X

Oracle Solaris, Oarcle ハードウェア製品に関する情報

Solaris 11.3 Beta に関するブログ記事の紹介 Part 2

Guest Author

はじめに


前回に引き続き Solaris 11.3 に関連したブログ記事をご紹介します。

今回は、セキュリティとコンプライアンス、システム管理、仮想化、ZFS についてのブログ記事をご紹介いたします。

前回の記事をご覧になっていない方は こちら をご覧ください(Solaris 11.3 Beta のアナウンスメント、データベース関連のエンハンス、開発者向けの記事、OpenStack 関連の記事のまとめを紹介しています)。


セキュリティとコンプライアンス


New Security Extensions in Oracle Solaris 11.3 (Solaris 11.3 のセキュリティの新機能)

https://blogs.oracle.com/observatory/entry/new_security_extensions_in_oracle

Kris Kooi のブログ記事です。

Solaris 11.1 で実装された ASLR(アドレス空間配置のランダム化) に加えて、Solaris 11.3 では NXSTACK(non-executable stack) と NXHEAP(non-executable heap) の二つの実行領域保護機能が実装され、セキュリティが強化されています。また、sxadm コマンドが変更され、セキュリティ拡張機能の管理がより簡単になりました。

このブログ記事では NXSTACK と NXHEAP の挙動と sxadm コマンドの使い方をご紹介しています。


OpenSSL on Oracle Solaris 11.3 (Solaris 11.3 の OpenSSL)

https://blogs.oracle.com/observatory/entry/openssl_on_oracle_solaris_11

Misaki Miyashita のブログ記事です。

Solaris 11.3 の OpenSSL について、SSLv2 の EOL、マルチスレッドプログラムやマルチプロセスプログラムでの安全性の向上などの変更点についてご紹介しています。

Solaris 版の OpenSSL については Solaris 11.2 の変更点 も合わせてご覧ください。


Customising Solaris Compliance Policies (コンプライアンス・ポリシーのカスタマイズ)

https://blogs.oracle.com/darren/entry/customising_solaris_compliance_policies

Darren Moffat のブログ記事です。

Solaris 11.2 から コンプライアンス・フレームワーク が実装されています。

Solaris 11.3 では、コンプライアンス要件のカスタマイズを容易にするため、compliance コマンドに tailor サブコマンドが実装されました。カスタマイズを再利用するための export アクションも実装されています。

このブログ記事では tailor サブコマンドの実行例をご紹介しています。


Solaris new system calls: getentropy(2) and getrandom(2) (Solaris の新しいシステムコール: getentropy(2) と getrandom(2))

https://blogs.oracle.com/darren/entry/solaris_new_system_calls_getentropy

Darren Moffat のブログ記事です。

Solaris 11.3 から getrandom(2) と getentropy(2) というシステムコールが追加されました。getrandom(2) はランダムなビットストリームを生成し、getentropy(2) はランダムビット生成器で使用するためのエントロピーを生成します。どちらも OpenBSD や Linux の同名の API と互換性があります。

このブログ記事では、この二つのシステムコールを使用する際の注意点をご紹介しています。


Applying Rights Profiles to RAD Modules in Oracle Solaris 11.3 (Solaris 11.3 の RAD モジュールに権利プロファイルを適用する)

https://blogs.oracle.com/gfaden/entry/applying_rights_profiles_to_rad

Glenn Faden のブログ記事です。

Solaris 11.3 から RAD モジュールごとに RBAC のプロファイルを設定することができるようになりました。User Manager GUI を例にして、新しい RAD とプロファイルの関係をご紹介します。


PF for Solaris (Solaris の PF)

https://blogs.oracle.com/solarisfw/entry/pf_for_solaris

これまで Solaris にバンドルされている Firewall ソフトウェアは IPF でしたが、Solaris 11.3 から OpenBSD 由来の PF も加わりました。

このブログ記事では IPF から PF に移行する際の注意点や PF を使い始める手順をご紹介しています。


Solaris Kernel Zones Verified Boot (Solaris Kernel Zones の Verified Boot)

https://blogs.oracle.com/DanX/entry/solaris_kernel_zones_verified_boot

Verified Boot は OS の起動時にカーネルモジュールの署名を確認して、不正なモジュールや壊れているモジュールを検知する機能です。Verified Boot は Solaris 11.2 で実装されました。

Solaris 11.3 では、Verified Boot が Kernel Zone の起動にも利用できるようになりました。

このブログ記事では Kernel Zones Verified Boot の構成の仕方とその動作をご紹介しています。

Verified Boot については こちら も合わせてご参照ください。


Solaris 11.3: New Immutable Global Zone file-mac-profile: dynamic-zones (Solaris 11.3: Immutable Global Zone の file-mac-profile の新しいパラメータ: dynamic-zones)

https://blogs.oracle.com/casper/entry/solaris_11_3_new_immutable

Solaris 11.2 で Immutable Global Zone が実装されました。Immutable Global Zone は、ファイルシステムへの変更が制限された Global Zone です。これまで、Immutable Global Zone に指定できる制限のプロファイルは、none, strict, fixed-configuration, flexible-configuration のいずれかでしたが、Solaris 11.3 では新しいプロファイルとして dynamic-zones が追加されました。

dynamic-zones プロファイルは OpenStack Nova から使用されることを想定しており、fixed-configuration プロファイルを Zone の作成・破棄ができるように緩和したプロファイルです。


Solaris 11.3: New per-share, per-instance reserved port property for NFS (Solaris 11.3: NFS のシェア毎、インスタンス毎の特権ポートプロパティ)

https://blogs.oracle.com/casper/entry/solaris_11_3_new_per

NFS_PORTMON は、NFS サーバにアクセスがあった際に、クライアント側のポート番号が特権ポートだった場合のみにアクセスを許可するための設定です。

これまで NFS_PORTMON の設定は /etc/system に nfssrv:nfs_portmon を記載する方式でした。現在の Solaris では Zone 毎に NFS サーバを起動することができるため、NFS_PORTMON もより細かい区切りで有効・無効の制御ができるよう、Solaris 11.3 からは share 毎に NFS_PORTMON を設定できるような方法が追加されました。


OpenSSH in Solaris 11.3 (Solaris 11.3 の OpenSSH)

https://blogs.oracle.com/darren/entry/openssh_in_solaris_11_3

これまで Solaris の SSH は OpenSSH から分岐した SunSSH が標準でした。

Solaris 11.3 からは SunSSH だけでなく OpenSSH のパッケージもバンドルされるようになり、どちらを使用するか OS の管理者が選択できるようになりました。将来的には OpenSSH が標準になる見込みです。


システム管理


Periodic and scheduled services with SMF (SMF を使った処理の定期実行と定時実行)

https://blogs.oracle.com/gman/entry/periodic_and_scheduled_services_with

Solaris 11.3 から、プログラムの定期的な繰り返し実行やスクリプトの定時実行を SMF で管理 できるようになりました。これまで Cron に設定していたような内容を SMF のマニフェストファイルで管理できるようになり、IPS との連携もしやすくなりました。

定期実行の場合はマニフェストファイルに periodic_method を定義し、定時実行の場合は scheduled_method を定義します。


Cron Begone: Predictable Task Scheduling (さようなら Cron、予測可能なタスク管理)

https://blogs.oracle.com/SolarisSMF/entry/cron_begone_predicable_task_scheduling

Solaris 11.3 で実装された SMF の Periodic Restarter と Scheduled Services について、Cron に比べて優れている点として、エラーハンドリング、一貫性のあるログ管理、依存関係の解決、ライフサイクルの制御しやすさ、システム停止により実行されなかったタスクの実行管理、タスクの実行が特定の時間に集中して高負荷になることを防ぐためのランダム性を挙げています。


Solaris 11.3 beta: Changes to bundled software packages (Solaris 11.3 Beta で更新されたバンドルパッケージ一覧)

https://blogs.oracle.com/alanc/entry/solaris_11_3_beta_changes

Solaris 11.3 Beta で追加・更新された主なパッケージの一覧です。

Python 3, OpenSSH, Apache 2.4, OpenBSD PF, Puppet Hiera などが新規で追加されています。 pigz は CMT と相性が良いので、ぜひお使いください。


Introduction to svcbundle(1M) (svcbundle のご紹介)

https://blogs.oracle.com/SolarisSMF/entry/introduction_to_code_svcbundle_code

新しい SMF サービスを作成する際のハードルの一つに、マニフェストファイルの作成があります。svcbundle コマンドは、マニフェストファイルの作成を助けてくれるコマンドです。コマンドラインオプションで name=value 形式でパラメータを指定すると、SMF のマニフェストの XML ファイルを生成してくれます。


Remote Administration with RAD and Oracle Solaris 11 (RAD を使用したリモートからの管理)

https://blogs.oracle.com/gman/entry/remote_administration_with_rad_and

このブログ記事では、Python, C, Java, RESTful API を使ってプログラムから Solaris を管理できる RAD インターフェイスについて紹介しています。

RAD については Getting Started with the Remote Administration Daemon on Oracle Solaris 11 もご参照ください。


New flowadm features in Solaris 11.3 (flowadm の新機能)

https://blogs.oracle.com/yenduri/entry/new_flowadm_features_in_s11

Solaris 11.3 で flowadm コマンドに追加された新機能の中から、1. flow 上のパケットに DSCP を設定できるようになった、2. flow に direction 属性を設定して inbound のみや outbound のみの flow を作成できるようになった、3. flow 属性の組み合わせ制限 ("サポートされている属性の組み合わせ") の撤廃、4. 同一リンク上に異なる flow 属性の組み合わせをもった flow を作成できない制限 ("特定リンク上のすべてのフローが同じ組み合わせを保持する必要があり") の撤廃、同一パケットが複数の flow にマッチするような flow の作成が可能になった、flow の適用順を指定する rank 属性の追加、についてご紹介しています。


Private VLAN in Solaris 11.3 (Solaris 11.3 のプライベート VLAN)

https://blogs.oracle.com/yenduri/entry/private_vlan_in_solaris_11

Solaris 11.3 で実装された Private VLAN について、isolated VLAN と community VLAN の構成の仕方、Zone への割り当ての仕方、sub-VLAN に VLAN タグを設定する方法をご紹介しています。


Solaris 11.3: rtc(1m) no longer warps the time by default (Solaris 11.3 ではリアルタイムクロックのタイムゾーンを変更する際に、デフォルトではシステムの時間は変更されない)

https://blogs.oracle.com/casper/entry/solaris_11_3_rtc_1m

Solaris 11.3 では rtc(1M) コマンドに -w オプションが追加されました。x86 Solaris で、リアルタイムクロックのタイムゾーンを変更する際に -w オプションを付けるとシステムの時間がリアルタイムクロックに合わせて変更されます。-w オプションを付けない場合はシステムの時間は変更されず、リアルタイムクロックの時間が更新されます。


rcapd enhancements in Solaris 11.3 (Solaris 11.3 におけるリソース上限デーモンの改良)

https://blogs.oracle.com/puneetpruthi/entry/rcapd_enhancements_in_solaris_11

Solaris 11.3 では rcapd の設定がより簡潔・簡単になり、メモリページ選択のアルゴリズムがより効率的なものに変更され、rcapd の動作がシステム全体の性能を低下させないような挙動になりました。


Multi-CPU bindings for Solaris Project (Multi-CPU bindings を Solaris Project で使用する)

https://blogs.oracle.com/zoneszone/entry/multi_cpu_bindings_for_solaris

MCB (Multi-CPU binding) は、プロセスを特定の CPU のグループに結び付ける機能です。類似の機能にプロセッサーセットがありますが、プロセッサーセットが CPU の排他的な区画を作成するのに対し、MCB では他の MCB に入っている CPU も指定することが可能です。

MCB は Solaris 11.2 で実装されました。Solaris 11.3 からは、MCB がプロジェクトに設定できるようになっています。
このブログ記事では、プロジェクトで実際に MCB を使用する例をご覧いただけます。


仮想化


Introducing Secure Live Migration (安全なライブマイグレーションのご紹介)

https://blogs.oracle.com/listey/entry/introducing_secure_live_migration

Solaris 11.3 から Kernel Zone のライブマイグレーションができるようになりました。

このブログ記事では、Solaris 11.3 の Kernel Zone のライブマイグレーションがセキュリティに配慮していること、ライブマイグレーションを実施するにあたっての Tips がまとめられています。


Secure multi-threaded live migration for kernel zones (Kernel Zones の安全でマルチスレッド化されたライブマイグレーション)

https://blogs.oracle.com/zoneszone/entry/live_migration_for_kernel_zones

Kernel Zone のライブマイグレーションの手順と、その背後で行われているネットワーク通信について、実例を元にご紹介しています。

Kenel Zone のライブマイグレーションについては こちら もご覧ください。


New features in Oracle Solaris Zones (Solaris Zones の新機能)

https://blogs.oracle.com/listey/entry/new_features_in_oracle_solaris

Solaris 11.3 の Zone の新機能として、Kernel Zone のセキュアなライブマイグレーション、NFS 上に Kernel Zone のルートファイルシステムを作成できるようになったこと、Kernel Zone の稼働中にネットワークとデバイスの構成変更が可能になったこと、Native Zone で仮想クロックが使えるようになったことを紹介しています。


PV IPoIB in Kernel Zones in Solaris 11.3 (Solaris 11.3 の Kernel Zones の PV IPoIB)

https://blogs.oracle.com/observatory/entry/pv_ipoib_in_kernel_zones

Solaris 11.3 から Kernel Zone で Paravirtualized IP over Infiniband データリンクを使用できるようになりました。このブログ記事では PV IPoIB の構成手順をご紹介します。


Managing Orphan Zone Boot Environments (Orphan Zone Boot Environment の管理)

https://blogs.oracle.com/puneetpruthi/entry/managing_orphan_zone_boot_environments

Zone のマイグレーションや Zone のアーカイブを attach する際に発生する Orphaned Boot Environment を管理する方法として、beadm list の出力に Orphaned BE であることを示すフラグが追加され、beadm destroy で Orphaned BE を削除できるようになり、zoneadm attach に Orphaned BE の生成を制御するオプションが追加されました。


Kernel zone suspend now goes zoom! (Kernel Zones のサスペンドの高速化)

https://blogs.oracle.com/zoneszone/entry/kernel_zone_suspend_now_goes

Solaris 11.2 には Global Zone が再起動した際に Kenel Zone が自動的にサスペンド、レジュームする機能が実装されています。Solaris 11.3 からはメモリの圧縮・展開、および暗号化・複合がマルチスレッド化され、サスペンド、レジュームの処理時間が改善されました。


Shared Storage on NFS for Kernel Zones (Kernel Zones の NFS へのインストール)

https://blogs.oracle.com/zoneszone/entry/shared_storage_on_nfs_for

Solaris 11.2 から Zone のルートファイルシステムを iSCSI デバイス上に配置できるようになりました。Solaris 11.3 ではさらに NFS 上にも Zone のルートファイルシステムを配置できるようになっています。

このブログ記事では NFS 上に Zone をインストールする手順をご紹介しています。


Different time in different zones (Zone 毎に異なる時間の設定)

https://blogs.oracle.com/anuthan/entry/different_time_in_different_zones

Solaris 11.3 から Solaris Zones と Solaris 10 Branded Zones で Zone 固有の時間を設定できるようになりました。

このブログ記事では、その設定パラメータと挙動をご紹介しています。


ZFS


Changes to ZFS ARC Memory Allocation in 11.3 (Solaris 11.3 の ZFS ARC メモリアロケーションの変更点)

https://blogs.oracle.com/observatory/entry/changes_to_zfs_arc_memory

Solaris 11.3 から ZFS の ARC の管理方法が代わり、キャッシュの大半は Kernel Object Manager によって Kernel Cage の外に配置されるようになりました。

これにより多くのシステムで zfs:zfs_arc_max の設定が不要になり、スケーラビリティも向上しました。


Welcome to Oracle Solaris 11.3 ZFS (Solaris 11.3 ZFS のご紹介)

https://blogs.oracle.com/zfs/entry/welcome_to_oracle_solaris_11

Solaris 11.3 の ZFS の新機能として、LZ4 圧縮、defaultuserquota および defaultgroupquota パラメータによるデフォルトの Quota の設定、zpool monitor サブコマンドによるプールの監視、使用されていないスペアディスクの異常検知、メモリ操作とブロック割り当ての効率化、SMB 2.1 対応を挙げています。


まとめ


以上、Solaris 11.3 Beta に関するブログ記事をまとめてご紹介いたしました。

ご覧いただきました通り、Solaris 11.3 にはとてもたくさんの修正・改善・新機能が含まれています。ぜひ Beta 版をダウンロード、インストールしていただき Solaris の勢いを感じていただけたらと思います。

Solaris 11.3 の正式リリースもどうぞご期待ください。

Be the first to comment

Comments ( 0 )
Please enter your name.Please provide a valid email address.Please enter a comment.CAPTCHA challenge response provided was incorrect. Please try again.