第 1 章 Solaris 10 5/09 发行版的新增功能

本文档概述了在当前发行版（即 Solaris 10 5/09 发行版）中新增或增强的所有 Solaris 10 操作系统 (Operating System, OS) 功能。

有关自 Solaris 9 OS 最初于 2002 年 5 月发行以来，在 Solaris 10 OS 中引入或增强的所有功能的摘要，请参见《Solaris 10 5/09 新增功能》。

系统资源增强功能

Solaris 10 5/09 发行版中添加了以下系统资源功能和增强功能。

添加了对克隆区域 (Zone) 时使用 ZFS 克隆的支持

如果源区域路径和目标区域路径驻留在 ZFS 上且都位于同一池中，则会捕获源区域路径的快照，且 zoneadm 克隆会使用 ZFS 来克隆区域。

您可以指定复制 ZFS 区域路径，而不是指定克隆 ZFS。如果源区域路径和目标区域路径都不在 ZFS 上，或者一个在 ZFS 上，而另一个不在 ZFS 上，则克隆进程会使用现有的复制技术。

在所有情况下，如果无法使用 ZFS 克隆，系统都会将数据从源区域路径复制到目标区域路径。

详细信息，请参见以下内容：

• zoneadm(1M) 手册页

• 《系统管理指南：Solaris Containers－资源管理和 Solaris Zones》

zoneadm attach -b 选项

使用 -b 选项可指定要在附加期间从区域中回退的正式修补程序或临时诊断援助 (Interim Diagnostics Relief, IDR) 修补程序。此选项仅适用于使用 SVr4 打包的区域标记。

详细信息，请参见以下内容：

• zoneadm(1M) 手册页

• 《系统管理指南：Solaris Containers－资源管理和 Solaris Zones》

系统管理增强功能

Solaris 10 5/09 发行版中添加了以下系统管理功能和增强功能。

适用于 IPsec 的 SMF 服务

IP 安全性 (IP security, IPsec) 现在由以下 Solaris 管理工具 (Solaris Management Facility, SMF) 服务进行管理：

• svc:/network/ipsec/policy:default－policy 服务检查 /etc/inet/ipsecinit.conf 文件，并将数据馈送到 IPsec 安全策略数据库 (Security Policy Database, SPD) 中。必须启动 policy 服务，而且其文件 /etc/inet/ipsecinit.conf 必须存在，才能在引导时配置 IPsec 策略。

• svc:/network/ipsec/ike:default－ike 服务控制 iked(1M) 中的 Internet 密钥交换 (Internet Key Exchange, IKE) 守护进程。此服务控制 ike 的方式与守护进程控制的其他服务（如 ssh 或 sendmail）类似。

• svc:/network/ipsec/manual-key:default－manual-key 服务检查 /etc/inet/secret/ipseckeys 文件，并将密钥馈送到 IPsec 安全关联数据库 (Security Association Database, SADB) 中。在 SMF 之前，仅存在 /etc/inet/secret/ipseckeys 文件就足够了，但是现在还应启用该服务以装入手动 IPsec 密钥。

• svc:/network/ipsec/ipsecalgs:default－ipsecalgs 服务缺省情况下处于启用状态，并会将 Solaris 加密框架算法映射到这些算法在 IPsec 中的使用之处。使用 ipsecalgs(1M) 启用的更改随后将刷新 ipsecalgs 服务。

SMF 管理将所有 SMF 功能带给了 IPsec，例如，接口一致性、重新启动功能和故障跟踪。

安全性增强功能

Solaris 10 5/09 发行版中添加了以下安全功能和增强功能。

适用于 IPsec 密钥管理开发者的 NAT 遍历

Solaris 10 5/09 发行版包含一个用于用户数据报协议 (User Datagram Protocol, UDP) 套接字的公共 API，这些套接字用作 IPsec 网络地址转换器 (Network Address Translator, NAT) 遍历端点。

如果启用 UDP_NAT_T_ENDPOINT 套接字选项，则会使 UDP 通信对出站通信在前面加上四字节的零安全参数索引 (security parameters index, SPI) 值，并对入站通信去除零 SPI。发往具有非零 SPI 的此类套接字的入站通信将自动传输到 IPsec 的封装安全有效负荷 (encapsulating security payload, ESP)，以取消封装 UDP 中的 ESP (ESP-in-UDP)。UDP 中的 ESP (ESP-in-UDP) 封装由 IPsec 安全关联 (Security Association, SA) 中的一个属性确定。

使用此功能，IPsec 密钥管理软件开发者可以创建可转接 NAT 设备的密钥管理协议。iked(1M) 中的 Solaris IKE 守护进程会使用这种功能，使用 pfiles(1M) 命令可显示此类套接字。

适用于 IPsec 的更强算法

Solaris 10 5/09 发行版针对 IPsec 和 IKE 引入了以下算法：

• 三个更大的 Diffie-Hellman 整数-模数组（包括 2048 位、3072 位和 4096 位）－更大的 Diffie-Hellman 组在 IKE 阶段 1 和阶段 2 中可用。这些组根据 RFC 3526 按组号进行指定：组号 14 表示 2048 位，15 表示 3072 位，16 表示 4096 位。

• SHA-2 系列的散列（包括 sha256、sha384 和 sha512）－使用 HMAC 的 SHA-2 可用于 IPsec 的验证头 (Authentication Header, AH) 和 ESP，以及在交互期间可用于 IKE。SHA-2 根据 RFC 4868 在 IPsec 中使用，SHA256、SHA384 和 SHA512 的截断 ICV 长度分别为 16 字节、24 字节和 32 字节。

  ---

  注 –

  SHA-2 对使用 ikecert(1M) 生成的证书不可用。

  ---

支持 OpenSSL PKCS#11 引擎的 SunSSH

此功能允许 SunSSH 服务器和客户机通过 OpenSSL PKCS#11 引擎使用 Solaris 加密框架。SunSSH 将加密框架用于对称加密算法的硬件加密加速，这对于数据传输速度很重要。此功能针对具有 n2cp(7D) 加密驱动程序的 UltraSPARC® T2 处理器平台。

此功能不影响 UltraSPARC T1 处理器平台，因为 ncp(7D) 驱动程序不支持对称加密算法。无论为 UseOpenSSLEngine 选项设置什么值，此功能都不影响没有任何硬件加密插件的平台。UseOpenSSLEngine 选项的缺省值设置为 on，无需更新服务器和客户机的 SSH 配置文件。

SunSSH 应与装有以下修补程序的 Sun Crypto Accelerator 6000 板软件 1.1 版一起使用：

• 128365-02（基于 SPARC 的系统）

• 128366-02（基于 x86 的系统）

---

注 –

没有可用于 Sun Crypto Accelerator 6000 板软件 1.0 版的修补程序。要解决此问题，请在服务器和客户机这两端上，从 Ciphers 选项关键字中删除 AES 计数器模式。

---

有关更多信息，请参见 ssh_config(4) 和 sshd_config(4)。

设备管理增强功能

Solaris 10 5/09 发行版中添加了以下设备管理功能。

x86: 对基于 Intel 的处理器的 T 状态支持

此功能提供基本的 CPU 高级配置和电源接口 (Advanced Configuration and Power Interface, ACPI) T 状态支持。T 状态支持使 CPU 驱动程序可以接收 _TPC 更改通知，作为控制处理器速度的方式。这在一些系统上频繁执行，与现有的 CPU ACPI P 状态一起作为被动冷却机制。

有关更多信息，请访问 http://opensolaris.org/os/community/pm/。

系统性能增强功能

Solaris 10 5/09 发行版中添加了以下系统性能功能和增强功能。

对 Intel PCI Express 10Gb NIC 驱动程序的大段负载转移支持

此功能引入了对 ixgbe 驱动程序和某些 ixgbe 驱动程序错误修复的大段负载转移 (Large Segment Offload, LSO) 支持。LSO 是针对 NIC 的一项重要功能，尤其是对于 10-Gb NIC。LSO 可以将第 4 层上的分段作业负载转移到 NIC 驱动程序。LSO 通过降低 CPU 开销提高了传送性能。缺省情况下将启用此功能。

Solaris 电源感知分发程序和深度 C 状态支持

此功能包括以下增强：

• 事件驱动的 CPU 电源管理－在通过 Solaris 支持动态电压和频率调节 (Dynamic Voltage and Frequency Scaling, DVFS) 的系统上，内核调度程序或分发程序将以合并负载的方式跨系统的 CPU 调度线程，并释放要进行深度电源管理的其他 CPU。当分发程序辨识到跨一组可管理其电源的 CPU 的利用率已发生重大改变时，将触发 CPU 电源状态更改。这样就不必在系统中定期轮询 CPU 利用率，并使系统可以在不使用 CPU 时节省更多的电量，而在使用 CPU 时提升性能。缺省情况下，在支持 DVFS 的系统上启用事件驱动的 CPU 电源管理。可以禁用此功能，或者可以通过 power.conf(4) 中的 cpupm 关键字使用基于轮询的传统 CPU 电源管理。

• 在基于 Intel Nehalem 的系统上对深度空闲的 CPU 电源管理或深度 C 状态的支持－在基于 Intel Nehalem 的系统上，项目还添加了对深度 C 状态的 Solaris 支持。此支持允许将未使用的 CPU 资源动态地置于某种状态：在此状态下，CPU 资源使用的电量是其在正常操作状态下所用电量的一小部分。此功能还提供了对省电功能的 Solaris 支持，以及确定空闲 CPU 应该何时请求深度空闲模式的策略实现。缺省情况下将启用此功能（如果支持），而且可以通过 power.conf(4) 中的 cpu-deep-idle 关键字禁用此功能。

• Intel 的 Turbo Mode 功能的可观察性－基于 Intel Nehalem 的系统能够提升可用核心子集的工作频率（如果有足够的散热净空允许这样做）。此功能可暂时提升性能，但是它由硬件控制，且对软件是透明的。从 Solaris 10 5/09 发行版开始，新增的 kstat 模块可观察系统何时进入 Turbo Mode 以及使用哪个频率工作。

开发者工具增强功能

Solaris 10 5/09 发行版中添加了以下开发者工具功能和增强功能。

SunVTS 7.0 Patch Set 5

SunVTS^TM 7.0 Patch Set 5 具有以下增强功能：

• 基础结构增强功能：

  • 能够在测试中指定设备特定的选项

  • 创建通用的或主机特定的会话以用于测试

  • 针对一次测试通过的循环函数

  • 对创建或装入通用的和主机特定的会话的终端用户界面 (user interface, UI) 支持

• CPU 诊断增强功能：

  • 系统测试 systest 在出现故障时执行处理器级隔离

  • CPU 测试 cputest 是多进程测试。单个测试二进制文件可以同时测试系统中的所有 CPU。

• 内存诊断增强功能：

  • 基于 physmem 的 ramtest 具有读取地址长度（以 KB、MB 和 GB 为单位）的选项

  • 通过增加的内存、步进测试 (march-test) 算法改进了 l3 缓冲区测试

• IO 诊断增强功能：

  • 添加了新的 hlgraphicstest 测试以测试图形卡

  • 用户可以在网络测试中为 nxge 接口指定背对背回送选项

  • 增强了 Cddvdtest 以支持不同的驱动器速度

  • 增强了磁盘测试以支持以下功能：

    • 进行了调优以便对 USB 存储设备加压

    • 执行磁盘性能测试

    • 不在根磁盘上执行写入测试

    • 对固态设备 (Solid State Device, SSD) 进行测试级、或耗损均衡机制的测试

    • 支持读写高速缓存存储区测试

x86: 对 Intel 处理器的 CPU 性能计数器更新

现代微处理器包含硬件性能计数器，可以使用这些计数器测量与 CPU 行为相关的许多不同硬件事件。硬件事件包括指令和数据高速缓存未命中以及处理器的各种内部状态。性能计数器中的数据可以用于分析和调优特定类型处理器上软件的行为。Solaris 10 5/09 OS 通过 libcpc(3LIB) 接口以及通过 cputrack(1) 和 cpustat(1M) 实用程序提供了对 CPU 性能计数器 (CPU Performance Counter, cpc) 的访问。

驱动程序增强功能

Solaris 10 5/09 发行版中添加了以下驱动程序功能和增强功能。

hermon 驱动程序

此功能为 Mellanox, Ltd. 的第四代 InifiniBand (IB) HCA 芯片引入了 Solaris 驱动程序。hermon 驱动程序提供了对用于刀片式环境中常规 HCA、EM 和 NEM 的 SDR、DDR 和 QDR 芯片的 IB 支持。

与前几代 IB 产品相比，hermon 驱动程序在 IB 传输中实现了较高的带宽和较短的等待时间。虽然性能提高在所有环境中都是有利的，但是较高的带宽和较短的等待时间在高性能计算 (high-performance computing, HPC) 应用程序中是最重要的。

此外，uDAPL 库（MPI 库的关键基础）已进行了更新，可以与此驱动程序配合使用，从而与基于 MPI 的应用程序一起提供最佳性能。

iSCSI 目标

从 Solaris 10 5/09 发行版开始，iSCSI 目标已进行了升级，以提供新的特性和功能。

此 iSCSI 目标更新包括以下性能、可伸缩性、互操作性和可靠性改进：

• 改进了 TCP/IP 超时恢复

• iSCSI 启动器调用了 SCSI RESET

• 代码路径和内存泄漏清除

• 改进了与目标端口组标记 (Target Port Group Tag, TPGT)、单向和双向 CHAP 验证以及 RADIUS 服务器支持的互操作性

• 改进了 Internet 存储名称服务 (Internet Storage Name Service, iSNS) 支持，包括从不可用的 iSNS 服务器恢复

• 更新了 SCSI-3 持久性保留功能，从而可以在 Solaris 和其他操作系统上的各种群集解决方案中使用该功能

Solaris iSCSI 目标发行版现在支持以下操作系统的各种 iSCSI 启动器：

• Solaris 10

• OpenSolaris

• Linux：Red Hat Enterprise Linux (RHEL)、Suse 和 Ubuntu

• VMWare ESX

• Microsoft Windows（XP、Vista、Server 2003、Server 2008 和 Windows Cluster Server）

• Mac OS X

x86: NetXen 10 GigE 设备驱动程序

ntxn(7D) 是一个新 NIC 驱动程序，它支持 NetXen 的基于 PCI Express 的 10 千兆位以太网网络接口卡 (network interface card, NIC)。在安装了 NetXen NIC 的平台上，用户可以通过 Solaris OS 访问网络。

E1000g 驱动程序中的 Intel ICH10 和 Hartwell NIC 支持

从 Solaris 10 5/09 发行版开始，ICH10 和 Hartwell 网络接口是一些 x64 和 x86 计算机上的缺省网络接口卡 (network interface card, NIC)。用户可以通过这些网络接口轻松地访问网络。

xge 驱动程序可以启用多个接收环和 MSI-X

如果 xge 驱动程序可以在支持 MSI-X 的平台上分配足够多的 MSI-X 向量，则该驱动程序将启用多个接收环和 MSI-X。此功能增强了驱动程序的性能。如果该驱动程序无法分配足够多的 MSI-X 向量，则该驱动程序会继续像之前在传统中断模式下那样工作。

语言支持增强功能

Solaris 10 5/09 发行版中添加了以下语言支持增强功能。

新增对哈萨克斯坦和乌克兰语言环境支持

Solaris 10 5/09 发行版现在支持哈萨克斯坦 kk_KZ.UTF-8 和乌克兰 uk_UA.UTF-8 语言环境。

其他软件增强功能

Solaris 10 5/09 发行版中添加了以下附加软件功能。

SPARC: Fp-scrubber 守护进程

Fp-scrubber 是用户级守护进程，它定期运行非侵入测试以验证浮点单元 (floating-point unit, FPU) 硬件是否正常工作。当测试检测到错误时，会使用 fmd(1M) 命令启动故障管理操作。Fp-scrubber 守护进程仅支持 UltraSPARC III 和 UltraSPARC IV 类处理器。