM に SDR、DDR、および QDR チップの IB サポートを提供します。

hermon ドライバを使用すると、以前の世代の IB 製品と比較して、IB 送信における帯域幅の拡大と待ち時間の短縮が可能になります。どのような環境でもパフォーマンスの向上は有利ですが、帯域幅の拡大と待ち時間の短縮は、高性能計算 (HPC) アプリケーションでもっとも重要になります。

また、MPI ライブラリの重要な基盤である uDAPL ライブラリがこのドライバで動作するように更新され、MPI ベースのアプリケーションで最適なパフォーマンスが得られるようになりました。

iSCSI ターゲット

Solaris 10 5/09 リリース以降では、iSCSI ターゲットがアップグレードされ、新しい機能を提供するようになりました。

この iSCSI ターゲットの更新には、次に示すパフォーマンス、スケーラビリティー、相互運用性、および信頼性の改善が含まれています。

• TCP/IP タイムアウト回復の改善

• iSCSI イニシエータによって呼び出される SCSI RESET

• コードパスとメモリーリークのクリーンアップ

• ターゲットポータルグループタグ (TPGT) との相互運用性の改善、単方向および双方向の CHAP 認証、および RADIUS サーバーのサポート

• 使用できない iSNS サーバーからの回復など、iSNS (Internet Storage Name Service) サポートの改善

• SCSI-3 Persistent Reserve 機能の更新により、Solaris でもほかのオペレーティングシステムでも、さまざまなクラスタ化ソリューションでこの機能を使用できるようになりました

Solaris iSCSI ターゲットでは、次のオペレーティングシステムのさまざまな iSCSI イニシエータがサポートされるようになりました。

• Solaris 10

• OpenSolaris

• Linux: Red Hat Enterprise Linux (RHEL)、Suse、および Ubuntu

• VMWare ESX

• Microsoft Windows (XP、Vista、Server 2003、Server 2008、Windows Cluster Server)

• Mac OS X

x86: NetXen 10-GigE デバイスドライバ

ntxn(7D) は、NetXen の PCI Express ベースの 10-Gigabit Ethernet ネットワークインタフェースカード (NIC) をサポートする新しい NIC ドライバです。ユーザーは、NetXen NIC がインストールされているプラットフォームで Solaris OS を介してネットワークにアクセスできます。

E1000g ドライバでの Intel ICH10 および Hartwell NIC のサポート

Solaris 10 5/09 リリース以降、一部の x64 マシンと x86 マシンでは、ICH10 および Hartwell ネットワークインタフェースがデフォルトのネットワークインタフェースカード (NIC) になりました。ユーザーはこれらのネットワークインタフェースを使用して、ネットワークに簡単にアクセスできます。

xge ドライバで複数の着信音と MSI-X を有効にできる

xge ドライバは、MSI-X をサポートしているプラットフォームに十分な数の MSI-X ベクトルを割り当てることができる場合、複数の着信音と MSI-X を有効にします。ドライバのパフォーマンスはこの機能によって向上します。十分な数の MSI-X ベクトルを割り当てることができない場合、ドライバは従来の割り込みモードのまま動作を継続します。

言語サポートの機能拡張

Solaris 10 5/09 リリースでは、次の言語サポートの拡張機能が追加されました。

カザフスタンとウクライナの新しいロケールのサポート

Solaris 10 5/09 リリースでは、カザフスタンロケール kk_KZ.UTF-8 とウクライナロケール uk_UA.UTF-8 がサポートされるようになりました。

追加ソフトウェアの機能拡張

Solaris 10 5/09 リリースでは、次のソフトウェア機能が追加されました。

SPARC: Fp-scrubber デーモン

Fp-scrubber は、浮動小数点演算ユニット (FPU) ハードウェアが正しく機能していることを検証するために侵入的でないテストを定期的に実行する、ユーザーレベルのデーモンです。テストでエラーが検出されると、fmd(1M) コマンドを使用して障害管理処理が開始されます。Fp-scrubber デーモンでは、UltraSPARC III および UltraSPARC IV クラスのプロセッサだけがサポートされています。