1장 Solaris 10 5/09 릴리스의 새로운 기능

이 문서에서는 현재 릴리스인 Solaris 10 5/09에서 새로 추가되고 향상된 Solaris 10 운영 체제(Operating System, OS)의 모든 기능을 요약합니다.

2002년 5월 Solaris 9 OS가 처음 배포된 후 새로 추가되거나 향상된 Solaris 10 OS의 모든 기능 요약은 Solaris 10 5/09 새로운 기능을 참조하십시오.

시스템 자원 향상

Solaris 10 5/09 릴리스에는 다음과 같은 시스템 자원 기능과 향상된 기능이 추가되었습니다.

영역 복제 시 ZFS 복제 사용을 위한 지원이 추가됨

소스 및 대상 영역 경로가 ZFS에 상주하고 두 경로 모두 동일한 풀에 있는 경우, 소스 영역 경로의 스냅샷이 사용되며 zoneadm 복제는 ZFS를 사용하여 영역을 복제합니다.

ZFS를 복제하는 대신 ZFS 영역 경로를 복사하도록 지정할 수 있습니다. 소스 및 대상 영역 경로가 모두 ZFS에 없거나 둘 중 하나만 ZFS에 있고 다른 하나는 ZFS에 없는 경우, 복제 프로세스는 기존의 복사 방법을 사용합니다.

두 경우 모두 ZFS 복제 사용이 불가능하다면 시스템은 소스 영역 경로의 데이터를 대상 영역 경로로 복사합니다.

자세한 내용은 다음을 참조하십시오.

• zoneadm(1M) 매뉴얼 페이지

• System Administration Guide: Solaris Containers-Resource Management and Solaris Zones

zoneadm attach -b 옵션

첨부 중에 영역에서 제거되도록, -b 옵션을 사용하여 공식 패치나 Interim Diagnostics Relief(IDR) 패치를 지정합니다. 이 옵션은 SVr4 패키징을 사용하는 영역 브랜드에만 적용됩니다.

자세한 내용은 다음을 참조하십시오.

• zoneadm(1M) 매뉴얼 페이지

• System Administration Guide: Solaris Containers-Resource Management and Solaris Zones

시스템 관리 기능 향상

Solaris 10 5/09 릴리스에는 다음과 같은 시스템 관리 기능과 향상된 기능이 추가되었습니다.

IPsec용 SMF 서비스

IP 보안(IPsec)은 다음과 같은 Solaris Management Facility(SMF) 서비스에 의해 관리됩니다.

• svc:/network/ipsec/policy:default – policy 서비스는 /etc/inet/ipsecinit.conf 파일을 검사하고 IPsec 보안 정책 데이터베이스(Security Policy Database, SPD)에 데이터를 공급합니다. policy 서비스는 시작되어야 하며, 부트 시 IPsec 정책 구성을 위해 해당 파일인 /etc/inet/ipsecinit.conf가 존재해야 합니다.

• svc:/network/ipsec/ike:default – ike 서비스는 iked(1M)에서 인터넷 키 교환(Internet Key Exchange, IKE) 데몬을 제어합니다. 이 서비스는 ssh 또는 sendmail 같은 다른 데몬 제어 서비스와 유사한 방식으로 ike를 제어합니다.

• svc:/network/ipsec/manual-key:default – manual-key 서비스는 /etc/inet/secret/ipseckeys 파일을 검사하고 IPsec 보안 연결 데이터베이스(Security Association Database, SADB)에 키를 제공합니다. SMF 이전에는 /etc/inet/secret/ipseckeys 파일이 단순히 존재하는 것만으로 충분했지만 현재는 해당 서비스가 활성화되어 수동 IPsec 키를 로드해야 합니다.

• svc:/network/ipsec/ipsecalgs:default – ipsecalgs 서비스는 기본적으로 활성화되며 Solaris 암호화 프레임워크 알고리즘을 IPsec의 해당 사용에 매핑합니다. ipsecalgs(1M)로 활성화된 변경 사항은 이후에 ipsecalgs 서비스를 새로 고칩니다.

SMF 관리는 모든 SMF 기능(예: 인터페이스 일관성, 다시 시작 기능, 오류 추적)을 IPsec로 가져옵니다.

보안 개선 내용

Solaris 10 5/09 릴리스에는 다음과 같은 보안 기능과 향상된 기능이 추가되었습니다.

IPsec 키 관리 개발자를 위한 NAT 순회

Solaris 10 5/09 릴리스에는 IPsec 네트워크 주소 변환기(Network Address Translator, NAT) 순회 끝점 역할을 하는 사용자 데이터그램 프로토콜(User Datagram Protocol, UDP)용 공용 API가 포함되어 있습니다.

UDP_NAT_T_ENDPOINT 소켓 옵션이 활성화될 경우, UDP 트래픽의 아웃바운드 트래픽은 제로 보안 매개 변수 색인(security parameters index, SPI) 값(4바이트)로 시작되며 인바운드 트래픽은 제로 SPI를 제거합니다. 비제로 SPI를 갖는 그와 같은 소켓에 바인딩된 인바운드 트래픽은 ESP-in-UDP 캡슐화 해제를 위해 IPsec의 Encapsulating Security Payload(ESP)로 자동 전송됩니다. ESP-in-UDP 캡슐화는 IPsec 보안 연결(SA) 속성에 따라 결정됩니다.

IPsec 키 관리 소프트웨어 개발자는 이 기능을 사용하여 NAT 장치 전환이 가능한 키 관리 프로토콜을 만들 수 있습니다. iked(1M)의 Solaris IKE 데몬은 이 기능을 사용하며 pfiles(1M) 명령을 사용하여 그와 같은 소켓이 표시됩니다.

더욱 강력해진 IPsec용 알고리즘

Solaris 10 5/09 릴리스에는 다음과 같은 IPsec 및 IKE용 알고리즘이 도입되었습니다.

• 2048비트, 3072비트, 4096비트가 포함된 3개의 대형 Diffie-Hellman 정수 모듈러스 그룹 – 대형 Diffie-Hellman 그룹은 IKE Phase 1 및 Phase 2에서 사용할 수 있습니다. 그룹은 RFC 3526에 따라 2048비트는 14, 3072비트는 15, 4096비트는 16의 그룹 번호로 지정됩니다.

• 해시 SHA-2 시리즈(sha256, sha384, sha512 포함) – HMAC를 사용하는 SHA-2는 IPsec의 인증 헤더(Authentication Header, AH) 및 ESP, 그리고 상호 작용 중에는 IKE에 사용할 수 있습니다. SHA-2는 RFC 4868에 따라 IPsec에서 사용됩니다. 즉 SHA256은 16바이트, SHA384는 24바이트, SHA512는 32바이트의 ICV 길이가 잘립니다.

  ---

  주 –

  ikecert(1M)로 생성된 인증서에는 SHA-2를 사용할 수 없습니다.

  ---

OpenSSL PKCS#11 엔진을 지원하는 SunSSH

이 기능은 SunSSH 서버와 클라이언트에서 OpenSSL PKCS#11 엔진을 통해 Solaris 암호화 프레임워크를 사용할 수 있도록 해 줍니다. SunSSH는 데이터 전송 속도에 중요한 대칭 암호화 알고리즘의 하드웨어 암호화 가속을 위해 암호화 프레임워크를 사용합니다. 이 기능은 n2cp(7D) 암호화 드라이버가 있는 UltraSPARC® T2 프로세서 플랫폼용입니다.

ncp(7D) 드라이버는 대칭 암호화 알고리즘을 지원하지 않기 때문에 UltraSPARC T1 프로세서 플랫폼은 이 기능에 의해 영향을 받지 않습니다. UseOpenSSLEngine 옵션 값의 설정 여부에 관계없이 하드웨어 암호화 플러그인이 없는 플랫폼은 이 기능에 의해 영향을 받지 않습니다. UseOpenSSLEngine 옵션의 기본값은 on(켜짐)이며 서버 및 클라이언트 SSH 구성 파일을 업데이트할 필요가 없습니다.

SunSSH는 다음 패치가 설치되어 있는 Sun Crypto Accelerator 6000 보드 소프트웨어 버전 1.1과 함께 사용해야 합니다.

• SPARC 기반 시스템의 경우 128365-02

• x86 기반 시스템의 경우 128366-02

---

주 –

Sun Crypto Accelerator 6000 보드 소프트웨어 버전 1.0에는 패치를 사용할 수 없습니다. 이 문제를 해결하려면 서버 및 클라이언트 둘 다에 대해 Ciphers 옵션 키워드에서 AES 카운터 모드를 제거하십시오.

---

자세한 내용은 ssh_config(4) 및 sshd_config(4)를 참조하십시오.

장치 관리 향상

Solaris 10 5/09 릴리스에는 다음과 같은 장치 관리 기능이 추가되었습니다.

x86: Intel 기반 프로세서용 T-상태 지원

이 기능은 기본 CPU 고급 구성 및 전원 인터페이스(Advanced Configuration and Power Interface, ACPI) T-상태 지원을 제공합니다. T-상태 지원을 통해 CPU 드라이버는 프로세서 속도를 제어하는 방법으로 _TPC 변경 알림을 수신할 수 있습니다. 이 작업은 기존의 CPU ACPI P-상태와 함께 수동 냉각 방식으로 일부 시스템에서 자주 수행됩니다.

자세한 내용은 http://opensolaris.org/os/community/pm/을 참조하십시오.

시스템 성능 향상

Solaris 10 5/09 릴리스에는 다음과 같은 시스템 성능 기능과 향상된 기능이 추가되었습니다.

Intel PCI Express 10Gb NIC 드라이버용 대량 세그먼트 오프로드 지원

이 기능은 ixgbe 드라이버 및 일부 ixgbe 드라이버 버그 수정용 대량 세그먼트 오프로드(Large Segment Offload, LSO)를 지원합니다. LSO는 NIC, 특히 10Gb NIC에 중요한 기능입니다. LSO는 레이어 4의 세그멘테이션 작업을 NIC 드라이버로 오프로드할 수 있습니다. LSO는 CPU 오버헤드를 줄임으로써 전송 성능을 향상시킵니다. 이 기능은 기본적으로 활성화됩니다.

Solaris Power Aware Dispatcher(전원 탐지 디스패처) 및 Deep C-상태 지원

이 기능의 개선 사항은 다음과 같습니다.

• 이벤트 구동 CPU 전원 관리 – Solaris의 Dynamic Voltage and Frequency Scaling(DVFS)을 지원하는 시스템에서 커널 스케줄러나 디스패처는 부하를 결합하고 다른 CPU 공간을 늘려 전원이 관리되도록 하는 방식으로 시스템 CPU에서 스레드를 예약합니다. 전원 관리가 가능한 CPU 그룹의 사용률이 현저히 변경되었음을 디스패처에서 인식하는 경우 CPU 전원 상태 변경이 트리거됩니다. 이를 통해 시스템의 CPU 사용률을 주기적으로 폴링할 필요가 없으며, 시스템에서는 CPU가 사용될 때는 성능을 구동하고 CPU가 사용되지 않을 때는 더 많은 전원을 절약할 수 있습니다. 이벤트 구동 CPU 전원 관리는 DVFS를 지원하는 시스템에서 기본적으로 활성화됩니다. 이 기능은 비활성화할 수 있으며, power.conf(4)의 cpupm 키워드를 통해 레거시 폴링 기반 CPU 전원 관리를 사용할 수 있습니다.

• Deep Idle CPU 전원 관리 지원 또는 Intel Nehalem 기반 시스템에서 Deep C-상태 지원 – 프로젝트는 Intel Nehalem 기반 시스템에서 Deep C-상태를 위한 Solaris 지원을 추가합니다. 이 지원은 사용되지 않는 CPU 자원이 정상 작동 상태에서 소모되는 전원의 일부만 소모하는 상태로 동적으로 전환되도록 해 줍니다. 또한 이 기능은 절전 기능을 위한 Solaris 지원을 제공하며 유휴 CPU가 Deep Idle 모드를 요청해야 하는 시기를 결정하는 정책 구현을 제공합니다. 지원되는 경우 이 기능은 기본적으로 활성화되며 power.conf(4)의 cpu-deep-idle 키워드를 통해 비활성화할 수 있습니다.

• Intel의 터보 모드 기능에 대한 관찰 기능 – Intel Nehalem 기반 시스템은 충분한 열 헤드룸이 있을 경우 사용 가능한 코어의 하위 집합에 대한 작동 주파수를 높일 수 있는 기능을 제공합니다. 이 기능은 일시적으로 성능을 향상시키지만 하드웨어에 의해 제어되며 소프트웨어에 대해 투명합니다. Solaris 10 5/09 릴리스부터 kstat 모듈은 시스템이 터보 모드로 전환되는 시기와 해당 작동 주파수를 관찰합니다.

개발자 도구 향상

Solaris 10 5/09 릴리스에는 다음과 같은 개발자 도구 기능과 향상된 기능이 추가되었습니다.

SunVTS 7.0 패치 세트 5

SunVTS^TM 7.0 패치 세트 5는 다음과 같이 개선되었습니다.

• 인프라 향상:

  • 테스트에서 장치별 옵션을 지정할 수 있는 기능

  • 테스트를 위해 일반 또는 호스트별 세션 생성

  • 특정 테스트 통과 시 루프 기능

  • 일반 및 호스트별 세션의 생성 또는 로드를 위한 터미널 사용자 인터페이스(user interface, UI) 지원

• CPU 진단 향상:

  • systest 시스템 테스트는 실패의 경우 프로세서 수준 격리를 수행합니다.

  • cputest CPU 테스트는 다중 처리 테스트입니다. 단일 테스트 바이너리는 시스템의 모든 CPU를 동시에 테스트할 수 있습니다.

• 메모리 진단 향상:

  • physmem 기반 ramtest는 주소 길이를 KB, MB, GB로 읽을 수 있는 옵션을 제공합니다.

  • 추가 메모리, march-test 알고리즘을 통한 l3 버퍼 테스트가 향상되었습니다.

• IO 진단 향상:

  • 새로운 hlgraphicstest 테스트가 그래픽 카드 테스트를 위해 추가되었습니다.

  • 사용자는 네트워크 테스트에서 nxge 인터페이스에 연속(back-to-back) 루프백 옵션을 지정할 수 있습니다.

  • 다양한 드라이브 속도를 지원하도록 Cddvdtest가 향상되었습니다.

  • 다음 기능을 지원하도록 Disktest가 향상되었습니다.

    • USB 저장 장치 부하 조정

    • 디스크 성능 테스트 수행

    • 루트 디스크에서 쓰기 테스트를 수행하지 않음

    • 테스트 수준, 웨어 레벨링(wear-leveling) 메커니즘을 사용하여 고체 상태 장치(Solid State Devices, SSD) 테스트

    • 읽기 및 쓰기 버퍼 캐시 테스트 지원

x86: Intel 프로세서용 CPU 성능 카운터 업데이트

현대식 마이크로프로세서에는 CPU 동작에 관련된 다양한 하드웨어 이벤트의 측정을 가능하게 하는 하드웨어 성능 카운터가 들어 있습니다. 하드웨어 이벤트는 여러 내부 프로세서 상태뿐만 아니라 명령 및 데이터 캐시 누락을 포함합니다. 성능 카운터의 데이터를 사용하여 특정 프로세서 유형에서 소프트웨어 동작을 분석하고 조정할 수 있습니다. Solaris 10 5/09 OS는 libcpc(3LIB) 인터페이스와 cputrack (1) 및 cpustat(1M) 유틸리티를 통해 CPU 성능 카운터(cpc)에 대한 액세스를 제공합니다.

드라이버 향상

Solaris 10 5/09 릴리스에는 다음과 같은 드라이버 기능과 향상된 기능이 추가되었습니다.

hermon 드라이버

이 기능은 Mellanox, Ltd.의 4세대 InifiniBand(IB) HCA 칩용 Solaris 드라이버를 사용합니다. hermon 드라이버는 블레이드 환경에서 기본 HCA, EM, NEM용 SDR, DDR 및 QDR 칩에 대한 IB 지원을 제공합니다.

이전 세대의 IB 제품과 비교하여, hermon 드라이버는 IB 전송에서 높은 대역폭 및 짧은 대기 시간을 가능하게 합니다. 성능 증가가 모든 환경에서 유리하기는 하지만, 높은 대역폭 및 짧은 대기 시간은 고성능 컴퓨팅(high-performance computing, HPC) 응용 프로그램에서 가장 중요합니다.

또한 uDAPL 라이브러리(MPI 라이브러리의 중요 토대)가 이 드라이버와 작동하도록 업데이트되어 MPI 기반 응용 프로그램에서 최적의 성능을 제공합니다.

iSCSI Target

Solaris 10 5/09 릴리스부터 iSCSI Target이 업그레이드되어 새로운 기능을 제공합니다.

이 iSCSI Target 업데이트에서는 확장성, 상호 운용성, 안정성 및 다음과 같은 성능이 향상되었습니다.

• TCP/IP 시간 초과 복구 향상

• iSCSI 초기자 호출 SCSI RESET

• 코드 경로 및 메모리 누출 정리

• Target Port Group Tag(TPGT)와의 상호 운용성, 단방향 및 양방향 CHAP 인증, RADIUS 서버 지원 향상

• Internet Storage Name Service(iSNS) 지원 향상(사용 불가능한 iSNS 서버에서 복구 포함)

• Solaris 및 다른 운영 체제 모두에서 다양한 클러스터링 솔루션으로 기능을 사용할 수 있도록 하는 SCSI-3 Persistent Reserve 기능 업데이트

이제 Solaris iSCSI Target 릴리스는 다음 운영 체제에 대해 다양한 iSCSI 초기자를 지원합니다.

• Solaris 10

• OpenSolaris

• Linux: Red Hat Enterprise Linux(RHEL), Suse 및 Ubuntu

• VMWare ESX

• Microsoft Windows(XP, Vista, Server 2003, Server 2008, Windows 클러스터 서버)

• Mac OS X

x86: NetXen 10GigE 장치 드라이버

ntxn(7D)은 NetXen의 PCI Express 기반 10기가비트 이더넷 네트워크 인터페이스 카드(network interface card, NIC)를 지원하는 새로운 NIC 드라이버입니다. 사용자는 NetXen NIC가 설치되어 있는 플랫폼에서 Solaris OS를 통해 네트워크에 액세스할 수 있습니다.

E1000g 드라이버에서 Intel ICH10 및 Hartwell NIC 지원

Solaris 10 5/09 릴리스부터 ICH10 및 Hartwell 네트워크 인터페이스는 일부 x64 및 x86 시스템에서 기본 네트워크 인터페이스 카드(network interface card, NIC)입니다. 사용자는 이러한 네트워크 인터페이스를 사용하여 네트워크에 쉽게 액세스할 수 있습니다.

xge 드라이버가 다중 수신 링 및 MSI-X를 활성화할 수 있음

xge 드라이버가 MSI-X를 지원하는 플랫폼에서 충분한 MSI-X 벡터를 할당할 수 있는 경우 이 드라이버는 다중 수신 링 및 MSI-X를 활성화할 수 있습니다. 이 기능에 의해 드라이버 성능이 향상됩니다. 드라이버가 충분한 MSI-X 벡터를 할당할 수 없는 경우에는 레거시 인터럽트 모드에서 전과 마찬가지로 작동합니다.

언어 지원 향상

Solaris 10 5/09 릴리스에는 다음과 같은 향상된 언어 지원 기능이 추가되었습니다.

카자흐스탄 및 우크라이나에 대한 새로운 로켈 지원

이제 Solaris 10 5/09 릴리스는 카자흐스탄 kk_KZ.UTF-8 및 우크라이나 uk_UA.UTF-8 로켈을 지원합니다.

추가 소프트웨어 개선 사항

Solaris 10 5/09 릴리스에는 다음과 같은 추가 소프트웨어 기능이 추가되었습니다.

SPARC: Fp-scrubber 데몬

Fp-scrubber는 비주입식 테스트를 주기적으로 실행하여 부동 소수점 장치(floating-point unit, FPU) 하드웨어의 적절한 작동을 확인하는 사용자 수준 데몬입니다. 테스트에서 오류가 감지되면 fmd(1M) 명령을 사용하여 오류 관리 작업이 시작됩니다. Fp-scrubber 데몬은 프로세서의 UltraSPARC III 및 UltraSPARC IV 클래스만 지원합니다.