1 / 100

翻译文章存档

FreeBSD 网络文章集锦

警告
本项目目前翻译错漏百出，不适合用于生产。但译者已经尽力修正。
本项目目前处于低维护状态，主要维护者因精力所限仅处理 PR。欢迎社区通过 PR 贡献力量。

年份仅代表翻译时间，不代表真实的文章发表时间。但是一般来说，不会不符合所在年份，也是可用的。

zfs 速查手册

原文链接：OpenZFS Cheat Sheet
作者：Benedict Reuschling ([email protected])
原发布时间：2025 年 3 月

存储池配置

单个磁盘 无冗余，挂载为 /mypool，无需在 /etc/fstab 中添加条目。

条带（RAID-0） 无冗余，任意一块磁盘损坏都会导致数据全部丢失。性能高，可用容量为所有磁盘总和。

镜像（RAID-1） 可承受一块磁盘损坏，VDEV 在 zpool status 输出中显示为 mirror-0，可并行读取所有磁盘，写入速度较慢，总容量低于 RAID-0。

单奇偶校验（RAID-Z1） 至少需要 3 块磁盘，可承受 1 块磁盘损坏，奇偶校验信息分布在所有磁盘上，读写速度较快，性能相当，容量约为 66%。在 zpool status 输出中显示为 raidz1-0 VDEV。

双奇偶校验（RAID-Z2） 每个 VDEV 可承受 2 块磁盘损坏，比 RAID-Z1 慢，至少需要 4 块磁盘，可用容量约为 50%。

RAID10 至少需要 4 块磁盘，每个 VDEV 可承受 1 块磁盘损坏，读速快，写速为单个磁盘的一半，容量为 50%。是冗余性、容量和性能的良好折中方案。

三奇偶校验（RAID-Z3） 比 RAID-Z2 稍慢，每个 VDEV 可承受 3 块磁盘损坏，至少需要 5 块磁盘，可用容量约为 40%。

显示存储池状态

显示存储池状态【包括磁盘配置、错误信息、适用的更新、上次 scrub 时间（若有）】

显示存储池容量、已用空间和可用空间

显示存储池 I/O 统计信息

选项：

-v 显示各个设备
-w 显示 I/O 延迟
-r 显示请求大小直方图

显示存储池的管理命令历史

选项：

-l 详细格式
-i 仅显示事务组等事件

获取存储池属性及其值，并可使用 zpool set 修改默认值

特殊 VDEV

二级 ARC（L2ARC）

当数据不再适合存储在 ZFS 主内存缓存（ARC：自适应替换缓存）时，L2ARC 充当快速读取缓存。读取请求将由 L2ARC 处理，需使用高速存储设备（如闪存）才能获得显著效果。使用 cache 关键字将设备添加到存储池。

ZFS 意图日志（ZFS intent log, ZIL）

将同步写入转换为异步写入（不影响读取），使应用程序能更快确认数据已写入，类似于数据库事务日志。当写入完成并存储到底层存储介质后，ZIL 将被清除。ZIL 需要快速存储设备，但无需大容量。使用关键字 log 将设备添加到存储池。

备用盘（Spare）

备用盘在替换故障磁盘之前不会参与 I/O 操作，可以由手动操作或外部故障管理软件触发替换。使用关键字 spare 添加备用盘。

存储池扩展

将单磁盘存储池转换为 RAID1

为单磁盘存储池设备 /dev/nda0 添加镜像磁盘 /dev/nda1：

替换故障磁盘

将存储池中的故障磁盘 /dev/nda2 替换为设备 /dev/nda3：

存储池导入/导出

导出存储池

完成 I/O 操作后，从文件系统层次结构中卸载存储池。可在其他系统上导入以恢复存储池状态。

导入存储池

将存储池导入当前系统。

扫描 ZFS 存储池标识
通过 ID 或名称导入存储池
重命名存储池
在不同路径下挂载已导入的存储池（防止覆盖现有存储池）

ZFS 数据集

数据集位于存储池之上，并占用其空间。访问方式如下：mypool/data。每个存储池创建时，都会默认生成一个与其同名的顶级数据集。例如，执行以下命令：

将创建一个名为 test 的存储池和数据集，顶级数据集将挂载为 /test，并可包含子数据集。

创建数据集

创建一个名为 ds 的新数据集，大部分属性继承自父数据集：

创建多个数据集：

显示数据集信息

列出已用空间、可用空间和挂载点

按 ZFS 路径显示数据集

列出数据集及其子数据集

限制显示数据集的层级深度

仅显示数据集名称

移除输出头部

修改显示顺序

按列排序

倒序排列

显示存储池可用空间

列出每个数据集及其子数据集的可用空间和已用空间，包括快照和任何预留空间：

推荐：使用该命令代替 df -h。

重命名数据集

重命名数据集或在存储池层次结构内移动数据集，类似于 Unix mv 命令：

销毁数据集

模拟销毁（不会执行实际删除）：

输出：

执行销毁并显示结果：

输出：

递归销毁数据集及其子数据集：

属性管理

数据集通过继承父数据集的大部分属性来提高灵活性。子数据集可根据需要覆盖这些属性。仅可更改 SOURCE 列中的默认属性，存储池的属性规则相同。

显示属性

多种方式可以查看存储池和数据集的属性：

查看存储池的属性
查看数据集的属性
查看单个属性（容量）
查看多个属性（容量与健康状态）

修改属性

禁用访问时间更新（可提高性能）：
更改挂载点：

自定义属性

可为数据集定义自定义属性（key=value），数据集会继承这些属性，但可更改其值。

创建自定义属性：
列出自定义属性：
重置属性值（继承父级值）：
删除自定义属性（递归删除）：

数据完整性检查（Scrub）

ZFS 在数据存储时会计算并存储校验和，覆盖整个数据集层次结构。I/O 错误、驱动故障、内存损坏、损坏的电缆等因素可能导致校验和不匹配。

如果存储池具有足够的冗余（如镜像或 RAID-Z），ZFS 可以检测到这些错误并自动修复（自我修复）。

建议 每月运行一次 Scrub，重新计算校验和。如果发现数据损坏，ZFS 会从冗余 VDEV 获取正确的数据并修正错误。

启动 Scrub：

查看 Scrub 进度和错误信息：

ZFS 无需 fsck，因为 ZFS 自带数据完整性检查机制。

卷（Volumes）

ZFS 卷使用连续的存储池空间，并可通过 iSCSI 在网络上导出。当使用非 ZFS 文件系统格式化卷时，该文件系统仍可自动利用 ZFS 的底层功能。

创建卷

创建一个 10GB 的 ZFS 卷：

创建稀疏卷（Sparse Volume）

稀疏卷是 超分配 的卷，不会立即占用预留空间，而是随着数据的增长逐步填充。

创建一个 1PB（1 PB）稀疏卷：

配额（Quota）

每个数据集默认可以使用整个存储池的空间。配额用于限制数据集的最大存储量。ZFS 严格执行配额限制，任何超出配额的写入都会被阻止。

定义配额

ZFS 默认无配额。可使用 zfs set 命令为特定数据集设置配额：

该配额适用于该数据集及其子数据集（包括未来创建的子数据集）。这些数据集共享配额总量。

如果仅想限制 父数据集本身，不影响子数据集，则使用 refquota：

用户和组配额

限制特定用户的存储空间：
限制某个用户组的存储空间：

显示配额信息

查询数据集的配额：
查询 refquota：
查询用户配额：
查询组配额：

移除配额

将数据集的配额取消（refquota 也同样适用）：

预留空间（Reservation）

预留（Reservation）确保存储池中一定量的空间始终可用，不受其他数据集占用。这减少了存储池的可用空间，但可以防止单个数据集占满整个池，有助于容量规划。

定义预留空间

使用 reservation 属性设置数据集的预留空间：

预留空间 会被子数据集继承。如果只想对该数据集本身生效，而不影响子数据集，则使用 refreservation：

显示预留空间

查看数据集的预留空间：
查看 USEDREFRESERV 列中的预留空间：

移除预留空间

将 reservation 或 refreservation 设为 none：

快照（Snapshots）

快照提供了一种 快速保存数据集只读状态 的方法，可用于恢复数据集到特定时间点的状态。无需回滚整个快照，也可以单独恢复其中的文件。

ZFS 通过 .zfs 目录提供只读访问，可从快照中读取文件。

创建快照

创建快照：
简写命令：
递归创建快照（包含所有子数据集）：

显示快照

列出所有快照：
列出数据集及其所有子数据集的快照：

显示自上次快照以来的写入数据量

written 属性显示自上次快照以来写入的数据量。
配合 used 和 referenced 属性可以直观查看存储池空间使用情况：

比较快照

使用 zfs diff 比较当前数据集与某个快照之间的更改：

输出说明：

符号

说明

对比 两个快照 之间的更改：

快照回滚（Snapshot Rollback）

回滚操作会 丢弃当前数据集的状态，恢复到指定快照的状态。所有在该快照之后创建的数据 都会被删除。

如果要回滚到更早的快照，必须先使用选项 -r 删除所有中间快照：

挂载快照（Snapshot Mounting）

可将快照 以只读方式 挂载到文件系统：

删除快照（Snapshot Deletion）

模拟删除（Dry Run）

建议先执行 模拟删除（选项 -n）查看即将删除的内容，配合 -v 显示详细信息：

如果确认无误，去掉 -n 选项执行删除：

递归删除快照

删除指定快照及其所有子快照：

删除快照范围（Delete Range）

假设快照列表如下：

删除快照 @b 至 @d（含 @d）：
删除 @b 及其后所有快照：

快照保护（ZFS Holds）

ZFS 能为快照创建 保护标记（tag），被标记的快照不能删除。可以对一个快照添加多个保护标记，只有 所有标记都被移除 后，快照才可以删除。

创建快照保护（Hold）

递归列出快照的所有 Holds

解除快照保护（Release Hold）

克隆（Clones）

克隆是 可写的快照副本，创建的克隆数据集 包含原快照的所有数据。

创建克隆

克隆数据集的 origin 属性指向其 来源快照：

解除克隆对原快照的依赖（Promote Clone）

ZFS 不允许删除 有依赖克隆的快照。要删除原快照，必须 先提升克隆为独立数据集（promote）：

此时：

origin 属性消失
该快照成为克隆的新基础
原快照可安全删除

删除克隆（Clone Removal）

可像删除普通数据集一样删除克隆：

加密（Encryption）

ZFS 支持数据集加密，每个数据集可以有独立的密钥。一些元数据仍然保持未加密状态，以便执行 scrub 等操作。

创建加密数据集（Create Encrypted Dataset）

设置数据集的加密密码：

查看加密状态（Load Status）

获取密钥状态：

加载密钥（Load Key）

解锁数据集：

权限委派（Delegation）

ZFS 允许将 ZFS 命令的权限 委派给非 root 用户。

授权用户（Delegate Permission to User）

授予用户 joe 对 atime 属性的修改权限：

查看现有权限（Display Delegations）

撤销用户权限（Remove Delegation）

移除 joe 的 compression 权限：

授权给用户组（Delegate Permission to Group）

授予 mygroup 组 atime 属性权限：

允许用户委派权限（Delegate Permission to Delegate）

授予 jill 允许其他用户管理数据集权限的权限：

创建权限集合（Create a Set of Permissions）

创建权限集合 @myset，包含 mount、snapshot、rollback 和 destroy 权限：

应用权限集合（Use Permission Set for Delegations）

将 @myset 赋予用户 jill：

快照发送与接收（Sending and Receiving Snapshots）

ZFS 能以字节流的方式 本地和通过网络传输快照，可用于备份。

将快照写入文件（Write Snapshot to a File）

要恢复快照，可使用 zfs receive，并通过 -v 选项显示详细信息：

从快照创建数据集（Create Dataset from Snapshot）

显示传输详细信息：

不使用中间文件进行复制（Replication Without Intermediary File）

直接通过管道传输快照数据：

通过 SSH 复制（Replication via SSH）

使用 SSH 传输快照到另一台主机的 ZFS 池：

权限管理（Send and Receive Permissions）

发送权限（Send Permissions）

允许 sender 用户发送数据集：

接收权限（Receive Permissions）

接收方 receiver 需要额外的权限：

2025 年

使用 ZFS 启动环境更新 FreeBSD

作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
发布时间：2021/02/23

我以强烈支持 ZFS 启动环境 而闻名……而这并非没有理由。我已经多次说明了支持的原因，但大多数（或全部）内容在这里被浓缩了————在我关于此的演示中。即将发布的 FreeBSD 13.0-RELEASE 看起来非常有希望。在许多测试中，它的速度几乎是 12.2-RELEASE 的两倍。哎呀！

详细测试可以在网站上查看。由于我已经安装了 12.2-RELEASE，我想测试 13.0-BETA*，看看对我来说重要的功能——比如正常工作的挂起/恢复——在新版本中是否如宣传般正常工作。这正是使用

Realtek RTL8188CUS – USB 802.11n 无线网卡评测

原文：
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
发布时间：2020/11/18

在新款笔记本上使用 FreeBSD 时，有时你会发现自带的 WiFi 芯片不受支持……或者在 RELEASE 版本中尚未支持，而支持仅存在于你不想使用的开发版本 CURRENT 中。

这时，芯片 Realtek RTL8188CUS 就派上用场了。

新型 ZFS 启动环境工具

New ZFS Boot Environments Tool
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
2018/08/24

注意
注：15.0-RELEASE 中仅存在命令 bectl。

大约一个月前，我有幸在上做了关于 ZFS 启动环境 的演讲。在演讲的最后，我提到了在 FreeBSD 上管理 ZFS 启动环境 的工具发展历史。

Pawel Jakub Dawidek——他也参加了 PBUG #3 会议——建议我应该尝试将 beadm 纳入 FreeBSD 基本系统。我也从很多 beadm 用户那里听到过这个想法，他们反复询问为什么 FreeBSD 基本系统没有内置 beadm。因此，在 PBUG #3 结束后，我正是做了这件事。我创建了新的 PR————令我（惊喜地）发现，他们将新工具 bectl 内置到了 FreeBSD 基本系统！现在，我们的 ZFS 启动环境 工具家族中新增了一员——工具 bectl。

当然，我仍会维护和更新工具 beadm，它仍可通过 FreeBSD Ports 中的获取。因为该工具是用 POSIX /bin/sh 编写的，所以调试快速且易于修改。简单来说（TLDR）：bectl 是用 C 语言实现的 beadm，它已引入到了 FreeBSD 基本系统，这意味着它将成为 FreeBSD 12.0-RELEASE 的一部分。目前 bectl 已经可以在 12.0-ALPHA2 镜像中使用。

对比

新的 bectl 工具还处于非常早期的阶段，目前（尚未）能完全替代工具 beadm。下面是 bectl 和 beadm 工具使用信息的简单对比。

……以及新的 bectl 工具。

例如，bectl 目前无法重命名正在使用/已挂载的启动环境，而 beadm 可以。

可以通过命令 zfs rename -u ... 重命名挂载到 / 的 ZFS 数据集（这正是 beadm 在底层所做的操作），作为 bectl 工具的替代方案。

随后它会像平常一样以新名字显示在 bectl 下，如下所示：

bectl 相较于 beadm 的一个很棒的新功能是可以在指定的启动环境中动态创建 FreeBSD Jail。

下面展示 bectl 创建 FreeBSD Jail 的实际操作。

如果你从 beadm 迁移到 bectl，你也需要更加小心，因为 bectl 不会让你进行确认 :🙂:

例如，beadm 工具会在销毁指定的启动环境前询问你是否确认。而 bectl 工具则会直接删除，不会在屏幕上出现任何提示。

bectl 缺少的功能之一是 Ansible 插件支持。beadm 支持 Ansible 插件，因此如果你希望使用该配置管理工具，那么使用 bectl 时就需要退回到原生 Ansible 模块 :🙂:

好消息是 beadm 和 bectl 可以在同一台主机上共存，所以你不必二选一。你仍然可以用 beadm 工具处理日常任务（或用于 Ansible 模块），而用 bectl 来处理 jail/unjail 等选项。

我认为随着时间推移，bectl 会增加所需功能，而将这样的工具纳入 FreeBSD 基本系统无疑是个受欢迎的补充。

更新 1

文章被收录在集中。

感谢分享！

更新 2

最后，我有时间在更新的 FreeBSD-12.0-ALPHA6 版本中再次测试新的 bectl 命令，看是否有改进。

现在在无参数调用时，bectl 不会显示缺少命令的提示。

可以使用 bectl 命令重命名当前正在使用的启动环境。

我注意到的最后一点是，bectl jail 命令在退出后不会保持 Jail 处于启用/运行状态，虽然只是外观上的变化，但很重要。

最后，最简单的迁移路径是创建一个简单别名：

… 或针对 (T)CSH shell：

Leah Budzicka EuroBSDcon 2025 旅行报告

原文：2025 EuroBSDCon Trip Report – Leah Budzicka
发布时间：2025 年 11 月 12 日
作者：Leah Budzicka

作为计算机科学三年级学生，同时也是我所在大学操作系统学生俱乐部 The :wheel Group 的 BOFH（Bastard Operator From Hell, 地狱来的混蛋操作员），我一直关注着 BSD，但始终未曾真正腾出时间去深入探索。

有一天，在浏览 Fediverse 动态时，我看到了 FreeBSD 基金会在 Mastodon 上发布的旅行资助截止日期公告。出于一时兴起，我提交了申请——想着这是一个学习的好机会，也可以把新的见解带回学生俱乐部。你可以想象，当我得知申请被批准时，我多么惊讶！

我提前一天到达了萨格勒布，在老城区闲逛。由于旅馆就在附近，傍晚时分我还顺便去了会场看了一眼。

虽然第一天是为 FreeBSD 开发者峰会（Developer Summit）预留的，我还是希望能帮忙组织工作，顺便提前认识一些参会者。虽然并不需要额外帮助，但我问是否可以旁听——令我高兴的是，我得到了 Ed Maste 的邀请，顺利参加了会议。

开幕环节由 Benedict Reuschling 主持，包括一个生动的破冰活动，参会者根据不同标准排列，比如参加过多少次会议，或者从多远的地方来到萨格勒布。这是一个很有趣的方式，让人立即与他人建立联系。之后，我与 Benedict 交流，他表示有兴趣来我的大学做客座讲座。

技术环节同样引人入胜。Greg Wallace 的《FreeBSD 企业工作组的经验分享》揭示了企业采用 FreeBSD 的困境，而 Brooks Davis 关于 CHERI 安全架构的演讲尤其令人着迷。Ed Maste 关于基金会项目的更新让我了解了 Grimoire 和 Sylve，而 Sven Ruediger 与 Lukas Engelhardt 关于 pkgbase 的演讲则解释了 FreeBSD 新的升级机制如何取代传统的 freebsd-update(8)。

当晚，我与一群开发者在当地餐厅共进晚餐，享受美食的同时，也就 FreeBSD 和开源开发进行了愉快的交流。

第二天和第三天，我参加了 Kirk McKusick 关于 FreeBSD 内核的传奇工作坊。作为 BSD 的主要作者之一，Kirk 不仅分享了深厚的技术知识，还讲述了生动有趣的故事，使课程易于理解。我对 FreeBSD 的内核结构、进程管理、安全子系统、虚拟内存实现、I/O 与设备接口、文件系统以及网络栈有了更清晰的理解。

每天晚上，我都与更多开发者见面，交流有关学生俱乐部可能开展的讲座和工作坊的想法。

接下来的主会议正式开幕。Jan Bramkamp 关于基于 ZFS 的快速 FreeBSD Jail 配置的演讲展示了利用巧妙的 ZFS 数据集技术实现亚秒级 jail 部署——这是我最期待的环节。我还非常喜欢 Hans-Jörg Höxer 关于 OpenBSD 的机密计算演讲，探讨了 AMD 的 SEV/SEV-ES 虚拟化扩展，以及 Roller Angel 关于 Ansible/Salt 自动化的课程，这为我提供了多个项目思路。

在晚间社交活动中，我甚至为 Gentoo Linux 打包了 Benjamin Stürz 的 fuse-ufs 驱动，并与 Kirk 和 Eric 进行了另一次愉快的交流。

最后一天以 Kirk McKusick 的《BSD 守护进程的历史》演讲开场，讲述了吉祥物演变的有趣轶事。随后 Patrick M. Hausen 分享了在 Hetzner 服务器上部署 FreeBSD 的经验，这与我的兴趣非常契合。最令人鼓舞的是 Jake Freeland 关于 Capsicum 的演讲，这促使我决定将本科毕业论文聚焦于 FreeBSD。

我要对 FreeBSD 基金会表示最深切的感谢，感谢他们资助我前往萨格勒布参加 EuroBSDCon。这次经历远远超出了我的预期——既富有教育意义，又充满启发性，更感受到社区的真诚温暖。

这是我的第一次 BSD 会议，但绝不会是最后一次。

展望将来，我计划通过 The :wheel Group 在我的大学开展 FreeBSD 讲座和工作坊，将其融入自己的工作流程，并在学习和未来职业生涯中持续为 FreeBSD 做贡献。

此致敬礼，

Leah Budzicka

Robert Clausecker EuroBSDcon 2025 旅行报告

原文：EuroBSDcon 2025 Trip Report – Robert Clausecker
发布日期：2025 年 11 月 12 日
作者：Robert Clausecker

今年的 EuroBSDcon 在克罗地亚萨格勒布大学电气工程与计算学院举办。这是我第二次参加 EuroBSDcon，此前我曾在 2024 年的都柏林 EuroBSDcon 上就我在 [SIMD 增强 libc 字符串函数] 的工作作过报告，我对今年的会议非常期待。我非常感谢 FreeBSD 基金会对我前往会议的旅程资助，否则对我来说很难负担得起。

我与 Jan Bramkamp 一起旅行，然后共享了一个房间，他在会议上做了一场关于基于 ZFS 的 jail 配置的精彩演讲。我们居住在德国柏林，因此利用机会乘坐德国高铁到慕尼黑，然后通过卧铺列车前往萨格勒布。这让我们能够精力充沛地到达会场，并有机会欣赏斯洛文尼亚乡村的美景。在会议期间，我们还与 Getz Mikalsen 和 Benni Stürz 会面，他们通过去年参加谷歌编程之夏项目而加入 FreeBSD 项目，还有另一位来自柏林的感兴趣的学生。

今年的 EuroBSDcon 首次延长至五天。前两天用于 FreeBSD 开发者峰会（Dev Summit），随后是 Eurobhyvecon，同时进行的还有教程。第四天和第五天举办了 EuroBSDcon 正式会议，提供了三条平行轨道的丰富演讲内容。

在 FreeBSD 开发者峰会的第一天，我最感兴趣的是关于 pkgbase 项目的进展（计划在 FreeBSD 15 中用正式打包系统取代我们自制的 freebsd-update(8)）以及 CHERI 工作的上游合并情况。我也花了很多时间在走廊轨道上，与许多参加会议的其他项目成员交流。一场意外吸引我注意的演讲是 Alfonso Siciliano 关于 FreeBSD 可访问性的讲解，这个话题平时很少听到。

第二天让我对核心团队的运作以及成员们面临的各种问题有了一些有趣的了解，同时也对 libzfs 有一些认识。第三天比较轻松；我没有参加 Eurobhyvecon，后来加入了其他开发者前往距离不远的 Nikola Tesla 技术博物馆的小旅行。

第四天和第五天的演讲都非常密集，有时很难选择参加哪一条轨道。在同事 Jan Bramkamp 关于基于 ZFS 的 FreeBSD jail 配置的演讲之后，我在 Harald Eilertsen 关于将 OpenJDK 移植到 FreeBSD 的演讲中学到了许多困难；作为 ports 的常规贡献者，处理此类问题对我尤为重要。接下来的演讲介绍了用于并行构建工具（如 make(1)）的轻量级作业服务器协议，为以工具无关的方式解决此类问题提供了新思路。在 pkgbase 的演讲之后，Björn Zeeb 详细讲解了在 FreeBSD 上使 WLAN 驱动正常工作的进展——这是提升笔记本支持的重要问题。虽然我的笔记本 Qualcomm QCNFA765 网卡目前仍不受支持，但显然已经取得了重要进展，完全支持只是个时间问题。当天的演讲以 Moin Rahman 关于 FreeBSD ports 的讲解结束，我们在社交活动中继续了讨论。

在最后一天，我遗憾地错过了主题演讲，但参加了 Kirk McKusick 关于 UNIX 守护进程历史的报告（去年我错过了第一版）。午餐后，我在 Charlie Li 的 MIDI 演讲和 John Baldwin 的链接器演讲之间艰难选择，最终参加了后者。随后还有关于去中心化互联网服务的演讲，以及一场关于 Type-C 内部工作机制的非常有启发性的讲解。在闭幕前，我还参加了关于如何使用 FreeBSD 改善 UNIX 教学的讲座。这对我尤其有意义，因为我们在柏林自由大学每年都会开设关于 UNIX 系统管理的课程，涵盖 FreeBSD、AIX 和 Solaris，并一直在寻找改进教材的方法。

除了会议议程之外，我也非常感激能有机会与许多其他 FreeBSD 开发者交流，讨论各种问题和项目想法。我希望明年在比利时布鲁塞尔举办的会议能够和今年一样精彩！

再次衷心感谢 FreeBSD 基金会资助此次旅程。

FreeBSD 在 OCI 运行时规范 v1.3 中获得正式支持

原文：FreeBSD Officially Supported in OCI Runtime Specification v1.3
发布日期：2025 年 11 月 4 日

FreeBSD 已被纳入 Open Container Initiative（OCI）运行时规范的 1.3 版本中，成为官方支持的平台。该版本于 2025 年 11 月 4 日发布。这一里程碑标志着 FreeBSD 的重大成就，体现了社区志愿者多年来为将云原生容器技术引入该平台所做的不懈努力。

FreeBSD 的重大进步

FreeBSD 纳入了 OCI 运行时规范，是个分水岭式的时刻，使 FreeBSD 成为现代云原生工作负载的一级平台。官方的 OCI 支持意味着 FreeBSD 用户现在可以放心地利用完整的容器工具和编排平台生态系统，因为他们使用的是标准化、厂商无关的规范。对于已经在生产环境中运行 FreeBSD 的组织来说，这为采用符合行业标准的容器化应用部署策略打开了大门，使 FreeBSD 成为云基础设施、边缘计算和企业部署的更具吸引力的选择。

基于 FreeBSD 虚拟化传统的扩展

新增的云原生容器支持，进一步强化了 FreeBSD 已经非常成熟的虚拟化能力，尤其是强大的 FreeBSD jail 技术——它已成为 FreeBSD 二十多年来的基石。实际上，FreeBSD 上的 OCI 容器是通过 jail 作为底层隔离机制实现的，将 jail 的安全性和资源管理优势与符合 OCI 标准的容器可移植性和生态系统优势结合在一起。这种技术结合为 FreeBSD 用户带来了两全其美的体验：既有 jail 所具备的轻量、安全隔离，又拥有容器在现代软件开发中广泛普及的标准化工具链和镜像格式。

凝聚多年努力的社区成果

这一成就凝聚了由志愿者 Doug Rabson 领导的长期开发工作，并得到了来自 OCI 社区、FreeBSD 项目以及 FreeBSD 基金会众多贡献者的支持与合作。实现官方 OCI 支持的历程包括以下几个关键里程碑：

2021 年：Samuel Karp 发布了 runj，这是 FreeBSD 的首个 OCI 运行时，并支持 containerd，证明了在该平台上运行 OCI 容器的可行性。
2022 年：Doug Rabson 为 Buildah 和 Podman 添加了 FreeBSD 支持，这两个关键的容器管理工具的改进要求对 FreeBSD 内核进行重要修改，以满足 OCI 运行时规范的要求，为今天的正式认可奠定了基础。
2024 年：Dave Cottlehuber 领导将 FreeBSD 官方 OCI 镜像纳入的工作，首次出现在 FreeBSD 14.2 中，可在 Docker Hub 和 GitHub Container Registry 上获取这些镜像。
2025 年：Doug Rabson 领导将 FreeBSD 作为平台添加到 OCI 运行时规范中的工作，该支持在 v1.3 版本中正式提供。

FreeBSD 基金会借此机会感谢 Samuel Karp 与 Doug Rabson 在推动此项计划中所付出的不懈努力，同时向所有为使 FreeBSD 成为完全受支持的 OCI 平台而作出贡献的人员致以诚挚谢意。

展望将来

随着官方 OCI 运行时规范支持的确立，FreeBSD 比以往任何时候都更有能力满足现代基础设施与应用开发的需求。我们期待看到社区如何利用这一能力，在 FreeBSD 上构建创新解决方案。

确保最新动态：

FreeBSD 已实现可重复构建及无 root 权限构建

FreeBSD now builds reproducibly and without root privilege
2025 年 10 月 27 日

FreeBSD 基金会很高兴地宣布，FreeBSD 现已完成无需 root 权限即可进行构建的工作。我们已经为所有源代码的发布构建实现了无 root 基础设施支持，彻底消除了在 FreeBSD 发布流水线中使用 root 权限的需求。此项工作是由 Sovereign Tech Agency（主权技术基金）委托的项目的一部分。

上述更改目前已在 FreeBSD 开发分支中实现，并将在可能的情况下合并到 FreeBSD 15.0 的发布（RELEASE）分支中。

现在，在构建 FreeBSD 发布产物时，无需 root 权限即可创建设备文件、设置正确的文件所有权及挂载文件系统。这一改进提升了安全性，并简化了自动化构建过程。

现在，每份 FreeBSD 发布产物都能在无 root 权限的情况下完成构建：

适用于 U 盘与 CD/DVD 安装介质的双模式 ISO 镜像
适用于可引导 U 盘的 Memstick 镜像
适用于虚拟机部署的 VM 镜像
适用于 AWS、Azure 等云平台的云磁盘镜像

消除了构建流水线中对 root 权限的依赖，减少了攻击面和权限提升的风险。这使得构建环境更加安全与灵活，无论是官方基础设施还是社区贡献者都能从中受益。

可重复构建

与无 root 工作并行，FreeBSD 还引入了多项改进以提升构建的可重现性——确保相同的源代码输入始终能生成逐字节完全一致的二进制输出。这些更改覆盖了操作系统本身、发布工具链以及完整的构建过程。

主要改进包括：

消除或标准化时间戳
文件列表、包元数据等内容的稳定排序
一致的构建环境，包括调试路径与区域设置
在诸如文件系统镜像创建工具 mkimg(1) 等构建工具中实现可重现产物支持

可重复构建增强了整个软件供应链的完整性与透明度。它能够实现可验证的信任、改进调试与审计流程、简化持续集成，并有助于长期可维护性。

现在，FreeBSD 可以在无特权容器或受限环境中运行持续集成系统与自动化构建基础设施。在本地系统上，贡献者们也能够无需提升权限即可完整构建 FreeBSD RELEASE 版本。

FreeBSD 现已能够在无需 root 权限的情况下安全、可重现地完成构建。它更快、更安全、更透明——让任何人、在任何地方，都能以信任的方式构建 FreeBSD。

Mark Johnston 的 BSDCan 2025 旅行报告

原文：BSDCan 2025 Trip Report – Mark Johnston
2025 年 7 月 11 日
作者：Mark Johnston

FreeBSD 基金会赞助我前往渥太华参加 BSDCan 2025 会议及 FreeBSD 开发者峰会。如往常一样，开发者峰会在 6 月 11 日和 12 日举行，为期两天，随后在 13 日和 14 日举办正式会议。按照惯例，我从多伦多乘火车前往渥太华参加 BSDCan，这次带来了我的 ARM Morello 台式机，以便在 Brooks Davis 关于 CHERI 的演讲中使用，并演示将其支持回溯到 FreeBSD。Ed Maste 善意地帮我运送了设备，这让我的行程轻松许多；回程时，我不得不将其放在超大行李箱中随火车携带。我以前从未尝试过这样运输台式机，当我回家后发现它仍然可以正常启动时，我感到相当安心。

开发者峰会的第一天主要以演讲为主，中间安排了充足的休息时间，方便大家交流或进行一些副项目开发。会议期间，我通常会在休息时间和晚上在 90U 的黑客休息室处理一个到两个小项目，这次是针对内核调试的 GDB 脚本，灵感来自与我们尊敬的 pf 维护者 Kristof 的讨论。撰写本文时，我还未完成会议期间想要完成的工作，但很快会完成。

第一天早上的主要亮点是例行的核心小组动态，会中 FreeBSD 核心小组的成员汇报了各类议题。特别引起我注意的是关于在 FreeBSD 项目中使用基于 LLM（大型语言模型）的编程工具的草案政策。简单总结，该政策禁止将 LLM 生成的代码纳入项目，但允许在开发过程中以其他方式使用 LLM，例如帮助审查补丁、撰写提交信息或其他非显式许可的内容。该政策旨在避免将来源不明的代码“污染”FreeBSD 项目，众所周知，许多 LLM 模型训练数据中包含与 BSD 许可不兼容的代码，目前法律上尚缺乏明确先例表明将其输出纳入项目是绝对安全的。

表面上看，这似乎是合理的政策：它试图在保持项目许可完整性（对重要的 *BSD 用户吸引力很大）与使用新工具辅助开发之间取得平衡。尽管近期 LLM 编程的热度略显夸张，我确实发现它们在某些工作类型中很有用[*]。在随后的讨论中，我对会议室中普遍持消极态度感到有些失望。然而，核心小组的做法公平公正，也与其他大型开源项目保持一致，我对未来几年开发者的动态很感兴趣。我的个人观点是——撇开许可问题——我们应鼓励资深开发者在愿意的情况下尽可能利用 LLM。长期从事 OSS 的开发者已经习惯于审查和修改非自己编写的代码，我认为这种怀疑精神足以对低质量 LLM 输出进行把关。

午餐后，Verisign 的 Rick Miller 发表了关于在核心互联网 DNS 基础设施中使用 FreeBSD 的深度防御策略的演讲。他讲解了操作系统多样性在提升安全性方面的作用，以及为什么 FreeBSD 是其中一个理想候选操作系统。作为此策略的一部分，Verisign 在其基础设施中同时使用 Linux 和 FreeBSD，并在不同操作系统上使用不同的应用框架，以进一步降低对单一技术栈的依赖。具体来说，虽然 Verisign 的应用在 Linux 上使用 DPDK，在 FreeBSD 上可以使用 Netmap 框架实现类似的底层网络硬件访问。Rick 还介绍了 Linux 与 FreeBSD 各自存在的内核安全漏洞，但我认为大多数 CVE 级别的内核漏洞高度依赖操作系统，尤其是内存安全漏洞。Verisign 对此策略的全面投入令人印象深刻，我希望未来能看到更多类似案例。

在 Rick 的演讲之后，我和其他 FreeBSD srcmgr（源代码管理）团队成员做了类似早晨核心小组动态的报告，介绍了源代码管理团队的工作及正在解决的问题。特别值得注意的是，我们呼吁潜水者（lurkers）加入团队并参与会议，即便不是正式成员，也能参与源代码管理的讨论及 bug/PR 分拣工作。我们收到了许多感兴趣的开发者反馈，现在几周后，源代码管理的双周会议参与人数从通常的四人增加到九人。

开发者峰会第二天，我参加了 Brooks Davis 有关 CHERI 的演讲，以及将其支持回溯到 FreeBSD 的动机。整个演讲使用我从多伦多带来的 ARM Morello 系统；KDE 桌面堆栈直到用于渲染幻灯片的 PDF 查看器都运行在纯 capability 模式下，所有 C 指针都用 CHERI 能力表示。在此模式下，许多内存安全漏洞会导致应用以确定性崩溃关闭，而非暴露给利用。Brooks 介绍了几个正在进行的商业 CHERI 硬件项目，通常基于 RISC-V，并讲解了从 CheriBSD 上游到 FreeBSD 的路径。CheriBSD 含有一些大规模改动，其中部分无法上游；混合模式下，内核作为典型 aarch64 二进制运行，同时支持纯 capability 用户空间应用。这些补丁较为 hack，需要对内核操作的所有用户空间指针进行显式标注。演讲中，Brooks 还展示了若干 CHERI 特性，尤其是 CheriBSD 的基于库的隔离（c18n）。

在主会议期间，我参加了不少精彩演讲，个人亮点包括：

ELF Nightmares, GOTs, PLTs and Relocations Oh My – John Baldwin 展示了 ELF 二进制执行过程中静态和运行时链接器使用的数据结构，涉及 PLT 函数调用间接跳转等复杂概念，并提供了出色的可视化演示，有助于理解。
ABI Stability in FreeBSD – ShengYi Hung 介绍了新工具 ctfdiff，可比较两个文件的 CTF（Compact C Type Format）数据，检测类型定义和函数签名差异，辅助判断内核变更是否影响出树内核模块的二进制接口。演讲后，围绕如何使用该工具展开了热烈讨论，我提出了比较内核模块与目标内核 CTF 类型图的方法，以减少误报。
Improvements to FreeBSD KASAN – Zhuo Ying Jiang Li 分析了 FreeBSD KASAN 实现的若干不足，并提出解决方案。KASAN 利用编译器插装和小型运行时组件检测内核内存安全漏洞。她指出两个主要问题：一是 UMA slab 中对象间未插入填充，二是已释放对象未隔离，这会降低 KASAN 检测 use-after-free（UAF，释放后重用漏洞）的能力。她提出通过修改 UMA 解决这些问题，并讨论了利用现有 UMA 特性进行优化的策略。我期待这些补丁尽快被上游采纳。

非常感谢 FreeBSD 基金会赞助我的此次行程。

[*] 不管怎样，此报告均未借助大型语言模型辅助撰写。

FreeBSD 爱好者团结起来支持新兴项目 zVault——社区分支继 TrueNAS CORE 之后继续发展

原文：FreeBSD fans rally round zVault upstart
作者：iconLiam Proven
2025 年 5 月 12 日

TrueNAS 依然活跃健康，但 iXsystems 已将重点转向基于 Linux 的 SCALE 版本。对于仍然坚持使用 CORE 的 FreeBSD 忠实用户来说，新的竞争者正在崛起：zVault。

zVault 项目是一款基于 FreeBSD 13.3 的全自由开源操作系统，专为网络附加存储（NAS）服务器设计。该项目刚刚发布了第二个预览版本，解决了首个预览版本中存在的一些知识产权问题。目前这仍是预览版本，我们绝对不建议将任何重要数据存储在上面，但这是一个令人鼓舞的信号。

正如我们的，iXsystems 已将其基于 FreeBSD 的 NAS 操作系统 TrueNAS CORE 转入维护模式。其继任产品是，该版本以 Debian Linux 作为底层操作系统，而非 FreeBSD。公司强调，“没有人会因为转向 Debian 而被‘遗弃’”，这是它对 The Register 旗下 Blocks & Files 网站的说法。事实上，借助 ZFS 的 ——完整且可启动的操作系统快照——甚至可以在原地将 FreeBSD 版本迁移到新的 Linux 版本。

但如果你不想在存储服务器上运行 Docker 容器，或者不想将存储集成到 Kubernetes 集群中，那么好消息来了：zVault 已经接手了 TrueNAS CORE 的最终 FreeBSD 版本。

zVault 在二月底发布了，但 iXsystems 的 Kris Moore 针对此版本，声称其中包含了 iXsystems 的知识产权，随后 zVault 项目撤回了该 ISO 镜像。现在，zVault 团队正在努力剥离 iXsystems 的残留部分，移除所有剩余的专有文件，力求打造纯自由开源版本。

FreeBSD 博主 Vermaden 发布了更新，表达了一些 FreeBSD 社区成员对 iXsystems 此举的看法，标题为“”。这篇更新是对他们去年发布的文章“”的补充。文章中附带了一张截图，显示第一个版本中有超过 50 个文件涉及了 TrueNAS 企业许可协议的内容，。

zVault 项目主页上的相对简单。第一步：发布一个可用版本；第二步：发布稳定版本；第三步是更新到 13.5 版本；第四步则是在此基础上切换到当前的 FreeBSD 14。

与此同时，还有，它基于早期的 FreeNAS 版本继续开发，早于 iXsystems 的介入，没有后者投入的现代化改进。它的部署比 TrueNAS CORE 要复杂些，网页界面也明显不如 TrueNAS CORE 精致，但它依然存在，能用，并且持续获得更新。 ®

从 PlayStation 到路由器，你很可能一直在使用 FreeBSD 而不自知

原文：
作者：iconLiam Proven
2025 年 4 月 28 日

先有操作系统，后建基金会——那么基金会到底在做什么？

采访过 许多开源自由软件项目由非营利基金会支持。FreeBSD 基金会就是其中一个例子，FreeBSD 基金会由 Meta 软件工程师 Justin T Gibbs 创立。他在接受 The Register 采访时谈到了 FreeBSD 的版权理念、基金会的职能以及其重要性。

2024 年 11 月

主权科技基金将投资 68.64 万欧元用于 FreeBSD 基础设施现代化

原文地址：Sovereign Tech Fund to Invest €686,400 in FreeBSD Infrastructure Modernization

2024 年 8 月 26 日

投资将加速零信任构建、软件物料清单（SBOM）、安全工具和开发者体验的提升

2024 年 8 月 26 日，科罗拉多州博尔德市 致力于推动开源 FreeBSD 操作系统发展及支持社区的 FreeBSD 基金会宣布，德国主权科技基金（Sovereign Tech Fund，STF）已同意向 FreeBSD 项目投资 68.64 万欧元，以推动改进基础设施、安全性、合规性及开发者体验。

由 FreeBSD 基金会组织和管理的这一工作将于 2024 年 8 月开始，并持续到 2025 年，主要涉及以下五个关键项目：

零信任构建：改进工具和流程
自动化 CI/CD：优化软件交付与操作
偿还技术债务：实施工具和流程以减轻技术债务
安全控制：现代化、加固安全工件，如 FreeBSD Ports 和软件包，助力合规性
改进 SBOM：优化和实施 FreeBSD 软件物料清单（SBOM）的新工具和流程

开发者是每个开源项目的核心。主权科技基金对 FreeBSD 基础设施的投资将确保开发者的一流体验，同时维护和扩展 FreeBSD 以其闻名的安全性和数字主权。

德国主权科技基金委托的工作与美国国家网络总监办公室（ONCD）于 2024 年 8 月 9 日发布的密切相关。该报告整合了 2023 年有关加强开源软件生态系统安全的关键优先事项的反馈意见。通过增强安全控制和 SBOM 工具，FreeBSD 基金会帮助确保 FreeBSD 在改进漏洞披露机制和软件安全基础方面处于前沿。

“主权科技基金很高兴赞助 FreeBSD 项目，”德国主权科技基金联合创始人 Fiona Krakenbürger 表示。“这一针对关键数字基础设施的投资将加速 FreeBSD 的现代化，提升安全性并改善开发者体验。FreeBSD 的广泛应用意味着这些改进将在全球公共部门、研究领域以及商业用户中产生深远影响。我们很高兴为其持续现代化做出贡献，以更好地服务于公共利益和 FreeBSD 社区。”

“我们非常感谢主权科技基金的这笔重要投资，这将进一步提升 FreeBSD 开发者和用户的安全性及基础设施。”FreeBSD 基金会执行董事 Deb Goodkin 表示，“在过去的 30 年中，FreeBSD 项目始终处于开源安全性、兼容性和可靠性的前沿。各国政府越来越认识到开源项目如 FreeBSD 在共享数字基础设施中发挥的重要作用。这项主权科技基金委托的工作将为面临新法规的商业用户，以及公共部门、学术界和个人用户，提供必要的透明度、可审计性和信任。”

关于主权科技基金（STF）

主权科技基金（）支持开放数字基础设施的开发、改进和维护，以服务公共利益。其目标是可持续地加强开源生态系统，关注安全性、兼容性、技术多样性以及代码背后的人。主权科技基金由德国联邦经济事务和气候行动部（BMWK）资助，并由德国联邦颠覆性创新署（SPRIND）主办和赞助。

如何参与：

FreeBSD 基金会承诺保持透明和协作的沟通。将通过已建立的公共渠道发布全部公告和更新。如有问题或者希望参与潜在的咨询委员会，为主权科技基金资助的工作提供反馈和指导，请联系 [email protected]。

关于 FreeBSD 基金会

FreeBSD 基金会是一家 501(c)(3) 非营利组织，致力于支持 FreeBSD 项目和社区。基金会接受个人和企业的捐赠，用于开发功能、雇佣软件工程师、改进构建和测试基础设施、通过线上和线下活动宣传 FreeBSD，以及提供培训和教育材料。基金会还代表 FreeBSD 项目处理法律事务，是合同、许可和其他法律安排的公认实体，完全依赖捐赠支持。了解更多信息，请访问。

2024 年 7 月

讣告——Michael "Mike" John Karels

点击此处可以观看弥撒的录制视频。

原文位于 https://www.gearty-delmore.com/obituaries/michael-mike-karels（网上扫墓）

Michael "Mike" John Karels（1956 年 8 月 2 日 - 2024 年 6 月 2 日），享年 67 岁，来自伊甸草原。

Michael 于加拿大渥太华因突发心脏病猝然离世。仅余他挚爱的妻子 Theresa“Teri”（娘家姓 Spartz）仍在人世间；女儿 Sarah 及其男友 Ivan Munkres、姐妹 Colleen (Stuart) Lind、Mary Beth (Brad) Schleif 和 Katherine Karels、兄弟 Eugene (Ann) Karels 以及许多家人和朋友，包括他的父母 Patricia 和 Charles Karels 都在他之前去世了。

Michael 毕业于圣母大学（即诺特丹大学），取得微生物学学士学位，并在加州大学伯克利分校完成了研究生学业。在攻读博士学位期间，他接触到了计算机，使他的兴趣发生转向。他最终成为了一名软件工程师，并在 BSD UNIX 历史上扮演了重要角色，这是现代计算史上一个重要的里程碑。通过在伯克利大学的工作，他为早期互联网的实现做出了贡献，为现代网络奠定了基础。他是《4.4 BSD 操作系统的设计与实现》的作者之一，这是该领域的重要著作。”

在完成伯克利的学业后，他曾在多个组织担任高级首席工程师，包括风河公司、安全计算公司、迈克菲、英特尔和 Forcepoint。2021 年他退休了，并将时间和才能倾注于为 FreeBSD（一款免费操作系统）做志愿工作。尽管他在相关领域取得了成功并占据重要地位，但 Michael 被人描述为是一个非常谦逊、有耐心和善良的人，并且乐于与他人分享知识。”

除了在工作上取得的成功，Michael 还是他的家庭中的关键一员，他是个乐于奉献，能支撑的儿子、兄弟、丈夫及父亲。从小，他就承担着额外的责任，在许多方面带领、帮助和指导家庭成员，但他总是以善良、坚持和智慧来面对这些。

Michael 也是一位热情的环保主义者。他对自然的热爱始于早年与家人的野营之旅，其中在冰川国家公园独自过夜的经历成为他成长中的深层记忆。这份热情随着时间的推移而增长，成年后的他成为了许多环保组织的积极支持者，致力于对抗气候变化，并在当地参与清除植物入侵物种的工作。他和妻子最后一次同游国家公园是在 2023 年秋，他们观光了大峡谷和锡安国家公园。

多年来，他的爱好各异，比如音乐和摄影。他的音乐品味多样，从杰思罗·塔尔乐队到贝多芬再到戴夫·布鲁贝克。他对摄影的兴趣始于高中时期，他在其童年卧室里搭建了自己的暗室，并随之进入了现代摄影和数码单反相机时代。在圣母大学就读期间，他担任了校园广播电台的站长，白天播放古典音乐，晚上拍摄巡演的摇滚乐队。

Michael 原本期盼着在退休后的余生中进行编程、改善家居环境，并见证女儿从医学院毕业并成家。他的离世使家人和朋友乃至整个科技界都倍感遗憾。

6 月 18 日（周二）上午 11:00 在 Pax Christi 天主教社区举行基督葬礼，地址：Eden Prairie，12100 Pioneer Trail。

Michael 将安眠在 Pleasant Hill 公墓。

6 月 17 日（星期一）下午 5:00 至 8:00 在 Gearty-Delmore Park 殡仪馆（地址：St. Louis Park，3960 Wooddale Avenue South）举行追思会，其中包括下午 6:30 的回忆时光（弥撒前一小时在教堂举行）。

祭奠活动请优先考虑捐赠至 Free BSD 基金会；3980 Broadway Street; STE #103-107; Boulder, CO 80304 或捐款至环境保护基金会（EDF）。

2023 年 12 月

什么是开发播客？FreeBSD 项目的演变

原文链接：
译者：Canvis-Me & ChatGPT

基金会执行董事 Deb Goodkin 在中和《SD Times》的主编 David Rubinstein 一起谈论了 FreeBSD 的 30 周年纪念，以及这些年它是如何成长和变化的。

TalkDev：探索开源的未来

原文链接：
译者：Canvis-Me & ChatGPT

2023 年 10 月 27 日

基金会执行董事 Deb Goodkin 与上就 FreeBSD 的现状进行了深入探讨，消除了人们对开源软件的常见误解，讨论了 FreeBSD 在日益重要的安全领域中所扮演的角色，并展望了开源生态系统的未来。

为什么选择 FreeBSD？Metify 展示迁移到 FreeBSD 如何对两个新产品进行增强

原文链接：
译者：Canvis-Me & ChatGPT

2023 年 11 月 2 日

FreeBSD 厂商峰会始终是一个绝佳的机会，让人更深入地了解公司是如何以及为何使用 FreeBSD。Metify，这家背后是屡获殊荣的 Mojo 平台的公司，将在今年的峰会上展示两款创新产品，为大家提供这样的机会。

Metify Mojo 是一个虚拟设备，可以从所有地方被发现、配置和维护服务器。Metify 的首席技术官 Ian Evans 将讨论 FreeBSD 在创建 Mojo 中的关键角色。

2023 年全球开放大会报告

原文链接：
作者：Drew Gurkowski
译者：Canvis-Me & ChatGPT

2023 年 11 月 14 日

在上个月，我前往北卡罗来纳州的罗利参加了 2023 年的 All Things Open 大会。虽然基金会过去曾在展台设有工作人员，但这是我第一次亲自参加这个会议。我在会议前一天飞到了罗利，并在设置基金会展台之前有时间参观了这个城市。我结束了这一天，尝试了我的第一顿北卡罗来纳烤肉，真是让人满意！

2023 年 9 月

认识 2023 年参与 FreeBSD 谷歌编程之夏项目的学生：Soobin Rho

原链接：Meet the 2023 FreeBSD Google Summer Of Code Students: Soobin Rho
发布日期：2023-8-24
译者：ykla & ChatGPT

自从 2005 年谷歌编程之夏项目创立以来，FreeBSD 项目很自豪地参与其中。随着 2023 年季节即将结束，基金会请几位我们的学生分享更多关于他们自己以及他们与该项目合作经验的信息。

问：请简单介绍一下你自己，以及你在教育旅程中的进展。

我是 Soobin Rho，这是我在南达科他州的奥古斯塔纳大学的第三个学年，预计于 2025 年毕业。我主修哲学、数学和计算机科学。

我出生于韩国，在迪拜长大，几年前来到美国上大学。我的目标是白天在一家有使命感的优秀公司工作，然后在空闲时间做我真正关心的事情，比如为环境和可持续性开展开源项目。

问：你以前有参与过谷歌编程之夏项目吗？

没有，2023 谷歌编程之夏是我第一次参与。我是在 Hacker News 上第一次听说谷歌编程之夏的。其中一条评论提到 FreeBSD 是参与的开源项目之一。所以，我就申请了。我从 FreeBSD 维基的谷歌编程之夏项目创意列表中选择了我的项目。

问：你为什么想与 FreeBSD 合作？

我尝试过很多操作系统（虽然我不会逐一列举）也尝试过很多桌面环境。然而最终，至少目前来说，我决定我最喜欢的编码环境是没有桌面环境，只有终端的 FreeBSD 加上 vim 和 tmux。

当然，每当我需要使用图形界面时，我会不时地回到其他操作系统。尽管如此，它就是感觉对了。我所有的开发工作都是通过 FreeBSD 进行的。加入 2023 谷歌编程之夏是我第一次为 FreeBSD 做贡献，但我也打算继续作为贡献者，并继续维护 mfsBSD 集成。

问：请简要介绍一下你的谷歌编程之夏项目。

说到 mfsBSD，这是由 Matuska 于 2007 年创建的，mfs 代表内存文件系统。基本上，一旦你在系统中安装了 mfsBSD 并引导到它，整个操作系统现在都在内存文件系统下运行。这意味着你现在可以做很多事情，比如恢复操作和系统诊断。特别是，我对 mfsBSD 的最喜欢用途之一是用于我的一台只有一块硬盘的笔记本电脑。我可以在硬盘中引导 mfsBSD，然后在我安装了 mfsBSD 的特定的硬盘上安装 FreeBSD。由于 mfsBSD 中的每个文件都被移动并加载到内存文件系统中，甚至可以删除原始磁盘，并使用 mfsBSD 中的 bsdinstall 完全覆盖为全新的 FreeBSD 实例。

我的项目将 mfsBSD 集成到 FreeBSD 发布工具集中，这样 mfsBSD 镜像（.img 用于光盘，.iso 用于光盘）现在将在 FreeBSD 主页上提供。【注 1】

问：到目前为止，你从这个经验中学到了什么？

在接手这个项目之前，我对 MAKE(1) 一无所知。阅读 /usr/src/Makefile 和 /usr/src/release/Makefile 对我帮助很大。此外，阅读 /usr/src/release/Makefile.vm 非常有价值，事实上，我很多的代码都是基于这些 make 文件的。

问：与 FreeBSD 项目合作的经历如何？

有趣而令人兴奋！每周与我的导师 Joseph Mingrone 和 Juraj Lutter 进行会议很有趣。看到我的代码生成了我自己可以使用的 mfsBSD 镜像，以及为所有需要的其他人生成的镜像，这让我感到兴奋。

认识 2023 年参与 FreeBSD 谷歌编程之夏项目的学生：Aymeric Wibo

原文链接：
发布日期：2023-8-29
译者：ykla & ChatGPT

自从 2005 年谷歌编程之夏项目创立以来，FreeBSD 项目很自豪地参与其中。随着 2023 年季节即将结束，基金会请几位我们的谷歌编程之夏学生分享更多关于他们自己以及他们与该项目合作经验的信息。

认识 2023 年 FreeBSD 谷歌编程之夏的学生：Sudhanshu Mohan Kashyap

原文地址：
发布日期：2023-8-29
译者：ykla & ChatGPT

自 2005 年以来，FreeBSD 项目一直以参与谷歌编程之夏计划为傲。随着 2023 季接近尾声，基金会要求我们的一些 GSoC 学生分享更多关于自己以及他们与项目合作的经验。

认识 2023 年夏季滑铁卢大学合作学生：Naman Sood

原文链接：Meet The Summer 2023 University of Waterloo Co-Op Student: Naman Sood
发布日期：2023.9.7
译者：ykla & ChatGPT

FreeBSD 基金会继续与滑铁卢大学合作项目成功合作。自 2017 年以来，我们已经招募了 15 名实习生，其中一些人已经回来做过多次实习。我们还有两名实习生成为了正式的贡献者，许多人继续为项目做出贡献。今年夏季合作学生生是 Naman Sood，我们坐下来与他聊了聊，了解他以及他选择为 FreeBSD 工作的原因。

姓名： Naman Sood

问：请简要介绍一下自己以及你的教育经历。

我来自印度，2019 年来到加拿大就读滑铁卢大学，主修计算机科学。目前我已经读到了第四年的一半，计划于 2024 年春季毕业。

问：你已经参加了多少次合作实习？

FreeBSD 是我第五次的合作实习。

问：为什么你想要在 FreeBSD 基金会工作？

我一直喜欢编写与计算机硬件的内部机制有关且为其他程序提供良好接口的底层代码。FreeBSD 基金会为我提供了一个特殊的机会，可以实际参与到全世界的人们使用的实际系统的开发中，而这种工作正是我所热衷的。此外，在开源生态系统中工作的经历对我来说是一个难得的学习机会，使我更加自如地为我每天使用的软件做出贡献。

问：你希望从这个实习中学到什么？

我最想从这个实习中获得的经验是在一个真正的、可用于生产的操作系统内核上进行一些“hack”活动的经验。我所在大学的操作系统课程非常出色，但更多地是对整体概念的引导。它没有涉及到我认为使在底层级别工作变得有趣的许多复杂细节，而 FreeBSD 则为我提供了在这种环境下工作的实践和经验。

问：你目前在做什么工作？

我目前正在尝试将 FreeBSD 的 VPS 子系统（）从 FreeBSD 10 移植到 14，具体来说，我正在考虑将 TCP 检查点和跨进程故障转移进行移植。例如，如果你有一个多进程的 Web 服务器，其中一个进程崩溃，它可以将其 TCP 连接移交给另一个进程。从客户端的角度来看，即使面对此故障，也可以继续正常运行。

问：到目前为止，你对 FreeBSD 的经验如何？

非常好！在这个大型的、由志愿者推动的开源软件项目中，自然会出现技术和社交方面的挑战。但这些挑战正是我来这里应对的，我在我的工作中得到了非常有益和愉快的经验。

2023 年 9 月以前

zfs 速查手册

原文链接：OpenZFS Cheat Sheet
作者：Benedict Reuschling ([email protected])
原发布时间：2025 年 3 月

存储池配置

单个磁盘 无冗余，挂载为 /mypool，无需在 /etc/fstab 中添加条目。

条带（RAID-0） 无冗余，任意一块磁盘损坏都会导致数据全部丢失。性能高，可用容量为所有磁盘总和。

镜像（RAID-1） 可承受一块磁盘损坏，VDEV 在 zpool status 输出中显示为 mirror-0，可并行读取所有磁盘，写入速度较慢，总容量低于 RAID-0。

双奇偶校验（RAID-Z2） 每个 VDEV 可承受 2 块磁盘损坏，比 RAID-Z1 慢，至少需要 4 块磁盘，可用容量约为 50%。

RAID10 至少需要 4 块磁盘，每个 VDEV 可承受 1 块磁盘损坏，读速快，写速为单个磁盘的一半，容量为 50%。是冗余性、容量和性能的良好折中方案。

三奇偶校验（RAID-Z3） 比 RAID-Z2 稍慢，每个 VDEV 可承受 3 块磁盘损坏，至少需要 5 块磁盘，可用容量约为 40%。

显示存储池状态

显示存储池状态【包括磁盘配置、错误信息、适用的更新、上次 scrub 时间（若有）】

显示存储池容量、已用空间和可用空间

显示存储池 I/O 统计信息

选项：

-v 显示各个设备
-w 显示 I/O 延迟
-r 显示请求大小直方图

显示存储池的管理命令历史

选项：

-l 详细格式
-i 仅显示事务组等事件

获取存储池属性及其值，并可使用 zpool set 修改默认值

特殊 VDEV

二级 ARC（L2ARC）

ZFS 意图日志（ZFS intent log, ZIL）

备用盘（Spare）

备用盘在替换故障磁盘之前不会参与 I/O 操作，可以由手动操作或外部故障管理软件触发替换。使用关键字 spare 添加备用盘。

存储池扩展

将单磁盘存储池转换为 RAID1

为单磁盘存储池设备 /dev/nda0 添加镜像磁盘 /dev/nda1：

替换故障磁盘

将存储池中的故障磁盘 /dev/nda2 替换为设备 /dev/nda3：

存储池导入/导出

导出存储池

完成 I/O 操作后，从文件系统层次结构中卸载存储池。可在其他系统上导入以恢复存储池状态。

导入存储池

将存储池导入当前系统。

扫描 ZFS 存储池标识
通过 ID 或名称导入存储池
重命名存储池
在不同路径下挂载已导入的存储池（防止覆盖现有存储池）

ZFS 数据集

将创建一个名为 test 的存储池和数据集，顶级数据集将挂载为 /test，并可包含子数据集。

创建数据集

创建一个名为 ds 的新数据集，大部分属性继承自父数据集：

创建多个数据集：

显示数据集信息

列出已用空间、可用空间和挂载点

按 ZFS 路径显示数据集

列出数据集及其子数据集

限制显示数据集的层级深度

仅显示数据集名称

移除输出头部

修改显示顺序

按列排序

倒序排列

显示存储池可用空间

列出每个数据集及其子数据集的可用空间和已用空间，包括快照和任何预留空间：

推荐：使用该命令代替 df -h。

重命名数据集

重命名数据集或在存储池层次结构内移动数据集，类似于 Unix mv 命令：

销毁数据集

模拟销毁（不会执行实际删除）：

输出：

执行销毁并显示结果：

输出：

递归销毁数据集及其子数据集：

属性管理

数据集通过继承父数据集的大部分属性来提高灵活性。子数据集可根据需要覆盖这些属性。仅可更改 SOURCE 列中的默认属性，存储池的属性规则相同。

显示属性

多种方式可以查看存储池和数据集的属性：

查看存储池的属性
查看数据集的属性
查看单个属性（容量）
查看多个属性（容量与健康状态）

修改属性

禁用访问时间更新（可提高性能）：
更改挂载点：

自定义属性

可为数据集定义自定义属性（key=value），数据集会继承这些属性，但可更改其值。

创建自定义属性：
列出自定义属性：
重置属性值（继承父级值）：
删除自定义属性（递归删除）：

数据完整性检查（Scrub）

ZFS 在数据存储时会计算并存储校验和，覆盖整个数据集层次结构。I/O 错误、驱动故障、内存损坏、损坏的电缆等因素可能导致校验和不匹配。

如果存储池具有足够的冗余（如镜像或 RAID-Z），ZFS 可以检测到这些错误并自动修复（自我修复）。

建议 每月运行一次 Scrub，重新计算校验和。如果发现数据损坏，ZFS 会从冗余 VDEV 获取正确的数据并修正错误。

启动 Scrub：

查看 Scrub 进度和错误信息：

ZFS 无需 fsck，因为 ZFS 自带数据完整性检查机制。

卷（Volumes）

ZFS 卷使用连续的存储池空间，并可通过 iSCSI 在网络上导出。当使用非 ZFS 文件系统格式化卷时，该文件系统仍可自动利用 ZFS 的底层功能。

创建卷

创建一个 10GB 的 ZFS 卷：

创建稀疏卷（Sparse Volume）

稀疏卷是 超分配 的卷，不会立即占用预留空间，而是随着数据的增长逐步填充。

创建一个 1PB（1 PB）稀疏卷：

配额（Quota）

每个数据集默认可以使用整个存储池的空间。配额用于限制数据集的最大存储量。ZFS 严格执行配额限制，任何超出配额的写入都会被阻止。

定义配额

ZFS 默认无配额。可使用 zfs set 命令为特定数据集设置配额：

该配额适用于该数据集及其子数据集（包括未来创建的子数据集）。这些数据集共享配额总量。

如果仅想限制 父数据集本身，不影响子数据集，则使用 refquota：

用户和组配额

限制特定用户的存储空间：
限制某个用户组的存储空间：

显示配额信息

查询数据集的配额：
查询 refquota：
查询用户配额：
查询组配额：

移除配额

将数据集的配额取消（refquota 也同样适用）：

预留空间（Reservation）

定义预留空间

使用 reservation 属性设置数据集的预留空间：

预留空间 会被子数据集继承。如果只想对该数据集本身生效，而不影响子数据集，则使用 refreservation：

显示预留空间

查看数据集的预留空间：
查看 USEDREFRESERV 列中的预留空间：

移除预留空间

将 reservation 或 refreservation 设为 none：

快照（Snapshots）

快照提供了一种 快速保存数据集只读状态 的方法，可用于恢复数据集到特定时间点的状态。无需回滚整个快照，也可以单独恢复其中的文件。

ZFS 通过 .zfs 目录提供只读访问，可从快照中读取文件。

创建快照

创建快照：
简写命令：
递归创建快照（包含所有子数据集）：

显示快照

列出所有快照：
列出数据集及其所有子数据集的快照：

显示自上次快照以来的写入数据量

written 属性显示自上次快照以来写入的数据量。
配合 used 和 referenced 属性可以直观查看存储池空间使用情况：

比较快照

使用 zfs diff 比较当前数据集与某个快照之间的更改：

输出说明：

符号

说明

对比 两个快照 之间的更改：

快照回滚（Snapshot Rollback）

回滚操作会 丢弃当前数据集的状态，恢复到指定快照的状态。所有在该快照之后创建的数据 都会被删除。

如果要回滚到更早的快照，必须先使用选项 -r 删除所有中间快照：

挂载快照（Snapshot Mounting）

可将快照 以只读方式 挂载到文件系统：

删除快照（Snapshot Deletion）

模拟删除（Dry Run）

建议先执行 模拟删除（选项 -n）查看即将删除的内容，配合 -v 显示详细信息：

如果确认无误，去掉 -n 选项执行删除：

递归删除快照

删除指定快照及其所有子快照：

删除快照范围（Delete Range）

假设快照列表如下：

删除快照 @b 至 @d（含 @d）：
删除 @b 及其后所有快照：

快照保护（ZFS Holds）

ZFS 能为快照创建 保护标记（tag），被标记的快照不能删除。可以对一个快照添加多个保护标记，只有 所有标记都被移除 后，快照才可以删除。

创建快照保护（Hold）

递归列出快照的所有 Holds

解除快照保护（Release Hold）

克隆（Clones）

克隆是 可写的快照副本，创建的克隆数据集 包含原快照的所有数据。

创建克隆

克隆数据集的 origin 属性指向其 来源快照：

解除克隆对原快照的依赖（Promote Clone）

ZFS 不允许删除 有依赖克隆的快照。要删除原快照，必须 先提升克隆为独立数据集（promote）：

此时：

origin 属性消失
该快照成为克隆的新基础
原快照可安全删除

删除克隆（Clone Removal）

可像删除普通数据集一样删除克隆：

加密（Encryption）

ZFS 支持数据集加密，每个数据集可以有独立的密钥。一些元数据仍然保持未加密状态，以便执行 scrub 等操作。

创建加密数据集（Create Encrypted Dataset）

设置数据集的加密密码：

查看加密状态（Load Status）

获取密钥状态：

加载密钥（Load Key）

解锁数据集：

权限委派（Delegation）

ZFS 允许将 ZFS 命令的权限 委派给非 root 用户。

授权用户（Delegate Permission to User）

授予用户 joe 对 atime 属性的修改权限：

查看现有权限（Display Delegations）

撤销用户权限（Remove Delegation）

移除 joe 的 compression 权限：

授权给用户组（Delegate Permission to Group）

授予 mygroup 组 atime 属性权限：

允许用户委派权限（Delegate Permission to Delegate）

授予 jill 允许其他用户管理数据集权限的权限：

创建权限集合（Create a Set of Permissions）

创建权限集合 @myset，包含 mount、snapshot、rollback 和 destroy 权限：

应用权限集合（Use Permission Set for Delegations）

将 @myset 赋予用户 jill：

快照发送与接收（Sending and Receiving Snapshots）

ZFS 能以字节流的方式 本地和通过网络传输快照，可用于备份。

将快照写入文件（Write Snapshot to a File）

要恢复快照，可使用 zfs receive，并通过 -v 选项显示详细信息：

从快照创建数据集（Create Dataset from Snapshot）

显示传输详细信息：

不使用中间文件进行复制（Replication Without Intermediary File）

直接通过管道传输快照数据：

通过 SSH 复制（Replication via SSH）

使用 SSH 传输快照到另一台主机的 ZFS 池：

权限管理（Send and Receive Permissions）

发送权限（Send Permissions）

允许 sender 用户发送数据集：

接收权限（Receive Permissions）

接收方 receiver 需要额外的权限：

FreeBSD 日专访 BSD 守护神 Beastie

原文链接：FreeBSD Day Interview with Beastie, the BSD Daemon
发布日期：2024 年 6 月 21 日

Kim McMahon: 嗨，Beastie，谢谢你今天加入我们一起庆祝 FreeBSD 周！很荣幸有你在这里。

Beastie: 嘿，Kim！（兴奋地打响指）非常激动能来这。FreeBSD 周？更像是 FreeBSD 派对周，对吧？

Kim McMahon: 告诉我们你是怎么成为 BSD 吉祥物 Beastie 的吧。

Beastie（若有所思地摸着下巴）: 啊，BSD 守护神的历史是由两位传奇人物共同谱写的传奇！初章始于 1976 年，当时一位才华横溢的漫画艺术家 Phil Foglio 为传奇的 USENIX 会议创作了一群调皮的小红色守护神角色，他们正爬在 PDP-11 计算机的卡通形象上，象征着那些让系统保持运行的背景进程——Unix 世界中的“守护神”。那群小家伙一度非常受欢迎，印在 T 恤上！

Kim McMahon: 真有趣！然后是你出现了，Beastie？

Beastie（微笑）: 在 1984 年，约翰·拉塞特（John Lasseter），当时在卢卡斯电影公司工作，后来成为动画界的杰出人物，为一本 Unix 手册的封面画了 BSD 守护神的灰度图。这位约翰·拉塞特就是后来写作并导演了《玩具总动员》、《虫虫危机》、《玩具总动员 2》、《汽车总动员》以及《赛车总动员 2》等著名迪士尼/皮克斯电影的那位！

Kim McMahon: 哇，真是太酷了！

Beastie: 还有更酷的呢！几年后，1988 年，约翰设计了我们今天看到的，还配上了我 trusty（三叉戟）。这个设计出现在先生的一本书中，他是 BSD 世界中的一位大人物。剩下的，正如人们常说的，是历史！所以，Foglio 的那群顽皮角色铺平了道路，而约翰的设计则巩固了 BSD 守护神的形象，成为我们今天所熟知并喜爱的样子。

Kim McMahon: 作为 BSD 吉祥物，你在 FreeBSD 社区中最重要的角色是什么？

Beastie: 想象一下：我是终极啦啦队员，但还带点小恶作剧。想象我用以太网线当拨片，疯狂弹着空气吉他，一边大喊“FreeBSD！FreeBSD！耶！”特别是在调试怪问题的通宵工作中，我的任务是保持大家的士气高涨。至于领导力？我通过时尚守护神的艺术来树立榜样。代码审查？我把这交给那些巫师们，但我提供精神支持，或许还会用我的三叉戟给大家一个击掌。嘿，谁都需要一个啦啦队员，哪怕是硬核程序员！

Kim McMahon: FreeBSD 以其稳定性和安全性著称。你在充满技术混乱的环境中保持这种禅定般的心态的秘诀是什么？

Beastie: 平衡，亲爱的 Kim，平衡。在经历了一整天的代码提交后，我会在服务器房间的温暖光辉下放松，喝上一点“守护神饮品”——它就像是为压力大的守护神们调制的神奇饮品。但这还不是全部！定期进行三叉戟旋转练习出奇地有疗效（而且是绝佳的臂力锻炼）。瑜伽？没错！倒立式守护神或威严的三叉戟姿势，随你选。有时候，我甚至会在听着服务器风扇的轻柔嗡嗡声时冥想。最重要的是在数据流中找到宁静。当别人因服务器崩溃而焦虑时，我会深呼吸，调整一下我的角，提醒自己：一切都会好起来的，只要有 FreeBSD 的稳定性和一点点守护神的禅意。

Kim McMahon: Beastie，你已经在这里待了很长时间了。你是怎么跟上所有最新的技术进展的？你是不是有什么秘密的技术实验室隐藏在某个地方？

Beastie: （低声）要是有就好了！想象一下，有闪烁的灯光、成堆的服务器，还有一个机器人助手帮我拿虚拟现实头盔。唉，我这守护神可没有秘密实验室。但我的秘密武器是社区参与和古老的好奇心的完美结合。我参加所有的 FreeBSD 大会——无论是线上还是线下（那些赠品包真是太棒了！）。你会惊讶于从走廊的对话和与杰出开发者的深夜编码会议中学到什么。此外，我像饿疯的妖精看食谱一样吞噬提交日志。真是太有趣了！当我不在现场时，我就呆在 IRC 频道里，那里才是魔法发生的地方。没有什么比极客讨论更能保持头脑敏锐、角尖闪亮的了。嘿，谁能抗拒技术博客、播客和偶尔的 Twitter 讨论呢？作为 FreeBSD 家庭的一员，保持最新的动态简直是轻而易举。

Kim McMahon: Beastie 的典型一天是怎样的？是编码、开会，还是策划世界统治？

Beastie: （狡猾地笑）什么都有一点！我的早晨开始于一杯热腾腾的守护神饮品，然后进入代码世界。修补漏洞和修复内核崩溃是我醒来的方式。谁还需要咖啡，当你有激动人心的编码挑战时？到了上午中期，我已经全身心投入编码会议，头脑风暴新的功能，让 FreeBSD 变得更棒。午餐是一只手吃的，保持双手在键盘上飞舞。没错，双手并用的编码真是存在的！

Kim McMahon（挑眉）：有意思……

Beastie: 下午就是开会和社区助威的时候！无论是与开发者一起头脑风暴，在 IRC 频道虚拟地给大家击掌，还是策划下一场史诗般的 FreeBSD 大会，我都在保持社区的联系，让大家充满创意。还有，不要忘了偶尔跳一段自发的舞蹈，伴随服务器风扇混音。得保持精力充沛啊。随着一天的结束，我会回顾自己的成就，为明天制定策略。晚上的时间是……好吧，稍微计划一下世界统治。开玩笑的（大部分时候）！这是我释放创意的时候，画出雄心勃勃的项目想法，或者为 FreeBSD 想象下一个大创新。重要的是保持工作与乐趣的平衡——这是快乐守护神生活的秘诀！

Kim McMahon: FreeBSD 以其多功能性和可靠性著称。如果你要用三个形容词来描述 FreeBSD，那会是什么？为什么？

Beastie: 轻松搞定！强大、灵活和社区驱动。让我给你详细讲讲：

强大： FreeBSD 就是操作系统中的赫拉克勒斯。它能应付你扔给它的所有东西，从运行庞大的服务器到为火星上的小机器人提供动力。它是举山打海怪的软体版，且总能保持冷静。难怪它是关键任务的首选。
灵活： FreeBSD 是操作系统界的瑞士军刀。你可以将它部署在任何设备上，从桌面电脑、超级计算机到那些酷炫的联网冰箱。需要一个稳定的服务器？搞定。正在构建一个用于震撼科学计算的集群？轻松搞定。FreeBSD 是终极的多任务能手，准备迎接任何挑战。
社区驱动： 这才是魔法发生的地方。FreeBSD 社区是一群充满热情的人，做成了一切。把它想象成一个大家庭，一起编程、一起调试，偶尔还争论一下最好的文本编辑器（vi 万岁！）。这种同仁之情和共同的目标使得 FreeBSD 与众不同。如果没有这个不可思议的社区，FreeBSD 就不会成为今天这个强大的存在。

Kim McMahon: 你在技术世界中见证了许多变化。你认为在技术进化中最令你惊讶和有趣的事情是什么？

Beastie: 哦，天哪，我都不知道从哪里开始。有些瞬间真是让人瞠目结舌。但如果要我选一个，那就是互联网连接的烤面包机的崛起。说真的，谁知道我们竟然能在做早餐的时候调试内核代码？简直像是生活在科幻电影里！想象一下：你在等吐司出来，突然手机响了，收到一条提示，说你的烤面包机需要更新固件。或者更酷的是，你可以黑进你的烤面包机，调整设置，每次都做出完美的金黄吐司。简直让人瞠目结舌，而且有点好笑。

Kim McMahon: FreeBSD 被用于许多环境，从服务器到嵌入式系统。如果你可以选择成为一切类型的 FreeBSD 部署，你会选择哪个？为什么？

Beastie: 绝对是高性能服务器！处理海量数据，保持一切安全，支持无数用户，简直是守护神的激动人心的生活！想象一下，成为一个大型公司网站的支柱，每天处理数百万访客。或者为一项可能改变世界的前沿科学实验提供动力。这才是像我这样的守护神渴望的行动！

Kim McMahon: 我得问一个重要问题：你怎么看 BSD 许可证？你觉得这就像是把家里的银器送出去吗？

Beastie: BSD 许可证？更像是为每个人分发魔法三叉戟，就像奥普拉那样！“你拿一个三叉戟！你也拿一个！”当然，任何人都可以拿到并用它做任何他们想做的事，但看到他们创造出一些不可思议的东西总是令人鼓舞。想象一个每个人都能访问这些强大工具的世界，他们可以定制和改进它们来解决独特的挑战。就像一个巨大的百乐餐，每个人都带着自己最好的菜肴。你可能会分享你奶奶的秘密布朗尼食谱，但作为交换，你能品尝到一种你从未想过的融合塔克饼。再说，看着那些布朗尼大受欢迎，简直让人倍感满足！BSD 许可证的核心就是分享知识和促进创新。当有人拿着我们的代码创造出一些非凡的东西时，就像看到我们的魔法三叉戟以全新的、激动人心的方式复活。而最棒的部分？没有附加条件。你可以自由使用、修改它，并将它变成你自己的。所以，这或许不是什么“赠送家族银器”的事，而更像是赋能一个由守护神、开发者和梦想家组成的大军，共同创造魔法。谁不喜欢世界上多一点魔法呢？

Kim McMahon: 说到竞争。能分享一些关于与其他吉祥物的友好竞争或有趣轶事吗？比如 Linux 的 Tux（译者注：Linux 那只企鹅）、微软 Windows 的 Clippy（译者注：Office 那只回形针：大眼夹），甚至……苹果的？

Beastie: Tux 和我就像失散多年的兄弟！我们经常一起虚拟地喝杯提神饮品，开玩笑说用户的怪癖。Tux 爱吹嘘 Linux 无处不在，从手机到太空飞船。我点点头提醒他，FreeBSD 也在一些酷炫的地方运行，比如。这一切都是开玩笑的。

Kim McMahon（笑）：听起来很友好。

Beastie: 说到 Clippy……那个角色真是个传奇。有一天，他突然跳出来，提供帮我管理一个系统守护进程。“看起来你在试着控制一个守护进程。需要一个有用的回形针吗？”Clippy，别搞笑了，但我们都笑了。他现在已经退休了，不过偶尔会出现在吉祥物重聚会上，带着他那古怪的回形针魅力。

Kim McMahon: 那么苹果的 Craig Federighi（译者注：克雷格·费德里吉，苹果软件工程高级副总裁）呢？那位男人、传说中的人物……

Beastie: （低声）Craig Federighi……依然是个谜。那家公司的一切都笼罩在神秘之中。他是一个真实的人，还是某种高级人工智能？他的头发永远完美，他的演讲也无懈可击。一定有什么不为人知的秘密吧？我们在技术活动中交换过一些寒暄，但我半信半疑，觉得他随时会像电子游戏角色一样出现故障。真是很可疑！适当的竞争让事情变得更有趣，即使是面对一个潜在的全息影像。最终，受益的还是用户们，借着我们的友好竞争和，嗯，偶尔的小插曲。

Kim McMahon: 你最喜欢 FreeBSD 的哪个功能，觉得更多人应该了解？你有个人最喜欢的命令和工具吗？

Beastie: Jails，绝对是！想象一下在一台系统上拥有多个隔离的环境，每个环境都有自己的空间、进程和网络。它就像一个虚拟的瑞士军刀！你可以测试软件、运行不同的应用，甚至安全地托管多个服务，而它们之间互不干扰。对系统管理员和安全专家来说简直是完美的选择。这就像拥有一支自己的宇宙飞船舰队，每艘飞船都在自己的安全航道上。

Kim McMahon: 宇宙飞船？真有意思。

Beastie: （咧嘴笑）至于命令，zfs 是我的魔法技巧。它在处理存储时简直令人震惊。我们说的是海量数据、轻松的快照、压缩和克隆，所有这些都可以通过简单的命令完成。需要回滚到之前的版本？没问题。想要创建几乎即时的数据副本？简直轻松。zfs 让你感觉自己像一个掌控数据的巫师。而且，它绝对是技术聚会中的话题杀手。“你还在使用那些老式的文件系统吗？让我来给你展示一下 zfs 的奇妙之处！”

Kim McMahon: 你之前提到 vi 是你最喜欢的文本编辑器。为什么是它呢？

Beastie: （戏剧性地叹气）啊，vi。这是一种爱恨交织的关系。它强大、简洁，而且能轻松完成任务，毫不繁琐。而且，当一个新人第一次尝试……（悄悄地凑近）……退出 vi 时，那种表情简直值千金！满脸困惑和沮丧。这就是 vi 的魅力之一，对吧？它教会你耐心，也让你意识到记住退出序列的重要性。虽然我得承认，有时候我会幻想，如果能有个吉祥物介入，举办一个用户友好的文本编辑器工作坊，可能会更好一点。也许可以加点小猫咪和彩虹……开玩笑的（大部分是）。但说真的，伙计们，使用所有能让你高效编码的工具都没有问题。Emacs、nano，甚至那些花哨的图形化编辑器——只要你能完成工作，那才是最重要的。

Kim McMahon: Beastie，你最喜欢的 shell 是什么？你为什么特别偏爱它？

Beastie: （用三叉戟摸着下巴）啊，shell！你得承认，它比“命令提示符”听起来酷多了。虽然“守护进程调度器”也有点意思，不是吗？

Kim McMahon: （笑）也许吧。

Beastie: 好了，关于这些 shell。FreeBSD 有各种各样的选择，每一种都有自己独特的风味。sh(1) 是经典的，无花哨的工作马。就像一条可靠的工装裤——完成工作，虽然可能无法赢得时尚比赛。

Kim McMahon: 工装裤？

Beastie: 没错！然后是 tcsh(1)，我那老朋友。它舒适、熟悉，允许你根据自己的喜好进行定制——就像一顶佩戴多年的棒球帽。但说实话，有时候穿上和脱下它有点慢。

Kim McMahon: （微笑）

Beastie: 现在 bash(1) ——那可是 shell 世界里的派对动物。自动补全、华丽的颜色，所有的配套功能。就像穿着晚礼服进服务器房——时尚，但可能有点不太实用。

Kim McMahon: 哇，我从没想到命令行 shell 会有这么多的变化！

Beastie: 每个守护神都有自己的 shell 个性。至于我？我戴许多顶帽子——或者说，戴许多 shell？我做 root 任务时用 sh(1) ——得高效嘛，你懂的。但当我休息时，玩点有趣的东西，tcsh(1) 就是我舒适的首选 shell。嘿，谁不喜欢偶尔用一下 bash(1)，给一天增添些亮点呢？一个真正的守护神是个适应力强的高手，能根据情况选择最合适的 shell！

Kim McMahon: Beastie，你最喜欢的编程语言是什么？为什么偏爱它们？

Beastie: （思考着用三叉戟轻点）选出最喜欢的？这可不容易。就像让一个守护神在披萨和塔可之间选一样！根本无法选错，不是吗？但我可以稍微弯一下规则，分享我的最爱。

Kim McMahon: 我在听！

Beastie: 首先是 C。啊，C，编程语言中的 OG（老大哥）。它是 FreeBSD 本身的基石，是把一切联系起来的螺丝和螺母。用 C 编程就像挥舞着一把魔法凿子，编写直接与硬件交互的代码。感觉就像是在和机器本身对话，mano a maquina！（译者注：西班牙语，手与机器对抗）而且，把代码的每一丝效率都挤出来是一种特别的满足感。就像调校赛车引擎——每一行代码都至关重要！

Kim McMahon: 听起来真是挺紧张的！

Beastie: （咧嘴笑）紧张，但值得！接着是 Python，完全是另一种类型的存在。它就像一把超能瑞士军刀。需要写个脚本？Python 扛得住。撘网站？Python 就是你最好的朋友。数据科学项目？Python 准备好帮你计算那些数字了！而且，Python 社区是技术界最友好的群体。就像和一群支持你的啦啦队员一起编程，他们总是在那里帮助你。

Kim McMahon: 编程的啦啦队员，嗯？

Beastie: 没错！然后是 shell 脚本。让我告诉你，当你需要快速自动化某些操作时，shell 脚本 是最好的选择。它就像用命令建造一台鲁布·戈德堡机械——效率链条的反应！把几行代码连起来，看着任务自己完成。无需花里胡哨工具，纯粹的命令行魔法。它诠释了“聪明地工作，而不是辛苦地工作”，每个守护神都喜欢这样！

Kim McMahon: 听起来真有趣！

Beastie: （眨眼）绝对的！这些只是我最喜欢的一部分，顺便说一下，Perl 是文本处理的高手，就像一个数字世界的忍者。Go 关注的是速度和性能，非常适合现代服务器应用。谁能忘记 JavaScript 呢？虽然它不是我首选的语言，但在 web 开发世界里到处都能看到它。真是个能变色的编程 chameleon（变色龙）！

Kim McMahon: 所以，你是个 polyglot（多语言）程序员？

Beastie: （摆出肌肉）一个全能的守护神必须具备适应力！每种语言都有它的优势、特点和独特的个性。关键是知道什么时候使用哪种工具。再说了，一点变化总能让编程世界更有趣。

Kim McMahon（调侃地）： 好吧，Beastie，我有一个有趣的问题。iPhone 还是 Android？

Beastie（俏皮地扬起一只眉毛）： （稍作思考，三叉戟敲在桌子上）这个问题难倒我了，Kim！作为一个守护神，我得保持平台无关性，你懂的？你得能够在任何系统上玩得转，无论是 FreeBSD 服务器、顶级工作站，甚至是一个跑 Linux 的小烤面包机。（眨眼）

Kim McMahon（大笑）： 我不推荐用烤面包机，Beastie。但我明白你的意思。

Beastie： 没错！不过，嘿，如果我得选择一个个人偏好，譬如说，外出时玩弄一下，嗯……让我说，某些移动设备的引擎盖下或许会露出一些熟悉的 BSD 根源。（挑眉）当然，我可没说什么具体的！但一个强大、可靠的 Unix 基础，真的可以走得很远，wink wink。

Kim McMahon（眼中闪烁着光芒，向前靠近）： 好吧，Beastie，最后一个问题，快结束了。作为一个“太空生物”（差不多吧），我得问：星际迷航还是星球大战？

Beastie（仰头大笑）： Kim，Kim，Kim！你不能让一个守护神在如此辉煌的极客霸权之战之间做选择！这么做有啥乐趣？再说了，一个真正的跨维度旅行者像我，应该在某个时刻都曾经进入过这两个宇宙。（有分量地敲了敲三叉戟）就说，我见过一些真正史诗级的服务器大战，那些战斗足以让死星和博格望尘莫及。 （眨眼）

Kim McMahon： Beastie，真是太好玩了！最后有什么话要对 FreeBSD 社区和我们的读者说吗？

Beastie： （举起三叉戟敬礼）对于 FreeBSD 社区：继续你们的努力！你们的热情、奉献和编程能力让 FreeBSD 变得如此伟大。继续创新，继续分享，继续保持 FreeBSD 的精神活力！至于我们的读者——无论你是资深开发者，还是对开源软件充满好奇的人，我都鼓励你去探索 FreeBSD。它是一个强大、灵活、欢迎的社区。所以，赶快深入了解，动手试试，甚至学点新技能。毕竟，世界上需要更多像你这样的守护神、开发者和梦想家！而且记住，如果你看到一个带三叉戟、毛茸茸的吉祥物在服务器房间里徘徊，别害怕，打个招呼吧！说不定我还会分享一个酿造守护神 brew（译者注：酿造 xx）的最佳秘诀呢。

Kim McMahon： Beastie，非常感谢你今天加入我们！真是太开心了。

Beastie： 这是我的荣幸，Kim！如果你能原谅，我得去和一些企鹅开个视频会议，讨论如何维护跨物种吉祥物关系。下次见！（用力一响指，随即在一阵代码烟雾中消失）

FreeBSD 13.4: 新特性及其发展历程

原文地址：FreeBSD 13.4: What’s new, and how did we get here?
作者：FreeBSD 基金会
原文发布时间：2024 年 10 月 4 日

简介

长期以来，要寻求现代企业级开源操作系统，FreeBSD 始终是首选。FreeBSD 宽松的许可证、卓越的安全性、出色的性能和坚如磐石的稳定性使其成为各类企业和组织的不二选择。

在基础设施、硬件兼容性和安全性方面有了重大改进，进一步证明了 FreeBSD 在业内的价值。此版本在 13.x 系列先前版本的坚实基础上进行了扩展，并与 2023 年 11 月推出的的开发时间表相一致。

FreeBSD 13.x 概览

创新的基础

FreeBSD 13.0-RELEASE 有重大改进，设定了新的系统稳健性和性能标准。包括工具链的战略性调整，全面过渡到 LLVM/Clang，使其作为默认编译器，这简化了开发过程并增强了系统稳定性。此外，作为一种现代 VPN 协议，WireGuard 显著增强了 FreeBSD 的网络安全，为 IPSec 和 OpenVPN 提供了一种更简单、快速的替代方案。

随着 13.x 系列的推进，每个版本都在用户空间和内核中引入了重要的增强功能，解决了重大的安全漏洞，并确保系统在面对不断演变的威胁时依然岿然如山。13.x 系列扩展了硬件支持和网络功能，进一步巩固了 FreeBSD 项目对适应性和前瞻性的承诺，满足了从服务器管理员到桌面用户的普遍需求。

FreeBSD 13.x 中的主要增强功能

网络改进

普通网络改进

mbuf 类型增强： 引入了一种新类型的 mbuf，能够将多个未映射的物理页面作为一个缓冲区来表示。这一增强由 Netflix 赞助，提升了 sendfile 操作的性能，突显了 FreeBSD 对网络性能的重视。
安全内存回收（SMR）： 将 SMR 集成到内核中，改进了多线程环境中的内存管理，优化了系统整体性能。

增强传输层安全（TLS）

基于内核的 TLS： 实现了基于内核的 TLS 数据帧和加密功能，支持 TCP 套接字上的 TLS 1.0 到 1.3 版本。包括通过内核加密驱动程序进行 AES-CBC 和 AES-GCM 密码套件的发送卸载，以及 TLS 1.2 中的 AES-GCM 接收卸载。这些增强功能由 Netflix 和 Chelsio Communications 赞助，进一步强化了 FreeBSD 在安全和高效数据传输方面的承诺。

比例速率降低（PRR）

TCP 改进： 在 TCP 中启用了 PRR 功能，以增强在突发丢包和 ACK 削减场景下的丢包恢复性能。此功能改进了丢包恢复表现，并防止了超时重传（RTO）阻塞，提供了更强大的网络体验。

路由栈重构

重写的路由栈： 引入了一种基于“下一个跳点”（nexthop）的新路由栈，持有所有必要的状态信息，能高效地将数据包路由到目的地。这使得路由操作更加高效和可扩展。
增强的多路径路由支持： 重新设计的多路径路由支持，支持 64 宽的多路径路由和 O(1) 查找时间，在多路径路由场景中显著提高了可扩展性和性能。
自定义路由查找算法： 支持自定义路由查找算法，将控制平面和数据平面操作解耦，从而在负载下实现更快速的查找和更好的收敛时间。

服务质量（QoS）与拥塞控制

QoS 增强： 现在，工具 ping 能使用 IP DSCP 和以太网 PCP 设置网络服务质量（QoS），方便进行更精细的流量管理和优先级排序。 (在 FreeBSD 13.3 中引入)
拥塞控制算法改进： cc_cubic TCP 拥塞控制算法已更新，与 RFC 8312 中的标准更加一致，优化了 TCP 拥塞控制行为。 (在 FreeBSD 13.3 中引入)

流控制传输协议（SCTP）与高级网络功能

SCTP 作为可加载内核模块： SCTP 支持已迁移到新的内核模块 sctp.ko，使其变为可选功能，不再默认编译进 GENERIC 内核，从而提供了更灵活的部署场景。
堆叠 VLAN（802.1ad）支持： 引入对堆叠 VLAN 的支持，增强了在复杂网络环境中 VLAN 配置的灵活性和可扩展性。
高级网络功能： 对 TCP/IP 栈的增强，如为改善 SACK 丢包恢复引入 PRR，展示了 FreeBSD 在保持网络性能和可靠性竞争力方面的承诺。

存储与虚拟化改进

存储增强

ctld 中的网络 QoS： 工具 ctld 现在支持使用差分服务代码点和以太网优先级代码点（Ethernet PCP）设置网络 QoS，进一步提升了 FreeBSD 在高性能存储解决方案中的表现。 (在 FreeBSD 13.3 中引入)
更新的 NFS 支持： NFS 客户端和服务器已更新，以支持 NFSv4.2，包括扩展属性，展示了 FreeBSD 在兼容性和功能丰富性方面的持续承诺。
基于 TLS 的安全 NFS： FreeBSD 支持通过 TLS 配置 NFS，专注于提供安全存储解决方案。

虚拟化增强

Bhyve 中增强的虚拟机支持： 内核模块 vmm 现在支持的虚拟 CPU 可大于 16 个，使得虚拟机能够更有效地使用主机的 CPU 资源。此外，Bhyve 还引入了对 virtio-input 设备仿真的支持，通过支持将键盘和鼠标输入事件注入到虚拟机中，改善了与虚拟化环境的交互。

用户空间与内核增强

用户空间改进

进程管理增强： 用户现在能直接从 ~/.login_conf 设置进程优先级和 umask 值，更精细地控制进程管理和文件权限。 (在 FreeBSD 13.3 中引入)
报告与配置增强： 对定期输出的流线化和对 head、tail 等工具的更新，确保了参数 -q（安静模式）和 -v（详细模式）的一致性，同时采用 SI 后缀表示数值参数，提升了系统可用性和配置灵活性。 (在 FreeBSD 13.3 中引入)

内核增强

安全性改进： 实现了针对 64 位可执行文件的地址空间布局随机化（ASLR），通过随机化内存地址空间提高安全性，可有效缓解某些类型的攻击。此外，还针对特定英特尔 CPU 的硬件页面失效问题提供了变通解决方案，强调了 FreeBSD 对安全性的重视。 (在 FreeBSD 13.3 中引入)
调试增强： 新的配置参数 SPLIT_KERNEL_DEBUG 能分别处理内核和模块的调试数据，优化了调试流程，而不影响系统性能。

加密框架与驱动程序更新

libmd 提升加密多样性： 增加了对 SHA-512/224 的支持，这是一种截断版的 SHA-512 哈希函数，提供了紧凑而安全的哈希替代方案。 (在 FreeBSD 13.3 中引入)
全面改进的加密框架： 内核中的加密框架经过了大幅度改进，增强了对现代加密算法的支持，并简化了设备驱动程序和框架消费者的接口。废弃的算法已被移除，以提升安全性。
驱动程序支持增强： 将 aesni 驱动程序添加到 GENERIC 内核中，支持 AMD64 和 i386 架构，通过硬件加速的加密功能提升软件加密和安全性。

硬件支持改进

以太网控制器支持： 引入了驱动程序 igc，支持 Intel I225 以太网控制器，支持各种速度及高级功能，如校验和卸载和多队列操作。
驱动程序更新： 驱动程序 ice 已添加固件日志记录和初步的数据中心桥接（DCB）支持，进一步提升了 FreeBSD 在管理和优化网络接口方面的能力。 (在 FreeBSD 13.3 中引入)
处理器支持： 完善对英特尔 Alder Lake（12 代）CPU 的支持，并整合进 hwpmc 框架，以充分利用 CPU 的新特性。

13.x 中已弃用功能和删除的支持

在 FreeBSD 13.x 系列中，多个功能和支持被弃用/移除，反映了 FreeBSD 项目面向未来的理念，致力于采用现代技术和标准。

用户空间与内核更改

工具链现代化： 过时的 binutils 2.17 和 GCC 4.2.1 已被移除，标志着所有受支持的架构全面过渡到了 LLVM/Clang 工具链。这一变化强调了 FreeBSD 在提升系统稳定性和开发灵活性方面，致力于利用现代工具链的承诺。
许可证与软件更新： GPL 许可证版本的 dtc 被 BSD 许可证版本取代。此外，BSD 版本的 grep 取代了 GNU 版本。工具 bc 和 dc 被 Gavin D. Howard 开发的版本所替代，这些版本不依赖外部的大数库，并提供了 GNU bc 的扩展功能。 (在 FreeBSD 13.3 中引入)

网络驱动弃用

过时的网络驱动： 一些不再使用的过时网络驱动被移除，以简化对较新和更常用硬件的支持。这使得可以更加专注于提升对现代网络接口的支持。

虚拟化弃用

Bhyve 精细化改进： FreeBSD 对其本地虚拟化管理程序 Bhyve 进行了精细化改进，移除了已弃用的设备模型，并支持更新的功能，如 VirtIO-9p 文件系统共享和虚拟机快照。

面向未来的更改

CPU 类型更改： i386 架构的默认 CPUTYPE 从 486 变更为 686，要求使用 686 类 CPU。这与行业标准一致，i686 已成为基准。 (在 FreeBSD 13.3 中引入)

FreeBSD 13.4-RELEASE 亮点

FreeBSD 13.4-RELEASE 是 13-STABLE 分支的最新版本。它包含了错误修复、安全补丁和更新的驱动程序，以增强用户体验和系统稳定性。

从先前版本升级

从早期版本升级的用户将发现升级过程非常顺利，升级过程有详细的文档支持。建议在进行安装前，先查阅发布说明中的勘误表，以了解任何最新的紧急问题。

安全性与 Errata

安全公告

该版本解决了若干个重要的安全漏洞：

勘误表

重要修复包括：

用户空间应用程序更改

性能改进： libcapsicum 已改进，缓存了更多的时区信息，减少了对 tzset(3) 的调用，提升了性能。
贡献软件更新：
- SQLite3： 升级到版本 3.46.0。

设备和驱动程序

驱动程序更新：
- irdma 和 ice： 这两个驱动已更新，以提高性能和稳定性。
- u3g 支持： 增加了对设备 SIM7600G 的支持，扩展了移动网络的硬件兼容性。
- 无线驱动程序： 对原生和基于 LinuxKPI 的无线驱动进行了多个稳定性修复，提升了 FreeBSD 的无线网络性能（由 FreeBSD 基金会赞助）。

网络更新

SCTP 改进： 增加了对环回接口上 SCTP 校验和卸载的支持，同时对 SCTP 堆栈进行了性能提升和 bug 修复。

硬件支持

处理器支持： 为 AMD Ryzen 7“Phoenix”处理器增加了对驱动程序 amdsmn 和 amdtemp 的支持，可以通过 sysctl 获取温度读取值。

文档更新

手册页： 删除了对旧工具 disklabel 的引用，改为使用 gpart。后续的 FreeBSD 版本将完全移除该工具，推广现代的磁盘管理方法。

Ports 和软件包基础设施

软件包变更：
- 现代化的 DVD 软件包集： 反映了当前的软件包装趋势。
- 已移除的 Port：
  - archivers/unzip

关于未来版本和开发战略

随着 FreeBSD 的不断发展，项目的开发战略和未来版本的路线图反映了其致力于拥抱现代计算架构的同时，确保广泛的兼容性和支持。FreeBSD 15.0 将是这一旅程的一个重要节点，多个关键决策将塑造操作系统的发展方向：

逐步淘汰 32 位平台支持： FreeBSD 15.0 预计不再支持 32 位平台，除 armv7 外，这标志着战略的转变，重点将转向 64 位计算。armv6、i386 和 powerpc 平台将被废弃，并计划移除，尽管 64 位系统仍将保留运行旧版 32 位二进制文件的能力。
armv7 架构状态： 预计 armv7 架构将在 FreeBSD 15.0 和 stable/15 分支中作为二级架构提供支持。然而，预计 armv7 支持可能会在 FreeBSD 16.0 中被取消，关于 armv7 支持的状态将在 15.0 版本发布时提供更新。
继续支持 32 位二进制文件和应用程序： 尽管有向 64 位平台转型的趋势，FreeBSD 将继续支持在 64 位平台上执行 32 位二进制文件，至少在 stable/15 和 stable/16 分支中以参数 COMPAT_FREEBSD32 提供支持。此外，stable/15 分支将继续支持编译单个 32 位应用程序，确保与广泛的软件兼容性。

结论

FreeBSD 13.x 系列展示了该项目在持续改进、安全性和现代化方面的承诺。FreeBSD 一直在增强系统的健壮性、安全性和硬件兼容性，跟上并有时超越其他操作系统的技术进步。FreeBSD 13.4-RELEASE 是 FreeBSD 不断适应用户需求的坚定体现，巩固了其作为开源操作系统之一的领先地位。

参考资料

对于那些有兴趣深入了解 FreeBSD 13.x 系列详细演变的用户，官方的 FreeBSD 文档和发行说明提供了对每个版本的进展和改进的全面见解。

官方发行说明：
其他资源：

利用 FreeBSD Capsicum 框架实现程序沙箱化

原文：Sandbox Your Program Using FreeBSD's Capsicum
作者：Jake Freeland
发布日期：2023 年 9 月 1 日

当今时代，数据泄露的平均成本高达四百余万美元，令人惊讶的是，只有 51% 的公司计划增加安全投资^1^。这一数字很可能归因于实施健全安全解决方案所需的高昂成本。

许多安全框架都非常复杂。Capsicum 的独特之处在于其简洁性。开发者能相对容易地将 Capsicum 集成到程序中，从而在保护应用的同时降低高昂的实施成本。

本文展示了 Capsicum 的功能，并撰写了将该框架集成到新旧程序中的完整指南。

Capsicum

Capsicum 是款轻量级的安全框架，提供了用于限制程序能力的原语。更具体地说，Capsicum 能让开发者将其程序隔离到安全沙箱中。该框架基于最小特权原则设计，程序仅能访问其运行所需的资源。

能力沙箱

在支持 Capsicum 的系统上，程序能使用 cap_enter(2) 进入沙箱：

注意
为简洁起见，本文档中的代码片段省略了错误处理。实际使用时，应在适当位置加入错误处理。

不用链接额外的库；对 Capsicum 的支持已内置于标准 C 库（libc）。

Capsicum 能让开发者通过能力模式将程序沙箱化。在程序调用 cap_enter(2) 进入能力模式后，程序将无法自行获取新的资源。例如，使用 open(2) 打开文件会触发能力违规，造成函数调用失败，并将 errno 设置为 ECAPMODE（译者注：特定错误码）：这在能力模式下不被允许。

一种对程序进行 Capsicum 化的方法是在进入能力模式之前就打开好全部资源。程序事先拥有的资源能在沙箱中继续使用。

若程序需要访问某子目录域中数量未知的资源，则可以使用 openat(2)、mkdirat(2)、bindat(2) 等 *at() 系统调用。这些函数需要额外的描述符参数，用作相对引用点来打开新资源。

在这个例子中，dirfd 是在进入能力模式之前获取的。若程序进入能力模式，dirfd 就能作为相对参考点访问 home/jfree/foo。无法访问相对引用所提供子目录域之外的资源。

该 openat(2) 调用会失败，因为 ../beastie 路径指向的目录不在 dirfd 提供的目录层级之内。

进程间通信同样受到限制。进入能力模式的进程无法向其他进程发送信号，命名共享内存对象亦被禁止。某些系统接口完全不可用，如 reboot(2) 和 kldload(2)。不过，这些限制都有相应的解决方法。

沙箱化的分区

预先打开资源对那些资源需求可预测的程序非常有效，但有些程序需要按需访问资源。在这种情况下，开发者可选择仅对程序的特定部分进行沙箱化。

如果无法在沙箱中运行完整的程序，那么可以将其隔离分区（compartmentalization）。隔离分区的做法是把一款程序拆分成多个分区，每个分区承担自身的基本任务。通过隔离分区架构，开发者可以将受信任的代码保留在沙箱之外，而将不安全或危险的代码隔离到沙箱中的分区。如果危险代码中发现了安全漏洞，将被隔离。

Capsicum 为程序的特定部分提供了直观的沙箱接口。程序能在任意时刻派生一个新的子进程，并在能力模式下执行危险代码。诸如管道和套接字这样的进程间通信原语可用于数据交换，而不会触发能力违规。

父进程可在沙箱之外运行，而子进程在隔离环境中执行危险代码。若程序已经实现了隔离分区，开发者可以从沙箱化每个分区开始。大多数分区可能需要针对能力模式进行一些重构，但开发者可以自行选择哪些部分需要沙箱化。若正确实施，相较于对整个程序进行沙箱化，这种方式工作量更少，但安全性有大幅提升。

使用 libcasper(3) 请求资源

有些程序在设计时并未考虑隔离分区。开发者可以重新架构这些软件，但这通常需要大量时间和资源。幸运的是，库 libcasper(3) 为那些隔离分区无效的复杂程序提供了帮助。开发者可以利用 libcasper(3) 提供的接口在能力沙箱中获取新资源。

使用 Casper 服务

在程序进入能力模式之前，可以与某 casper 服务建立通信通道。Casper 服务是运行在能力沙箱之外的进程，与调用进程并行运行。建立的通信通道可用于向 casper 服务请求新资源。

注意
必须在进入能力模式之前就打开 libcasper(3) 通道，否则 casper 进程会继承父进程的沙箱。

库 cap_net(3) 利用 libcasper(3) 提供了支持能力模式的 libc 网络函数，否则这些函数会因 ECAPMODE 而失败。通过 libcasper(3) 接口的函数通常以 cap_ 前缀命名，以表明它们能在能力模式下成功执行。类似于 cap_net(3) 的其他 casper 服务库也存在，并提供以 cap_ 为前缀的 libc 函数。可在 libcasper(3) 手册页中找到完整列表。

如果程序支持在没有 libcasper(3) 的情况下构建，开发者依然可以使用 cap_ 函数，而无需用 #ifdef WITH_CASPER 包装。大多数 casper 服务将其 cap_ 函数定义为宏，当 WITH_CASPER 未定义时会替换为非 cap_ 的形式。

创建 Casper 服务

Casper 服务库很好地隐藏了接口 libcasper(3)，使程序开发者无需直接与其交互。但有时程序需要访问现有 casper 服务库未提供的资源，这种情况下开发者可以自行创建 libcasper(3) 服务。

所有 libcasper(3) 服务都基于 CREATE_SERVICE(3) 宏：

所有参数都很重要，其中 command_func 函数指针尤为值得关注，因为它是服务的主例程。当通过 cap_service_open(3) 打开服务时，服务会等待命令。待接收到命令，就会传递给 command_func 的 cmd 参数。

大多数 command_func 会将传入的 cmd 字符串与一组字面量比较，若匹配则调用对应函数。Casper 服务运行在能力沙箱之外，因此在 command_func 内调用的所有函数都会以环境权限（ambient authority）执行，这意味着它们可以随意获取新资源。

可以使用函数在程序和 casper 服务之间 cap_xfer_nvlist(3) 交换资源。命令字符串和相关资源必须先封装进 nvlist(9)，再传输给服务。Nvlist 可存储数字、字符串、二进制、描述符以及其他 nvlists。每个资源都必须配有一个标识名，用于检索。

cap_xfer_nvlist(3) 函数会将 nvl nvlist 发送到与 chan 绑定的 casper 服务。待 nvlist 到达 casper 服务，命令字符串会被提取并传入服务的 command_func。

回顾 net_command() 中的片段：

cap_bind() 发送了 "bind" 命令字符串，因此该 strcmp() 条件成立并调用 net_bind()。

当 bind(2) 成功时，套接字必须被传回能力沙箱。nvlist_move_descriptor(9) 函数会将套接字描述符移入 nvlout nvlist，并接管该描述符的所有权。

回顾 cap_bind() 中的片段：

cap_xfer_nvlist(9) 的返回值是 nvlout nvlist，它持有已绑定的套接字描述符。可以通过 nvlist_get_descriptor(nvl, "sockfd") 从返回的 nvlist 中获取该描述符。

限制 Casper 服务

Casper 服务提供的接口通常过于宽泛。在使用 cap_net(3) 时，你可能仅需要服务提供的部分函数。大多数服务库会定义自己的限制机制，使开发者可以禁用程序不需要的函数。

每个服务库都提供不同的限制机制。由于使用模式过多，建议开发者查阅各服务库的手册以获取详细信息和示例。

为 Casper 服务创建限制

开发者可以在 CREATE_SERVICE(3) 中指定 limit_func 函数指针以限制服务接口。当程序调用 cap_limit_set(3) 时，提供的 limits 会被重定向到 casper 服务的 limit_func 中，并相应应用。该机制的灵活性允许服务对其接口进行精细限制。

大多数服务库会为 cap_limit_set(3) 提供包装函数，并使用自定义的 _limit_t 类型。该类型由服务库定义，用于跟踪服务特定的限制。

随着限制的细化，实现可能很快变得复杂。像 cap_net(3) 这样的服务提供了对接口的广泛控制，因此其限制函数需要处理所有边界情况。快速查看 cap_net(3) 的限制函数可以发现，为不同的“限制模式”实现了单独的验证函数，以确保限制被正确应用和执行。

限制函数依赖于其所限制的服务，因此没有统一的编写模式。想要为 casper 服务创建限制的开发者应参考 FreeBSD 源码中 lib/libcasper/services 的系统服务库示例。

回顾：Casper 服务的组成部分

casper 服务由以下四个主要部分组成：

以 cap_ 为前缀的函数，通过 cap_xfer_nvlist(3) 向 casper 服务发送命令；
在沙箱外执行命令相关代码并返回新资源的 command_func；
限制服务用途的 limit_func；

虽然在技术上可以创建返回任意命名资源的 casper 服务，但这会破坏将程序隔离到沙箱的目的。设计良好的 casper 服务接口应当有限且受约束，避免被利用。

检测违规

当程序进入能力模式时，它是否遵循沙箱规则并不总是显而易见。尝试打开受限资源的函数会触发能力违规，并返回 errno = ECAPMODE。即便有适当的错误检查，排查违规也可能耗时。好在 ktrace(2) 内核跟踪工具能帮助发现违规。

通常，程序必须进入能力模式才会报告违规，但 ktrace(2) 能在程序 未进入 能力模式前记录违规。这意味着开发者能在不修改程序的情况下运行违规跟踪，查看违规发生的位置。由于程序未真正进入能力模式，它依然会获取资源并正常执行。

在程序开头添加以下两行即可启用违规跟踪：

这段代码创建了 ktrace(2) 的输出文件，并指定 KTRFAC_CAPFAIL 跟踪点以记录能力失败。

注意
ktrace(2) 手册页对系统调用的使用有详细说明。启用其他跟踪点（如 KTRFAC_NAMEI 记录文件名查找）有助于定位文件系统违规的来源。

下面的 cap_violate 例程试图触发 ktrace(2) 可捕获的所有违规。无需理解其具体做了什么，只需知道它能触发违规就可以了。

若进程被跟踪，跟踪数据会一直记录，直到进程退出或清除跟踪点。此时可以使用 kdump(2) 将 ktrace(2) 的转储转换为可读格式。

cap_violate 程序中的每次违规都会在 kdump(1) 输出中生成一条 CAP 记录。开发者可利用这些输出定位并替换触发违规的代码。

大多数实际程序应尽量避免违规，而不是像 cap_violate 那样触发它们。下面的 kdump(1) 输出展示了在启用 KTRFAC_CAPFAIL 与 KTRFAC_NAMEI 跟踪点后，使用 unzip(1) 解压归档文件（未进行 Capsicum 化）时的结果。

这类输出更接近开发者在自己程序中会看到的情况。unzip(2) 正在重建 zip 文件中的目录结构。所有 open(2)、fstat(2) 和 mkdir(2) 调用都被 libc 隐式转换为带 AT_FDCWD 的 *at() 变体。由于 AT_FDCWD 在能力模式下不可用，因此触发违规。这类问题可通过在进入能力模式前打开一个当前目录描述符（等价于 AT_FDCWD），并将其传递给 openat(2)、fstatat(2) 和 mkdirat(2) 来规避。

注意
在能力模式下违规总会返回错误，但在跟踪过程中不会被当作错误，因此程序行为可能不同。

违规跟踪是开发者工具箱中的一项实用工具。只需几秒钟即可用 ktrace(2) 运行程序，其结果几乎总能作为使用 Capsicum 沙箱化程序的良好开始。

能力 (Capabilities)

尽管名称相似，能力模式 (capability mode) 和能力 (capabilities) 是不同的内核原语。

能力模式是 Capsicum 实现的安全沙箱。
能力是拥有权限的文件描述符。

如果用户想要对某项能力描述符执行 read(2)，则该描述符必须拥有 CAP_READ 权限。如果用户想要对某个套接字能力描述符执行 bind(2)，则该描述符必须拥有 CAP_BIND 权限。几乎所有描述符操作都有细粒度的权限；完整列表见手册页 rights(4)。

当使用 open(2)、socket(2) 等创建文件描述符时，它会被赋予完整的能力集。可以使用 cap_rights_limit(2) 函数限制描述符的能力。

能力的设计原则是最小化权限。只要描述符的权限被限制，它就不应执行超出权限的操作。描述符的权限始终可以被限制，但不能被提升。

在对程序进行沙箱化过于严格的情况下，开发者可以选择限制能力描述符。能力提供了对允许操作的精细控制，但使用这种保护的程序易受到人为疏忽的影响。如果开发者忘记限制某项能力，就可能引入恶意代码滥用的风险。

想要最大化安全性的开发者可以在能力模式下结合使用能力。能力提供了能力模式本身不具备的细粒度功能。例如，仅允许描述符进行 read(2) 操作，这是能力可以做到的，但能力模式不能。

使用 Capsicum 提升安全性

和的设计初衷都是为了让程序更安全。能力模式通过将程序与系统其余部分隔离提供了确定的安全性。能力则提供了一种更灵活但不如前者严格的方式来限制程序权限。只要正确集成其中任意一种原语，开发者就能确信，他们的程序比在引入 Capsicum 前更加安全。

参考资料

. IBM Corporation. 2023-07-24. Retrieved 2023-08-31.

选择 FreeBSD 而非 GNU/Linux 的技术性原因

原文：https://unixsheikh.com/articles/technical-reasons-to-choose-freebsd-over-linux.html
最后更新日期：2023-10-27

在我的主工作站和所有服务器上都将 FreeBSD 作为日常使用的操作系统，自 1999 年起我就一直在使用 FreeBSD，因为我认为它是“一款了不起的操作系统”。在本文中，我将讨论选择 FreeBSD 而非 GNU/Linux 发行版的若干技术原因。

完整的操作系统

在 FreeBSD 上，你会立刻注意到，你面对的是“完整的操作系统”。所有不同的组件都是统一开发的。这意味着，如果一款组件的变动会影响整个系统，开发者可以更容易地在实施变更前考虑整体情况，并进一步规划和开发受影响的组件。BSD 内核、init 系统、用户空间工具、Ports 和包管理器，所有这些都是由项目成员开发并集成到一款系统中。例如，FreeBSD 上的命令（参见 ZFS ARC Stats 部分）就整合了 ZFS （自适应替换缓存）的信息。

内核和基本系统与第三方应用完全分离。基本系统配置放在 /etc，而所有第三方配置放在 /usr/local/etc。你可以配置和调优的一切内容，都在 man 手册中有详细记录。

你拥有从 rc 工具（由调用以控制自动启动过程的命令脚本）、、内核管理工具，到所有不同的等功能，这一切都被很好地整合和文档记载。

因为 FreeBSD 是完整的操作系统，而不是像 Linux 发行版那样“拼凑”而成，一切设计得井井有条，基于多年的经验，并且当系统发生变化时，这些变化对整个社区都是有利的，同时参考了大量真实的使用案例和行业问题反馈。

作为对比，我最喜欢的 Linux 发行版之一 Debian GNU/Linux 有其特定的。Debian 方式代表了一套特定的配置管理工具和补丁，使第三方软件符合 Debian 的设置方式。虽然在某种程度上这可以统一 Debian 中的操作方法，但它不幸地破坏了上游配置，这可能会带来很大困扰。尤其是在某些功能无法正常工作，或者上游文档与 Debian 的实际设置不匹配时，这种问题尤其突出。另一个问题是，一些第三方软件，甚至 Debian 的核心组件，如 systemd，无法完全按照“Debian 方式”来处理。结果就是操作系统中有些部分运行“Debian 方式”，而有些部分则不是。Debian GNU/Linux 已经整合了 systemd，但同时默认网络部分仍是 Debian 特有的。有时你必须禁用并移除 Debian 特有的配置，才能让 systemd 的功能正常工作。这一切都源于由许多不同项目的不匹配组件拼凑而成的系统。

另一方面，我同样喜欢的 Linux 发行版 Arch Linux 希望第三方软件保持上游状态，除非绝对必要，否则不做修改。这很好，因为上游文档与软件保持一致。然而，这虽然有助于改善整体系统管理，但事实仍然是 Linux 内核、用户空间工具以及其他所有组件都是由不同实体开发的。完全不同项目之间的冲突，例如 Linux 内核与 systemd 开发者之间的冲突，可能会导致操作系统无法正常运行。而 FreeBSD 不会出现这种问题，因为它是完整的操作系统。

我从不喜欢的 Ubuntu Linux 发行版则更糟。由于它基于“Debian unstable”，运行了大量 Debian 工具和配置，但同时又有“Ubuntu 方式”，在 Debian 基础上做了修改。除此之外，还在其上增加了一层 GUI，也就是所谓的用户改进工具层，有时会导致 Ubuntu 出现难以理解的崩溃问题。

文档

有些人认为文档不是使用某项技术的技术理由之一，但文档应被视为其所述技术的组成部分。粗劣的文档、过时的文档以及缺失的文档都应被视为一种 Bug。

FreeBSD 的文档随系统一同分发，因此你不必去网上搜索。基本系统的 man 手册质量极高，专为 FreeBSD 编写，你大多数所需的信息都可以在系统中直接找到。

FreeBSD 还有，覆盖了从安装到日常使用的各个方面。安装时也可以将手册本地安装。手册偶尔会有一些过时的章节，因为它是众多个人持续工作的成果，但总体来说，手册是定期更新且编写良好的。

安全

通常被攻破的不是操作系统本身，而是运行在操作系统上的程序。在某些情况下，被攻破的程序可能与操作系统交互，从而影响操作系统的安全。保障操作系统安全意味着你要确保计算机资源仅被授权人员用于授权用途。

FreeBSD 默认配置是为了性能优化，而不像 OpenBSD 那样默认安全，但 FreeBSD 提供了许多工具和选项，帮助你保护系统免受攻击者侵害。

在本文中无法提供 FreeBSD 安全选项和可用功能的详尽列表，因为安全主题本身足以写成一本书。

不过，我可以提及几项关键内容。

安全性安装时选项

在安装 FreeBSD 时，安装程序提供了一组可启用或禁用的选项：

隐藏其他用户 ID（UID）的进程
隐藏其他组 ID（GID）的进程
隐藏 jail 内的进程
隐藏消息缓冲区

FreeBSD 其他大部分内核级安全设置都可通过 sysctl security.bsd 访问，而且每隔几个月还会增加新的选项。你可以运行命令 sysctl -d security.bsd 来显示你当前 FreeBSD 安装中可用的选项。

漏洞统计

下面是 FreeBSD 与 Linux 的漏洞统计列表。FreeBSD 漏洞数量通常较少，这并不一定意味着 FreeBSD 比 Linux 更安全（尽管我认为它确实更安全），也可能是因为 Linux 的用户和开发者更多、关注度更高。然而，大多数 Linux 发行版的攻击面通常比 FreeBSD 要大得多。

有关具体漏洞的详细信息，可以访问 CVE Details 网站查看和的数据。

稳定性

FreeBSD 拥有出色的工程与版本管理实践。FreeBSD 从创意产生到公开发布经历多个步骤：

当有人提出新想法并进行开发时，首先会经过同行技术审查。
然后进入“current”分支进行集成测试，根据复杂性或潜在影响，进入“stable”分支的迁移窗口会做相应调整。
接着进入“stable”分支，供更广泛的用户群测试，这通常也是 Beta 测试阶段，并有更广泛的社区参与。
最后进入“release candidate”（RC）测试，通常会经历三轮测试，之后才成为正式“release”版本。

会发布软件补丁以修复漏洞和缺陷。

这些步骤使 FreeBSD 成为非常可靠且稳健的操作系统。

Ports 数据集

是工程学上的一项惊人成就。NetBSD 的和 OpenBSD 的都起源于 FreeBSD 的 Ports 系统。

虽然 FreeBSD 也提供二进制包（就像 Debian Linux、Arch Linux 一样），由包管理器处理，但 FreeBSD 还可以从源码编译软件，并能让用户在编译时进行个性化配置。Arch Linux 的实际上在很大程度上受 FreeBSD Ports 系统启发。然而，在 FreeBSD Ports 系统中，你可以在 make 过程中选择最相关的编译选项，而在 Arch Linux 上，你通常需要手动编辑和修改包维护者提供的脚本（基本上默认设置是必须接受的）。

FreeBSD Ports 数据集使用来自动化软件的编译、安装和卸载过程，通过 make 命令实现。组成单个 port 的文件包含了自动下载、解压、打补丁、配置、编译和安装应用所需的所有信息，在执行如 make install 或 make install clean 之类的初始命令后，几乎无需用户干预。如果该 port 依赖其他应用或库，它们会在安装前自动处理。

大多数 port 配置了一套默认选项，这些选项被认为适合大多数用户。然而，Ports 系统的重大优势在于，你可以在安装前通过 make config 命令更改这些配置选项。该命令会弹出一个基于文本的界面，能让用户选择所需选项。

截至本文发布时，Ports 数据集中可用的 port 已 30,000 余款。

滚动更新的第三方包

关于第三方包，你可以选择两个不同的分支：一个叫“quarterly”，另一个叫“latest”。

Quarterly 是从版本系统的 HEAD 分支在每年季度初（1 月、4 月、7 月和 10 月）截取的 Ports 分支的名称，也是由这些分支生成的二进制包集的名称。

Quarterly 分支为用户提供了更可预测、更稳定的 port 和包的安装与升级体验。这主要是通过只允许上游的非功能性更新来实现的。Quarterly 分支旨在接收安全修复，但也可能包含版本更新，或者回移的提交、错误修复以及 Ports 兼容性或框架更改——这取决于上游的操作。

然而，如果你选择“latest”分支，FreeBSD 在第三方包方面将成为滚动更新发行（rolling release），类似于 Arch Linux，从而获得最前沿的软件。

Poudriere

Poudriere 是一个用于创建和测试 FreeBSD 包的工具。它利用系统来搭建隔离的编译环境。这些 jail 可用于为任何版本的 FreeBSD 构建二进制包。待包构建完成，它们的布局与官方镜像完全一致。这些包可被 FreeBSD 的 pkg 二进制包管理工具使用。

使用 Poudriere，你可以轻松地构建并设置自己的二进制包仓库，其中的包完全按照你的规格和需求进行构建。

Poudriere 可以处理整个 ports 树的批量构建、ports 树的特定子集，或者包括依赖的单个 port。它会自动构建包、生成构建日志文件、提供签名的 pkg 仓库，并支持在向 FreeBSD bug 跟踪系统提交补丁前测试 port 构建，还可以使用不同选项测试不同构建。Poudriere 在干净的 jail 环境中执行构建，可以使用 zfs 特定功能。这意味着不会污染宿主环境，不会留下文件，也不会意外删除或更改现有配置文件。

Poudriere 设置和使用都非常直接，因为它没有依赖，并且可以在任何受支持的 FreeBSD 版本上运行。

ZFS

与 Linux 不同，文件系统在 FreeBSD 上是一等公民。这不仅意味着可以将根文件系统安装在 ZFS 上，并且安装程序开箱即支持这一功能，还意味着许多基本系统工具已经紧密集成并支持 ZFS。在 FreeBSD 上运行 ZFS 与在 Linux 上运行 ZFS 非常不同。在 FreeBSD 上，你可以获得更多专门用于调查 ZFS 性能问题或其他相关问题的工具。

ZFS 的一些重要特性包括：

为长期数据存储而设计，可无限扩展的数据存储规模，保证零数据丢失，并具有高度可配置性。
对所有数据和元数据进行分层校验，确保整个存储系统在使用时可以被验证，确认数据正确存储，或在数据损坏时进行修复。校验和存储在块的父块中，而非存储在块本身中。这与许多文件系统形成对比，后者的校验和（如果存在）与数据存储在一起，如果数据丢失或损坏，校验和也可能丢失或不正确。
可以存储用户指定数量的数据或元数据副本，或选择性的数据类型，以提高从重要文件和结构的数据损坏中恢复的能力。
在某些情况下，如果出现错误或不一致，可自动回滚文件系统和数据的最近更改。

当然，在 Linux 上使用 ZFS 也能获得这些功能。然而，有一个很大的区别：没有任何 Linux 发行版能接近 FreeBSD 对 ZFS 的集成水平。

启动环境

由于与 ZFS 的紧密集成，FreeBSD 还支持启动环境（Boot Environments）。通过启动环境，你可以安装多个核心操作系统版本，并选择启动哪个。因此，启动环境就是工作系统的可启动克隆或快照。借助启动环境，你可以执行“无忧升级”或系统更改，无需担心破坏系统，因为你随时可以回滚并舍弃修改。

这也意味着你可以在新的 ZFS 启动环境中更新 FreeBSD 系统，而无需接触正在运行的系统。你还可以在 FreeBSD Jail 内进行升级并测试结果，甚至可以将 ZFS 启动环境复制或迁移到另一台机器上。

FreeBSD 提供了工具，使管理启动环境变得简单。

BSD init

FreeBSD 使用传统的 BSD 风格。在 BSD 风格 init 中，没有运行级别（run-levels），/etc/inittab 文件也不存在。相反，启动由脚本控制。

/etc/rc.d/ 中的脚本用于基本系统自带的应用程序，如 cron、sshd、syslog 等。/usr/local/etc/rc.d/ 中的脚本用于用户安装的第三方应用程序，如 NGINX 或 Postfix。

如前所述，由于 FreeBSD 是作为完整操作系统开发的，用户安装的第三方应用程序不属于基本系统。第三方应用程序通过包或 ports 安装。为了与基本系统保持分离，用户安装的应用程序会安装在 /usr/local/ 下。因此，用户安装的可执行文件位于 /usr/local/bin/，而配置文件位于 /usr/local/etc/。

在 BSD init 系统中，启用服务的方法是向 /etc/rc.conf 添加服务条目。默认设置位于 /etc/defaults/rc.conf，而 /etc/rc.conf 中的设置会覆盖默认值。

例如，以下条目在 /etc/rc.conf 中启用 sshd：

你可以手动添加该条目，也可以运行：

这将自动编辑 /etc/rc.conf 并添加该条目。

你也可以手动启动服务，方法是：

如果某个服务尚未启用，但你仍然想启动它，可以通过命令行使用以下命令启动：

你能在上阅读更多关于 init 系统的内容。

Jail

FreeBSD 的系统是另一项了不起的工程成就。

Jails 于 2000 年 3 月 14 日在 FreeBSD 4.0 版本中引入。

FreeBSD jail 是一种，它能让你在多个独立的迷你系统（称为 jail）中安装基于 FreeBSD 的系统。运行在 jail 中的系统共享相同的内核和系统资源，因此开销非常小。

FreeBSD jail 的需求来源于一个小型共享环境托管提供商（R&D Associates, Inc. 的所有者 Derrick T. Woolworth）希望在其自身服务和客户服务之间建立清晰的分离，主要是为了安全性和便于管理。解决方案由开发，它不是通过增加新的精细配置选项层，而是将系统（包括文件和资源）进行隔离，使只有正确的人才能访问正确的隔间。

通过 FreeBSD jail，可以创建各种虚拟机，每个虚拟机都有自己安装的工具集和配置。这提供了一种安全的方式来测试软件。例如，可以在不同的 jail 中运行不同版本或尝试不同配置的 Web 服务器包。由于 jail 的范围有限，即使 jail 内的超级用户配置错误或操作失误，也不会危及系统的其他部分的完整性。因为 jail 外部的内容没有被修改，所以可以通过删除 jail 中的目录树副本来丢弃更改。

然而，FreeBSD jail 并不实现真正的虚拟化；它无法让虚拟机运行与基本系统不同版本的内核。

FreeBSD jail 是提高服务器安全性的有效方式，因为它通过隔离 jail 环境与系统其他部分（其他 jail 和基本系统）来实现安全隔离。

Bastille

是一款开源系统，用于在 FreeBSD 上自动化部署和管理容器化应用程序。

Bastille 使用 FreeBSD jail 作为容器平台，并添加了模板自动化功能，以创建类似 Docker 的容器化软件集合。

模板负责安装、配置、启用和启动软件，提供了一种自动化构建容器化堆栈的方法。

Capsicum

Capsicum 是由开发的沙箱框架，由谷歌、FreeBSD 基金会和美国国防高级研究计划局提供资助支持。

Capsicum 扩展了 POSIX API，提供了多个新的操作系统原语，以在类 UNIX 系统上支持对象能力安全：

Capabilities —— 精细化的文件描述符，带有细粒度权限
Capability mode —— 进程沙箱，拒绝访问全局命名空间
Process descriptors —— 面向能力的进程 ID 替代
Anonymous shared memory objects —— 对 POSIX 共享内存 API 的扩展，支持与文件描述符（能力）关联的匿名交换对象

FreeBSD 上的 Capsicum 由 Robert Watson 和 Jonathan Anderson 开发，自 FreeBSD 10.0 起即开箱可用。FreeBSD 实现的 Capsicum 是参考实现，不仅作为 Capsicum API 和语义的参考，还为移植到其他平台的 ports（例如 Linux 和 DragonFlyBSD 的 Capsicum）提供了起点源码。

更多关于 FreeBSD 上 Capsicum 的信息，请参见：

（PDF）
（YouTube）

DTrace

是一款全面的动态追踪框架，移植自 Solaris。DTrace 提供了强大的基础设施，使管理员、开发人员和服务人员能够简明地回答关于操作系统和用户程序行为的任意问题。

DTrace 可以提供运行系统的全局概览，例如活跃进程使用的内存、CPU 时间、文件系统和网络资源。DTrace 还可以提供细粒度信息，例如某个函数调用时的参数日志，或者访问特定文件的进程列表。

更多 DTrace 使用信息请参见和。

bhyve

是 FreeBSD 原生的虚拟机管理程序（hypervisor），用于在虚拟机中运行客户操作系统。可以通过命令行参数指定虚拟 CPU 数量、客户机内存大小以及 I/O 连接等参数。

bhyve 支持多种客户操作系统的虚拟化，包括 FreeBSD 9 及以上版本、OpenBSD、NetBSD、Linux、illumos、DragonFly、Windows Vista 及更高版本，以及 Windows Server 2008 及更高版本。目前的开发工作旨在扩大对 x86-64 架构下其他操作系统的支持。

bhyve hypervisor 自 FreeBSD 10.0-RELEASE 起成为基本系统的一部分。

bhyve 需要处理器支持英特尔扩展页表（EPT）或 AMD 快速虚拟化索引（RVI）或嵌套页表（NPT）。托管 Linux 客户机或具有多个 vCPU 的 FreeBSD 客户机需要支持 VMX 无限制模式（UG）。较新的处理器，尤其是英特尔酷睿 i3/i5/i7 和英特尔至强 E3/E5/E7 系列，支持这些功能。UG 支持从 Intel 的 Westmere 微架构开始引入。

防火墙

FreeBSD 强调自由选择，因此基本系统内置了三种不同的防火墙：PF、IPFW 和 IPFILTER（也称为 IPF）。

自 FreeBSD 5.3 起，OpenBSD 的 PF 防火墙的移植版本已作为基本系统的集成部分分发。PF 是款功能完整的防火墙，支持可选的 ALTQ（Alternate Queuing）以实现服务质量（QoS）。PF 的过滤语法类似于 IPF，但经过一些修改以提高清晰度。网络地址转换（NAT）和服务质量（QoS）已集成到 PF 中，其中 QoS 通过导入 ALTQ 排队软件并与 PF 配置关联实现。PF 还扩展了诸如 pfsync 和 CARP（用于故障切换和冗余）、authpf（会话认证）以及 ftp-proxy（简化复杂的 FTP 防火墙设置）等功能。此外，PF 支持对称多处理（SMP）和状态跟踪选项（STO）。

PF 的日志功能也是其创新特性之一。PF 的日志可在 pf.conf 中按规则进行配置，由 PF 提供日志，再通过伪网络接口 pflog 传送，这是从内核模式获取数据给用户级程序的唯一方式。可以使用标准工具如 tcpdump 监控日志。

IPFW 是为 FreeBSD 编写的状态防火墙，支持 IPv4 和 IPv6。它由多个组件构成：内核防火墙规则处理器及其集成的包计数功能、日志功能、NAT、流量整形器、转发功能、桥接功能以及 ipstealth 功能。

FreeBSD 在 /etc/rc.firewall 中提供了示例规则集，为常见场景定义了几种防火墙类型，以帮助新手生成合适的规则集。IPFW 提供强大的语法，高级用户可以利用它构建满足特定环境安全需求的自定义规则集。

IPF 是款跨平台开源防火墙，已移植到了多个操作系统，如 FreeBSD、NetBSD、OpenBSD 和 Solaris。IPF 是内核防火墙和 NAT 机制，可由用户空间程序进行控制和监控。防火墙规则可以使用 ipf 设置或删除，NAT 规则可以使用 ipnat 设置或删除，IPF 内核部分的运行时统计可以通过 ipfstat 打印，ipmon 可将 IPF 的操作记录到系统日志文件中。

IPF 最初使用“最后匹配规则生效”的规则处理逻辑，并且仅使用无状态规则。此后，IPF 增强了选项 quick 和 keep state。

调优

FreeBSD 拥有五百多个系统变量，可通过工具读取和设置。这些系统变量可用于对正在运行的 FreeBSD 系统进行修改，包括 TCP/IP 栈和虚拟内存系统的许多高级选项，对于经验丰富的系统管理员来说，可以显著提升性能。

GEOM

FreeBSD 的是 FreeBSD 操作系统的主要存储框架。它提供了访问存储层的标准化方式。GEOM 采用模块化设计，能让 GEOM 模块连接到框架。例如，geom_mirror 模块为系统提供 RAID1 或镜像功能。已有许多模块可用，并且各种 FreeBSD 开发者始终在积极开发新的模块。

由于 GEOM 的模块化设计，模块可以堆叠形成 GEOM 层的链。例如，在 geom_mirror 模块之上可以添加加密模块，如 geom_eli，从而提供镜像且加密的卷。每个模块都有消费者和提供者。提供者是 GEOM 模块的来源，通常是物理硬盘，有时也可以是虚拟化的磁盘，如内存盘。GEOM 模块本身提供一个输出设备，其他 GEOM 模块（称为消费者）可以使用该提供者来创建相互连接的模块链。

Linux 二进制兼容层

FreeBSD 提供对 Linux 的二进制兼容层。这能让用户在 FreeBSD 系统上安装和运行许多 Linux 二进制文件，而无需先修改这些二进制文件。在某些特定情况下，Linux 二进制文件在 FreeBSD 上的性能甚至可能优于在 Linux 上的表现。

并非所有 Linux 特定的操作系统功能都在 FreeBSD 上受支持。例如，如果 Linux 二进制文件过度使用 i386 特定调用（如启用虚拟 8086 模式），则无法在 FreeBSD 上运行。

安全事件审计

FreeBSD 支持安全事件审计。事件审计可以对各种与安全相关的系统事件（包括登录、配置更改以及文件和网络访问）进行可靠、细粒度且可配置的日志记录。这些日志记录对于实时系统监控、入侵检测和事后分析非常有价值。FreeBSD 实现了 Sun 发布的基本安全模块（BSM）应用编程接口（API）和文件格式，并且能够与 Solaris 和 Mac OS X 的审计实现互操作。

结语

本文并不是关于使用 FreeBSD 而非 GNU/Linux 的技术原因的详尽列表。还有许多其他原因我没有涉及。然而，这些是我认为最突出的几个特性。

我在第一台 PC 上运行过 Microsoft ，后来又使用了 Microsoft Windows 3.0。从那时起直到 Microsoft Windows XP，我在微软操作系统上做了很多 PC 和服务器相关的工作，但我非常讨厌这些系统。它们非常耗时，因为微软的操作系统既不安全、不稳定，又相当糟糕。

大约在 1997 年，我的一位朋友建议我尝试 Linux，我照做了。我运行的第一个 Linux 发行版是。通过我那台旧调制解调器下载它花了一个多星期，期间电话线几乎全天都在占用 :)

在运行 Red Hat Linux 并测试了其他 Linux 发行版几年后，我最终选择了 Debian，主要是因为它当时出色的包管理器以及其稳定性（稳定分支只接收安全和错误修复）。Debian 成为我最喜欢的 Linux 发行版，无论是个人还是工作站和服务器上，我都在使用它。

1998 年，，从 1999 年左右开始，我个人和工作上都开始使用 FreeBSD，涵盖工作站和服务器。从那时起，我尝试了许多其他操作系统，如今我还使用、、、和。

我按不同任务使用不同操作系统，并且在特定场景下偏好某些系统。

目前，我在桌面工作站和多台服务器上都以 FreeBSD 作为主要操作系统，除非你有非常特定的需求必须使用 Linux，否则你会发现 FreeBSD 更加贴近真正的 UNIX。如果你需要 ZFS，那么你绝对应该使用 FreeBSD。

无论如何，下次如果你计划尝鲜操作系统，不妨尝试。它也有优秀的社区，许多人乐于助人且友好。

谁在使用 FreeBSD（基金会官方版本）

本页面是对 FreeBSD End User Stories 的翻译。

参与 FreeBSD

无论你是担任导师、推广 FreeBSD，还是参与论坛和邮件列表，你的努力都推动着 FreeBSD 项目的创新与发展。通过加入我们活力四射的社区，帮助大家构建长期发展的开源生态系统，就在现在支持下 FreeBSD 项目吧！通过改善文档、处理错误报告提交代码和参与讨论来增强 FreeBSD。每份贡献，无论大小，都将有助于把 FreeBSD 发展成为一款更加稳定、安全和高效的开源操作系统。

FreeBSD 终端用户故事

从企业到个人，从关键任务服务器到笔记本电脑。了解用户如何利用 FreeBSD 强大的功能来实现安全性、性能和可扩展性。

受益于 FreeBSD 的组织

E-Card：使用 FreeBSD 扩展在线游戏和博彩

E-Card 位于保加利亚索非亚，是一家领先的在线游戏和博彩提供商。自 2000 年成立以来，E-Card 采用 FreeBSD 为其基础设施提供支持，确保其多样化的游戏和博彩服务具有强大的性能、可扩展性和可靠性。E-Card 主要运营着两个业务领域：为其他网站制作和托管消费者游戏，以及运营自己的在线赌场和博彩平台。他们的旗舰平台每天为数千名客户提供游戏和体育博彩服务。

性能与可扩展性

FreeBSD 的 ZFS 文件系统提供了数据完整性、压缩和高效的数据处理能力，可响应 E-Card 的大规模数据操作。在高峰时段，E-Card 的服务器可以容纳数千名在线玩家。其基础设施每秒可实现约 100,000 次查询和 20,000 次交易，确保用户流畅体验和即时响应。该公司使用聚合的 10G 网络接口和 Arista 交换机，确保高网络吞吐量和可靠性。

“自 2000 年以降，FreeBSD 始终是我们基础设施的支柱。它的稳定性、性能和简单的管理使我们能够扩展业务，满足在线游戏行业的严格要求。”——E-Card 首席技术官 Rumen Palov

根据保加利亚博彩行业的监管要求，像 E-Card 这样的大型服务器必须留存大量数据，最长须达 5 年，因此需要像 ZFS 这样强大高效的存储解决方案。

E-Card 对社区的贡献

E-Card 遇到并报告了多个错误，为满足其特定需求而为 FreeBSD 和 ZFS 定制了补丁。它是 FreeBSD 社区的活跃成员，并表示有兴趣撰写文章，分享他们的技术经验和见解。该公司的参与有助于完善 FreeBSD 生态系统，帮助其他希望采用 FreeBSD 技术的企业。

E-Card 成功采用 FreeBSD 的案例证明了该操作系统在处理高需求的大规模在线游戏和博彩应用中的能力。FreeBSD 的稳定性、性能和社区支持使其成为在线游戏行业运营企业的理想选择。

Antithesis：利用 FreeBSD 和 Bhyve 开创确定性虚拟机监控程序

Antithesis 正在攻克软件工程中最棘手的问题之一：改造软件测试和调试，使其更高效、更可靠。他们的解决方案是：基于一款构建于 FreeBSD 和其原生虚拟机监控程序 Bhyve 之上的确定性虚拟机监控程序。让我们研究一下 Antithesis 所应对的具体挑战、选择 FreeBSD 和 Bhyve 的原因，以及这一开创性技术的远大前景。

挑战

在软件工程中，错误的可复现性是一项重大挑战。许多错误极难以捕捉，在特定条件下常常不一致地出现，难以复制。这种不一致性阻碍了调试工作，导致开发周期延长和成本增加。传统的调试工具，例如记录重放机制（如 dtrace 等），面临着存储需求、操作系统依赖和可扩展性限制——尤其是在分布式系统中。

Antithesis 识别出需要一项强大的解决方案，以提供一致和可复现的测试环境，使开发人员能够全面探索、诊断和修复错误。这一需求促成了他们的确定性虚拟机监控程序项目的诞生。

Antithesis 选择 FreeBSD：Antithesis 需要一款稳定、灵活、能自由使用的操作系统来开发其确定性虚拟机监控程序。由于清晰的架构设计和完善的功能集，FreeBSD 完美匹配这些需求，为 Antithesis 创新和定制其虚拟机监控程序提供了必要的支持。

FreeBSD 宽松的许可模式对 Antithesis 有利，使其能够在不受更严格许可证限制的情况下构建专有解决方案。

宽松许可证是一种软件许可证，授予接收者广泛的修改、使用和分发软件的权利，通常限制较少。这些许可证通常允许将软件用于专有/闭源项目，无需要求这些项目发布其源代码。宽松许可证与强制性许可证形成对比，后者对软件的分发和修改施加了更为严格的要求。

技术优势： FreeBSD 以其干净且结构良好的代码库而闻名。这种简洁性和清晰性使其成为确定性虚拟机监控程序的理想基石，因为它需要进行大量的修改和扩展。

成熟与简洁： Bhyve 是 FreeBSD 原生的虚拟机监控程序，相较于 Xen 和 KVM 等其他虚拟机监控程序，提供了一个成熟且相对简单的代码库。其良好分层和干净的架构为 Antithesis 所需的大量修改提供了坚实的基点。

定制化： Antithesis 需要大幅简化和修改 Bhyve 以实现确定性。通过关注核心确定性行为并逐步构建功能，他们创建了一款可确保多个运行之间状态和行为一致的虚拟机监控程序。

在 FreeBSD 和 Bhyve 上实现 Determinator

Antithesis ，即“Determinator”，可提供一个受控和可复现的测试环境。Determinator 在一个由虚拟机监控程序管理的单一虚拟机内运行着多个容器。该设置确保整个系统状态一致且可复现，从而能深入探索和调试错误。Determinator 的功能包括：

确定化的可复现性： 确保每次软件测试运行产生相同的结果，甚至包括虚拟机内部状态的精确序列。

状态空间探索： 使全面探索不同执行路径成为可能，以识别潜在错误和问题。

时间旅行调试： 允许开发人员在执行历史中前后移动，以准确定位错误的发生时刻和原因。

快照能力： 其实现的一项关键特性是高级快照功能，能让整个虚拟机状态瞬间保存和恢复。这一能力对于创建可复现的测试环境和进行软件行为的详细分析至关重要。

可扩展性： 尽管运行在单个核心上，确定性虚拟机监控程序可通过运行多个虚拟机（每个虚拟机探索程序状态的不同部分）支持普遍的并行性。

未来方向

Antithesis 计划继续增强其确定性虚拟机监控程序并扩展其功能。他们的计划包括：

开源和社区参与： 尽管当前聚焦于产品开发，Antithesis 也有兴趣对部分工作开源，回馈社区促进合作。

新的测试场景： Antithesis 将为 API 测试、用户界面测试、金融交易系统测试和计算机游戏测试增加未来场景。

更广泛的平台支持： 扩展对更多操作系统和硬件配置的支持，使虚拟机监控程序更加多功能和广泛适用。

与 CI/CD 管道集成： 将确定性虚拟机监控程序纳入持续集成和交付管道，以自动化测试并确保高质量发布。

结论

Antithesis 创新性地利用 FreeBSD 和 Bhyve 创建了一款确定性虚拟机监控程序，这是一款解决软件开发中关键问题的工具：错误的可复现性。通过确保一致和可控的测试环境，它显著提升了软件调试和测试的效率与可靠性。通过持续致力于创新和社区参与，Antithesis 在软件工程领域的贡献前景广阔。

Cloudnium 采用 FreeBSD 提供先进的托管解决方案

Cloudnium 由 Earl Adams 在德克萨斯州沃斯堡创立，是一家专注于高密度机柜和人工智能及云计算托管解决方案的前沿服务提供商。Cloudnium 利用 FreeBSD 的稳定性、安全性和性能，满足客户不断变化的需求。

Earl Adams 在 IT 行业有着丰富的历史，曾拥有多家公司和数据中心。Cloudnium 是他最新的创业项目，提供定制化解决方案，满足那些像 AWS 和 Azure 等主要提供商无法轻易满足的特定和高强度计算需求的客户。Cloudnium 的服务包括机房托管、专用服务器以及为开发公司提供的后台支持。

挑战

Cloudnium 面临着高密度托管提供商所特有的多项挑战。确保其高密度服务器的持续稳定运行至关重要，因为任何停机时间都可能对客户的运营造成重大影响。鉴于客户工作负载的性质，保护敏感数据的强大安全协议也至关重要。此外，Cloudnium 还需要为其服务所需的高能耗提供具有竞争力的定价。可扩展性也是一个主要关注点，因为他们必须管理有效支持人工智能和云计算客户的基础设施。

解决方案：FreeBSD

Cloudnium 选择 FreeBSD 作为其核心操作系统，应对这些挑战。FreeBSD 因其强大的性能和可靠性而闻名；在配置完成后，仅需最少的干预即可确保平稳持续的运行。FreeBSD 的高级安全特性为保护客户数据提供了坚实的基础。FreeBSD 的高效网络堆栈和对高性能应用程序的支持，使其成为 Cloudnium 需求的理想选择。此外，FreeBSD 的灵活性使 Cloudnium 能够根据具体要求定制操作系统，进一步提高了整体性能。

实施

Cloudnium 已将 FreeBSD 集成到其运营的多个关键领域。他们在 FreeBSD 上运行核心服务和支持基础设施，确保稳定安全的基础。此外，Cloudnium 将在沃斯堡的互联网交换中心大量部署 FreeBSD，突显了 FreeBSD 系统的可靠性和性能。

采用 FreeBSD 为 Cloudnium 带来了众多好处。FreeBSD 的稳定性降低了停机时间和维护需求，为客户提供了更可靠的服务。加固的安全措施保护了 Cloudnium 及其客户免受潜在威胁，确保数据的完整性和安全性。FreeBSD 提供的高效资源利用导致显著的成本节省，使其服务更具竞争力。此外，其托管环境的高性能和可靠性提升了客户满意度。

未来计划

Cloudnium 计划在多个方面增加对 FreeBSD 的使用。他们正在开发基于 FreeBSD 的数据中心管理系统（DCM），增强其基础设施管理能力。此外，他们希望与 FreeBSD 社区更加紧密地合作，改善整体支持和工具，进一步增强系统能力。Cloudnium 还致力于通过建立免费的实验室和技术女性教育项目来支持技术领域的多样性。

Cloudnium 战略性地利用 FreeBSD，使其在提供高密度和专业计算需求的先进托管解决方案方面处于领先地位。FreeBSD 的稳定性、安全性和性能使 Cloudnium 能够有效满足客户需求，同时为未来的增长和创新做好了准备。

Metify 案例研究

通过从 Linux 切换到 FreeBSD 提升网络管理：Metify 的方法

Metify 在网络管理和基础设施优化领域脱颖而出，成为了创新的力量。该公司利用 FreeBSD 的能力推动其突破性的软解决方案。Metify 已将 FreeBSD 确立为其技术栈的基石，从而不再严格依赖 Linux。

这一战略选择源于 FreeBSD 在网络环境中的无与伦比的性能和稳定性，这些特性在现代网络的快节奏环境中至关重要。Metify 的旗舰网络管理软件 Mojo 和多功能网络设备 Photon 展现了该公司利用 FreeBSD 能力提供先进解决方案的决心。

切换的过程

Metify 的首席技术官 Ian Evans 最近解释了 FreeBSD 相较于其他操作系统的独特优势。他强调了 FreeBSD 与 ZFS 文件系统的紧密集成，确保了数据完整性和高效存储管理，简化了整体系统架构。

此外，他还强调了 FreeBSD 内核设计的优雅，创造了一个精简和可定制的环境，能够针对性能进行微调，这与 Linux 发行版中常见的复杂性形成鲜明对比。Ian 还指出，FreeBSD 文档的完整性在软件领域中较为罕见，强调了 FreeBSD 社区的活力与热情。

“总体来说，FreeBSD 在文档方面做得非常出色。你总能找到参考资料，社区似乎更活跃、更健全。如果我们需要联系，同某人交流，我们发现这种支持更强，深度也更明显。”——Ian Evans, Metify 首席技术官

Metify 对 FreeBSD 的决心不仅仅是使用它。他们正在通过在 Mojo 中集成精心设计的自动化安装流程，努力实现大规模部署 FreeBSD。Metify 的目标是使 FreeBSD 的使用更易于访问和用户友好——类似于 Linux。通过简化部署和配置过程，Metify 促进了 FreeBSD 在企业网络中的更广泛采用，利用其在性能和可靠性方面的内在优势。

回馈社区

Metify 的路线图列出了雄心勃勃的目标，包括进一步将 FreeBSD 整合到其生态系统中。该公司计划向上游贡献，增强对容器运行时的集成。通过促进 FreeBSD 的使用，鼓励开源社区的合作，Metify 不仅推动了产品的创新，还为网络技术的更广泛的发展做出了贡献。值得注意的是，BSD 许可证为 Metify 提供了灵活性，让他们可以立即实施 FreeBSD，且在适当时机回馈社区。

“FreeBSD 许可证在使用方面提供了更大的灵活性。我们正处于一个阶段，待我们的产品达到一定水平，我们计划进行更多的上游贡献。这种对代码使用和集成到我们的软件栈的灵活性至关重要。” -Ian Evans, Metify 首席技术官

Metify 战略性地将 FreeBSD 作为其网络管理解决方案的基础，代表了一个重要的关注点。通过利用 FreeBSD 的高性能网络能力和固有的可靠性，Metify 准备重新定义网络管理的卓越标准，为效率、可扩展性和创新设定新的基准。

RG Nets 案例研究

RG Nets 如何利用 FreeBSD 构建高性能边缘网络的未来

RG Nets, Inc. 于 2007 年由 Simon Lok 博士创立，已成为设计和部署软件定义网络网关技术的领先者。该公司专注于为各种环境提供高性能、可扩展、安全的网络解决方案，涵盖从小型企业到大规模服务提供商的广泛需求。
RG Nets 的 rXg 交钥匙网关设备是一种强大的解决方案，能够将多种网络功能整合到一个设备中。该设备可以从统一控制台轻松管理，这对于需要在多个远程位置管理和监控网络访问的大型组织尤其有用。这些功能对运营商、酒店、大型住宅物业以及大型公共场所（LPV）如体育场、交通枢纽和拥挤城市热点区域尤其有帮助。

RG Nets：利用 FreeBSD 应对现代网络挑战

如今，RG Nets 利用 FreeBSD 强大的能力，为复杂的边缘网络挑战提供了创新和有效的解决方案。该公司拥有坚实的基础，开发出满足小型企业和大型服务提供商多样化需求的先进网络解决方案。

RG Nets 使用 FreeBSD 的稳健和模块化架构，创造出满足现代网络在性能、安全性和可扩展性方面具体需求的定制解决方案。通过利用 FreeBSD 的灵活性，RG Nets 可以根据客户的规格优化网络功能，在不受商业网络解决方案限制和费用的情况下，显著提高性能。

应用的先进领域

软件定义网络 (SDN)： RG Nets 专注于使用 FreeBSD 进行软件定义网络 (SDN)，这项技术通过将控制平面与数据平面分离，从而实现高效的网络管理和操作。通过利用 FreeBSD 独特的能力作为覆盖集线器并管理基础的控制平面，RG Nets 成为理想的 SDN 前端，具备高性能和能力。RG Nets 在 FreeBSD 上的 SDN 解决方案提供无与伦比的灵活性和控制，支持自动网络管理、高效资源分配和适应性网络基础设施。

网络安全： 在当今的网络环境中，确保网络基础设施的安全至关重要，因为网络威胁不断演变。RG Nets 利用 FreeBSD 自带的安全环境来开发综合安全解决方案。这些解决方案包括先进的防火墙技术、微分段、入侵检测系统和安全网络网关，确保数据完整性，防止数据泄露。

高可用性和灾难恢复： FreeBSD 的稳定性和可靠性使其成为需要高可用性和强大灾难恢复能力解决方案的理想选择。RG Nets 实施基于 FreeBSD 的系统，可确保持续运行和最小停机时间，这对各行各业的关键任务应用至关重要。

网络功能虚拟化和应用虚拟化： RG Nets 可以利用 FreeBSD 的关键特性集 bhyve 虚拟机监控器和 jail 容器，为最具挑战性的行业应用和现代运营商网络构建高度竞争的开源网络解决方案。

成本效益创新： RG Nets 致力于降低客户网络基础设施的成本。通过使用 FreeBSD，该公司避免了专有软件相关的高许可费用，并将这些节约回馈给客户。这种方法不仅使先进的网络更易于访问，还促进了更具竞争力的市场。

社区贡献和未来技术：推动 RG Nets 的创新

该公司在其基于 FreeBSD 的网络边缘解决方案中处于技术集成的前沿，特别是在应用容器化和网络虚拟化方面。这种集成提高了可扩展性和效率，使 RG Nets 能够提供强大而灵活的解决方案，以满足未来数字通信需求，包括 5G 网络和物联网生态系统。

Simon Lok 博士和 RG Nets 积极参与 FreeBSD 社区，展示了他们在推动网络技术边界方面的努力。这种参与确保了 RG Nets 在创新前沿的地位，为 FreeBSD 生态系统的发展做出了重大贡献。

在过去，RG Nets 为 FreeBSD 集成的包过滤防火墙 pf、网络数据包调度器 altq 以及针对特定配置的英特尔网络接口卡性能提升做出了贡献。

RG Nets 当前贡献的一个明显例子是其对 Vector Packet Processor (VPP) 移植和数据平面开发工具包 (DPDK) 向 FreeBSD 的赞助。这些项目代表了网络数据处理的重大进展：

Vector Packet Processor (VPP)： VPP 最初由思科开发，具有高度可扩展性，能够以极高的速度进行数据包处理。到使操作系统能够更高效地处理大规模数据流，从而降低延迟并提高对高要求网络应用的吞吐量。
数据平面开发工具包 (DPDK)： DPDK 是一套库和驱动程序，旨在加速各种 CPU 架构上的数据包处理工作负载。通过对 DPDK 的移植，RG Nets 促进了 FreeBSD 上网络应用的性能提升，使数据包处理更快更可靠。

FreeBSD 对电信和网络行业的未来影响

RG Nets 将 VPP 和 DPDK 集成到 FreeBSD 中，在电信和网络领域取得了显著进展。这些技术使电信公司能够更高效地管理更高的数据负载，这对处理来自视频流、云计算和物联网设备的增加流量至关重要。

随着 VPP 的集成，该公司基于 FreeBSD 的网关将显著提升性能，尤其是在边缘网络部署中，这对于处理来自移动设备的 5G 和 Wi-Fi 流量至关重要，尤其是在大型公共场所和人口稠密的城市区域等挑战性环境中。VPP 使这些网关在减少 CPU 使用的同时实现更高性能，从而减少对计算能力的需求。这种效率对于管理像体育场这样在活动期间发生数千个同时连接的地方的 5G 网络的高数据吞吐量和低延迟需求尤为重要。

此外，RG Nets 的系统提供了更佳的性能，减少了对重大硬件投资的需求。这使得能够使用可根据用户需求增长的可扩展解决方案，而无需增加成本。这种可扩展性对于希望有效扩展基础设施的电信提供商极为重要，可同时推出新服务。在将来，它还为使用具有非常高网络吞吐量的低功耗解决方案（如基于 Arm 和 RISC-V 的解决方案与 VPP 和集成数据处理单元（DPU））提供了可能性。

RG Nets 与 FreeBSD 社区的未来

RG Nets 对 FreeBSD 的发展做出了重要贡献，使服务提供商能够提供新颖和创新的服务，满足消费者和企业不断变化的需求。这些服务包括增强的宽带服务、更强大的安全功能以及下一代移动服务，这对提供高质量、可靠且先进的网络服务至关重要。

RG Nets 参与 FreeBSD 的发展，在塑造电信未来方面至关重要。它还强调了开源解决方案在促进创新和推动行业标准方面的重要性。通过不断创新和利用开源技术，RG Nets 在电信行业中保持关键地位，为采用和开发尖端网络技术做出了贡献。

FreeBSD 案例研究：Sheridan Computers

十年不变的服务——FreeBSD 和 Asterisk 的故事

引言

十年前，电信的前景截然不同。基于云的解决方案刚刚开始悄然承诺无限的可扩展性和灵活性。然而，在这些初露端倪的云朵中，我们的一位客户决定将他们的电话需求牢牢固定在地面上，采用一种本地部署的 VoIP 解决方案。这个方案是 FreeBSD 与的和谐结合，不仅经受住了时间的考验，还蓬勃发展，为耐用性、成本效益和技术韧性提供了深刻的见解。

设置

在 2014 年这个辉煌的年份，我们与客户一起踏上了旅程，安装了一种本地部署的 VoIP 解决方案。以其强大和安全性著称的 FreeBSD 成为了被选中的操作系统，而 VoIP 解决方案的明星 Asterisk 则成为了中心舞台。这个动态组合旨在支持大约 30 位用户。

这个设置的魅力何在？它是以 12 个月的维护方案出售的。但转折在于——在一年后，客户觉得没有必要续费，因为系统表现出色。

十年的沉默

将近十年来，这个设置就像一个安静而强大的角色，效率高、可靠且完全不引人注目。然后，突然间，一封关于硬盘故障的电子邮件警报闪现。得益于安装了多块硬盘，并采用 RAID 配置，这次小故障不过是个小插曲。系统在继续毫不间断地勤奋工作。

在接到客户的电话后，我们迅速更换了硬盘。然而，这一事件突显了一个令人印象深刻的事实——这个十年的系统依然表现优异。

升级

考虑到系统正在运行的是 FreeBSD 9.3，算是“享受退休生活”，是时候进行升级了。我们将系统更新到 FreeBSD 13.3，并将 Asterisk 更新到当前版本。这一转变就像给系统喝了一口青春之泉——它焕然一新。

财务分析

让我们来谈谈数字。如果我们的客户选择了基于云的解决方案，设想每位用户每月支付 15 英镑，那么十年的费用……好吧，简单来说，这会让他们的会计大吃一惊。而他们在本地解决方案上的初始投资，加上通话费用（和一次硬盘更换），描绘出了一幕更可接受的财务画面。

无声的英雄

这个故事不仅仅关乎节省成本。它证明了 FreeBSD 和 Asterisk 的可靠性。从十年前的操作系统无缝升级到当前版本，在科技界是极为少见的。这充分体现了 FreeBSD 在前瞻性设计和兼容性方面的考虑。

结论

回顾过去十年，这个案例研究不仅关乎技术。这关乎在适当的时机做出正确的选择。这关乎像 FreeBSD 和 Asterisk 这样的无形英雄，它们使企业能够有效沟通，而不需占据风头。

至于我们的客户？也许在十年后我们会再听到他们的消息，可能是为了更换另一个硬盘。但在那之前，我们可以安然入眠，因为我们提供的解决方案不仅满足了现在，也为将来做好了准备。

在一个不断追逐下一个重大事物的世界里，有时候，真正的价值在于那些已经存在的东西——坚定、可靠且始终有效。祝愿未来的十年服务如初，干杯！

– 作者：

倍福案例研究

倍福通过从 Windows CE 切换到 FreeBSD 实现更小的占用空间

Beckhoff Automation（倍福自动化）是工业自动化领域的先锋，以其创新的解决方案和尖端技术而闻名。倍福成立于 1980 年，利用经过验证的基于 PC 的控制技术实施开放的自动化系统。他们的产品组合包括工业 PC、I/O 和现场总线组件、驱动技术、自动化软件、无控制柜自动化和机器视觉硬件。倍福不断扩展自动化的边界，推出了基于 PC 的控制系统、EtherCAT 现场总线技术和 TwinCAT 自动化软件。这些产品使全球各行业能够在其流程中实现更高的效率、灵活性和精确度。倍福对开放标准和模块化架构的投入促进了无缝集成和可扩展性，使得在制造、汽车、能源等各个领域为多种应用提供量身定制的解决方案。

变革的需求

在过去的 25 年里，倍福一直将 Windows 作为其工业 PC 产品的唯一操作系统。因此，Windows CE 成为了所有 Beckhoff 小型自动化设备的基础。在 2015 年，倍福的客户发现他们的 Windows 设备遭遇了勒索软件攻击。随着 Windows CE 即将结束支持，倍福开始寻找其他操作系统。

倍福需要一款经过验证且可靠的操作系统，能够支持其产品线的全系列硬件，从 ARM 到 Intel Xeon。由于更倾向于开放标准，倍福首先打算使用 Linux 作为 Windows CE 的替代方案，但由于 GNU 通用公共许可证会给倍福的客户带来额外的法律问题，并迫使倍福共享其专有的实时 TwinCAT（该软件在内核模式下运行），因此感到受挫。因此，倍福决定寻找一款具有宽松许可证的开源操作系统，以便能够调整内核以支持 TwinCAT 实时功能，而无需贡献 TwinCAT 的源代码。

宽松许可证是一种软件许可证，授予接收者广泛的权利，可以修改、使用和分发软件，通常限制较少。这些许可证通常允许软件在专有/闭源项目中使用，而无需要求这些项目发布其源代码。宽松许可证与“反向版权”许可证形成对比，后者对软件的分发和修改施加了更严格的要求。

识别并构建解决方案

倍福转向 FreeBSD，因为其在工业领域的验证和可靠声誉以及宽松的许可结构，这使得倍福能够将 TwinCAT 添加到内核中。FreeBSD 拥有一个健康活跃的开发者社区，该社区推动了超过 30 年的创新，并持续进行。此外，FreeBSD 支持着一些全球最知名的品牌，如 NetApp、Netflix、Netgate、Juniper 等。

借助 FreeBSD 的宽松许可结构，倍福将其专有的 TwinCAT 实时功能与 FreeBSD 结合，创建了 TwinCAT/BSD，这是一款基于软件包的操作系统，成为了 Windows 的替代方案。

TwinCAT/BSD 支持所有 TwinCAT 3 运行时功能，为倍福提供了一种低成本和小占用的解决方案，适合倍福的最小设备。倍福的高级产品经理 Heiko Wilke 指出，在使用 Windows 时，仅安装的 Windows，倍福的设备就使用了 1.5GB 的内存。而相比之下，倍福的最小设备仅有 2GB 的 RAM。

由于 FreeBSD 可不包含不需要的进程，倍福能够将内存使用减少到约 200MB，Heiko Wilke 表示，这为其操作系统上额外的程序留出了更多空间。此外，倍福还将 TwinCAT/BSD 作为基于软件包的系统进行部署，以便于更新，允许删除更多不必要的程序。由于其基于软件包的方法，Beckhoff 的 TwinCAT/BSD 占用空间约为标准 FreeBSD 安装的二分之一。

开始使用 FreeBSD

倍福给所有希望实施 FreeBSD 的组织的忠告是，尽早且频繁地咨询 FreeBSD 基金会。FreeBSD 基金会不仅可以帮助解决技术和实施问题，还可以帮助建立网络，联系社区成员。如果你的组织考虑开始使用 FreeBSD，请通过他们网站的页面向 FreeBSD 基金会发送电子邮件，或以便今天就开始。

TwinCAT®、TwinCAT/BSD® 和 EtherCAT® 是 Beckhoff Automation GmbH 的注册商标。

NetApp 案例研究

FreeBSD 为 NetApp 的 ONTAP 数据管理系统提供灵活性和性能

NetApp 是一家智能数据基础设施公司，为企业客户提供统一数据存储、集成数据服务和云计算运营解决方案。作为技术领导者，NetApp 以其业界领先的产品帮助企业在内部部署和混合云环境中管理数据和应用程序。FreeBSD 是 NetApp 成功故事中不可或缺的一部分，也是其产品的固定组件。FreeBSD 是 NetApp 成功故事中不可或缺的一部分，也是其产品的稳定组件。

历史的进程……

NetApp 与伯克利软件发行版（BSD）有着悠久的历史。在 2004 年，NetApp 的领导层决定将 NetApp ONTAP（其所有产品系列的数据管理软件）基于更注重性能的系统——FreeBSD。做出这一决定的一个重要因素是 BSD 许可证模型，从 2004 年的 6.0 版本到今天的 14.0 版本，FreeBSD 始终是 NetApp 中一项稳定和最新的组成部分。

NetApp 需要的许可证模型：能在其新的数据管理系统中整合其专有技术，而不必担心潜在的软件许可证问题。NetApp 考虑了其他 BSD 分行版本，但最终选择了 FreeBSD，因为它在性能和安全性之间取得了良好的平衡。NetApp 与 FreeBSD 的成功经验使他们在多年来不断增加其使用，最近还改变了 ONTAP 中 FreeBSD 的实现。

由于 FreeBSD 在实施中的灵活性和行业领先的稳定性，它在 NetApp ONTAP 中一直是一个可靠的组件。在过去，NetApp 使用的是较旧版本的 FreeBSD，但现在它更接近 CURRENT 发行版本（在 FreeBSD 社区中称为“”）。

在不同组织和多种应用中，FreeBSD 有多种实现方式。有些组织可能像 NetApp 那样选择跟踪接近 head 版本，或者像 Netflix 那样选择跟踪 head 版本，而有些组织则决定保持在几个版本之前。FreeBSD 为组织提供了稳定性、灵活性和升级的便利，使他们可以选择最适合其特定用例的实施风格，无论是滞后几个版本还是跟踪 FreeBSD 的最新发行版本。

NetApp 与 FreeBSD 社区

FreeBSD 项目由一组核心的 FreeBSD 提交者管理，还有许多具有直接 Git 访问权限的贡献者，能够访问 FreeBSD 的主代码库。负责推动项目的运营。FreeBSD 核心团队由 FreeBSD 项目内的活跃开发人员选举产生。这种开放和民主的治理政策以及社区专注的政策使 NetApp 对 FreeBSD 的未来感到更为安心，从而帮助他们更自信地跟踪 FreeBSD 的最新发行版本。

FreeBSD 充满活力和支持的开发者和用户社区也是解决问题和学习的极佳资源。实际上，NetApp 得到了另一家商业 FreeBSD 用户的个人指导，这激励他们更靠近于 FreeBSD 的最新版本。NetApp 还参加了 FreeBSD 会议和活动，如 BSDCan 和 Vendor Summit，这些活动为 NetApp 开发人员与 FreeBSD 社区交流提供了极好的机会。

NetApp 以多种方式为 FreeBSD 做出贡献，包括定期主办 FreeBSD 基金会活动、进行常规的错误修复和增强以及向 FreeBSD 基金会提供财政支持。值得注意的是，NetApp 有一个有趣的上游策略。NetApp 与合作，获得商业支持并通过 Klara 进行上游开发。NetApp 还拥有一个全面的持续集成测试套件，在其代码库上每日运行，包括 FreeBSD。当测试遇到 FreeBSD 问题时，NetApp 会通过 Klara 报告，并由 Klara 进行上游更改。NetApp 的工程师过去还曾向 FreeBSD 上游提交新技术，如，这是个 BSD 许可证的虚拟机管理程序。近年来，NetApp 为上游提交了近 300 项更改。

开始使用 FreeBSD

NetApp 建议其他希望寻找高性能操作系统的组织考虑 FreeBSD，原因在于其宽松的软件许可证、充满活力和支持的社区，以及对可扩展性、稳定性和安全性的强烈关注。

在实施方面，NetApp 提供了一些建议：

从小开始，并随着对 FreeBSD 的深入使用逐渐积累经验。
定期升级 FreeBSD，尽量保持接近最新版本。
理解 FreeBSD 哲学和愿景。
选择 FreeBSD 支持的合适硬件平台。

案例研究：在 FreeBSD 上维护全球最快的内容分发网络

Netflix 是一家全球娱乐公司，其流媒体服务彻底改变了人们消费电视节目和电影的方式。Netflix 总部位于加利福尼亚州洛斯加托斯，已发展成为全球领先的流媒体平台之一，在 190 多个国家拥有数百万用户。Netflix 以其广泛的电影、电视剧和纪录片目录而闻名，包括备受好评的原创作品，通过投资创新内容和技术，Netflix 继续塑造着娱乐行业。

互联网上最快、流量最高的网络，全部运行 FreeBSD

Gleb Smirnoff 是一位熟练的软件工程师和经验丰富的 FreeBSD 提交者，他在 Netflix 工作，负责管理用于 Open Connect 的定制和性能优化的 FreeBSD 基础固件，这是该公司的内容分发网络（CDN）。

在他 2023 年 11 月在 FreeBSD 供应商峰会上的演讲中，Smirnoff 强调了 Netflix 运营的庞大规模。

“我们是互联网上最大的流量来源之一——每秒发送数太比特，所有服务器和设备均运行着 FreeBSD。”

正如 Smirnoff 所指出的，Netflix 的 Open Connect 最初是在标准的 FreeBSD 平台上运行，随后逐渐进行了性能改进。2012 年，一项基于 vanilla FreeBSD 9.0-RELEASE 和 nginx 的 CDN 概念验证项目启动，该项目部署在搭载单个 10 Gbit/s 接口的服务器上。

随着时间的推移，显而易见，要实现快速增长，需要超越操作系统当前能力的限制。Netflix 的内容分发网络（CDN）的预期规模如此之大，以至于值得在 FreeBSD 的持续开源开发上投资。

Netflix 意识到，在全球范围内部署 CDN 时，即使是性能提升一个百分点也能节省数十万美元。Netflix 定制的 FreeBSD 版本实现了更深的集成和更精确的内核级优化，从而带来了显著的性能提升。

在 Netflix 上跟踪 FreeBSD-CURRENT

Netflix 在平衡自定义修改与保持与 FreeBSD 项目核心代码库一致性间进行了谨慎的管理。这确保了他们的自定义增强功能在不触发与 FreeBSD 原始源代码不再可持续性偏离的情况下，提升系统能力。这种微妙的平衡使 Netflix 能够利用 FreeBSD 的优势，同时创造出满足其特定高性能需求的定制解决方案。

另一位 Open Connect 团队成员 Drew Gallatin 在 2023 年 11 月的 OpenFest 保加利亚会议上详细介绍了 Netflix 如何对 FreeBSD 进行定制。

拥有超过 25 年为 FreeBSD 贡献的经验，Gallatin 分享了他在优化 FreeBSD 以服务于 Netflix 的 Open Connect 中的经历和挑战，并强调了跟踪 FreeBSD-CURRENT 背后的战略决策过程：

“我们觉得我们以往所做的是愚蠢的，因为我们应该做的是跟踪 FreeBSD-CURRENT。这听起来疯狂，因为这是大家推送所有内容的地方，但对我们来说，这实际上是世界上最好的选择。”

在他的演讲中，他还分享了有关“神奇的神秘合并”的轶事，说明了运行 CURRENT 分支的重要性。Gallatin 反映了 Netflix 在维护系统性能和稳定性方面的主动做法：

“当我们运行 FreeBSD-CURRENT 时，我们能够非常快速地捕捉到问题。如果有某些回归，我们会立刻发现。在某人提交某个东西与我们发现它有问题之间，不会存在两到三年的延迟。”

Gallatin 还进一步阐述了子树集成的好处，强调了 Netflix 与 FreeBSD-CURRENT 战略性一致性所带来的简化开发和维护流程：

“我们的树几乎与上游 FreeBSD 树完全相同……这大大减少了我们通过保持自己的补丁而积累的技术债务。”

FreeBSD 的战略集成与性能优化

Netflix 精心管理内部 FreeBSD 实现与更广泛的 FreeBSD 社区之间的代码流。严格的测试框架、持续集成和单元测试构成了 Netflix 的开发策略基础。定期合并包括上游更改，并特别关注在正式纳入 FreeBSD 之前集成性能提升补丁。每次合并都会进行 A/B 测试，以保持/提升系统性能和稳定性。

Netflix 的 FreeBSD 实现的演变涉及对内核的精细调整，以缓解性能瓶颈并处理不断增加的数据流量，这包括 RACK（Recent ACKnowledgment），这是一个由 Randall Stewart 开发的 TCP 栈，旨在改善数据传输的性能和可靠性。Netflix 对 FreeBSD 的其他显著增强包括异步 sendfile 操作，便于非阻塞数据传输，以及先进的 VM 页缓存技术，提升数据处理效率和网络吞吐量。

Netflix CDN 团队还与 FreeBSD 社区合作，以增强使用内核 TLS（KTLS）进行数据传输的安全性和效率。

KTLS

KTLS 是一种将 TLS（传输层安全性）处理从用户应用程序转移到操作系统内核的技术。通过在内核中加密数据，提高了使用 sendfile(9) 的文件和网络服务器的性能，避免了将数据复制进出用户空间进行加密。KTLS 对于需要安全数据传输的高吞吐量应用（如网络服务器）非常有帮助。它实现了高效的数据处理，并使 Netflix 能够在其 CDN 服务器上实现 400 Gb/s 的吞吐量。Gallatin 解释说：

“我们拥有世界上第一台 100 千兆每秒的生产 CDN 服务器……这要归功于内核 TLS。”

“内核 TLS 是什么？我们将批量加密处理移到了内核中（从 nginx），以保留 sendfile 流水线。”

“通过 sendfile 和内核 TLS，我们可以消除许多内存带宽瓶颈，现在许多事情变得更可行。通过考虑带宽和 CPU 利用率，我们在 FreeBSD 上大约可以达到 375 Gb/s，CPU 使用率约为 53%。”

在 FreeBSD 中，内核 TLS 是一个大型项目，通过社区的合作经历了显著的发展。在 Netflix 工作期间，Scott Long 首次提出将 TLS 集成到内核中。他与 Randall Stewart 共同开发了基础的软件 TLS 传输机制。Drew Gallatin 对该项目贡献巨大，引入了外部页面 mbufs 和 M_NOTREADY mbufs，这对在内核中处理加密数据至关重要。他还开发了一个可插拔接口，以支持各种软件 TLS 后端。

后来的 KTLS 版本对系统进行了显著增强。例如，对于 FreeBSD 13，增加了通过网络接口卡（NIC）卸载进行传输层安全性（TLS）的功能。Drew Gallatin 首次与 Chelsio 合作实现了这一功能，Chelsio 与 Netflix 共同赞助了该项目，针对 Chelsio T6 适配器。随后，扩展了这一功能，支持 Mellanox ConnectX-6 Dx 适配器，从而支持更广泛的硬件加速。

这一持续的发展得到了 Netflix、Chelsio 和 Mellanox 的支持，突显了增强 FreeBSD 网络安全和性能能力的强大社区驱动努力。

回馈社区

Netflix 在管理其 FreeBSD 实施 Open Connect 的策略反映了对更广泛 FreeBSD 社区的深切决心。Smirnoff 强调了与 FreeBSD 开发紧密跟踪的重要性：

“减少操作系统与 FreeBSD 之间的差异至关重要，这意味着你需要将更改提交到上游。”

他还阐述了这一策略的实际好处，解释说：

“跟踪 FreeBSD-CURRENT…让我们能够与上游开发人员合作，并快速将更改纳入 FreeBSD。”

这种方法最小化了技术债务，促进了最新功能和改进的快速整合，使 Netflix 始终处于流媒体技术创新的前沿。

经验教训与最佳实践

成功管理大型 FreeBSD 实施（如 Netflix 的案例）提供了关于社区参与和开源协作重要性的宝贵经验教训。

及早与社区互动，积极参与项目对于充分发挥 FreeBSD 的潜力至关重要。这些实践确保系统的任何调整都能与更广泛生态系统中的持续发展保持良好平衡。
随着时间的推移，通过优先考虑社区参与、定期测试和战略性上游贡献，精炼管理组织 FreeBSD 实施的策略可以带来显著的好处。
采用新的 FreeBSD 功能并进行彻底的测试，以便在开发早期识别潜在的系统退化是至关重要的。这种主动的方法有助于厘清组织的定制分支与主要 FreeBSD 项目之间的差异，确保改进提升系统能力而不引发不可持续性的偏离。
建立一个明确的流程来集成外部代码和管理内部更改是关键。为代码审查、集成和测试设定清晰的规范对于维护系统的完整性和性能至关重要。

通过采用这些实践，组织可以有效管理其基于 FreeBSD 的系统，确保它们满足特定的操作需求，同时保持在技术进步的前沿。

未来方向

Netflix 致力于利用 FreeBSD 的灵活性和性能能力，并将继续与社区合作，专注于增长和创新。Netflix 在行业内树立了成功维护定制 FreeBSD 实施的先例，依靠战略远见、严格测试和积极的社区参与。

“除了技术优势外，FreeBSD 还拥有出色的开发者、供应商和用户生态系统，他们开放地分享专业知识、人才和技术改进。Netflix 接纳了这个社区，并致力于回馈其错误修复和增强功能，从而完成了社区协作的循环。”
——David Fullagar
内容交付架构总监

用户也喜欢 FreeBSD

我们询问了用户对 FreeBSD 的喜爱之处。我们没想到会得到如此热切的回应！

Tara Stella

Tara 拥有多台笔记本电脑，其中一多半运行着 FreeBSD，秉持 KISS 原则：“保持简单和安全。”

Robin Heywood

Robin 在两台系统上运行着 FreeBSD，作为文件服务器和网关。为什么？因为它“非常稳定”，而且是开源的！

Daniel Arves

Daniel 在他的笔记本电脑上运行着 FreeBSD，他把脚踩在桌子上。他想要一款可定制且简单的系统。

我们的粉丝

在 20 余年的时间里，FreeBSD 积累了相当多的粉丝！看看他们怎么说！

“NetApp 自豪地将 FreeBSD 作为我们 ONTAP 存储操作系统的核心组件。借助 FreeBSD，我们能够提供高性能的产品，满足客户对可靠性、安全性和可支持性的期望。”
Matt Hambrick
ONTAP 工程部主任

“Netflix 选择 FreeBSD 9，因为它是一款高性能、低维护且可靠的操作系统，得到了主流硬件厂商的支持。FreeBSD 提供了一种简单而强大的解决方案，能够通过多个 10Gbit 光纤链接同时服务数万条视频流。”
David Fullagar
内容交付架构总监

“Modirum 为全球的银行、商户、支付服务提供商和卡公司提供了软件和托管服务。我们在所有托管服务中使用 FreeBSD，从路由器和防火墙到应用服务器和数据库。”
Eirik Øverby
首席运营官

“Mellanox Technologies 一直是 FreeBSD 社区的长期开发者和贡献者，将 Mellanox 的前沿 RDMA 以及其他先进的卸载技术集成到了通用的 FreeBSD 操作系统中。”
Yaron Gepstein
软件副总裁

“对于我们来说，继续支持 FreeBSD 是个毋庸置疑的选择。NeoSmart 每年都很自豪地赞助 FreeBSD。在被问及我们推荐的快速、经过实战考验且可靠的平台时，都毫不犹豫地推荐 FreeBSD。”
Mahmoud Al-Qudsi
创始人

“FreeBSD 出色的安全性和更新、网络性能以及卓越的输入/输出和内存管理，使得运行 SimPRO 的大型、高流量和关键任务应用变得更加轻松。该操作系统承担了大部分繁重的工作，这意味着我的工程师可以专注于产品的发展，而非服务器的维护。”
Jonathan Eastgate
首席技术官

“MSI/FUNTORO 利用 FreeBSD 提供高性能的按需音视频流服务，服务对象包括公交车、火车、体育场和酒店。选择 FreeBSD 是因为它的稳定性和可靠性、升级和维护的便利性、安全更新的可靠性，以及软件包的整体出色质量。”
Scott Chen
常务董事

“cleverbridge 在我们的开发、测试和生产环境中使用 FreeBSD。FreeBSD 为我们提供了独特的安全特性、可靠性、行业领先的技术和卓越的性能。从我们的 Web 服务器、邮件服务器到存储服务器，FreeBSD 促进了我们的全球电子商务解决方案。”
Paul Herman
IT 主管 – 技术

“如果没有 FreeBSD 社区及其成员和赞助者的贡献，Netgate 的 pfSense 项目就无法像今天这样蓬勃发展。”
Jim Thompson
首席技术官

“Hobnob 选择 FreeBSD，因为它是唯一真正支撑我们使命的操作系统：为我们的客户提供快速可靠的网络服务。”
Aron Hall
首席执行官

“自从切换到 FreeBSD 以来，我们很高兴看到它达到了我们的预期。FreeBSD 开发社区的努力工作使互联网变得更安全、更可靠。Verisign 自豪地参与 FreeBSD 开发社区，并拥有为 FreeBSD 回馈工作的员工。”
Glen Wiley
首席工程师

“Stormshield 利用 FreeBSD 提供高性能的统一威胁管理 (UTM) 和下一代防火墙技术。我们通过技术贡献和赞助不断支持 FreeBSD；作为一家公司，我们完全致力于这个伟大社区的持续成功。”
Fabien Thomas
首席创新官

“我们的许多大型客户选择了 FreeBSD，基于我们提供的高质量支持和对 FreeBSD 的投入，我们发现选择 FreeBSD 的客户往往会选择 Chelsio。Chelsio 团队很高兴能够与社区共同贡献、学习和成长。”
Mehdi Mohtashemi
工程副总裁

“FreeBSD 是 NGINX 项目的主要开发平台。我们的主要开发平台是 FreeBSD。我们继续将 FreeBSD 作为 NGINX 和 NGINX Plus 开发与测试的参考平台。我们非常欣赏它的成熟性、稳定性和出色的性能。”
Maxim Konovalov
工程副总裁兼联合创始人

“ScaleEngine 的小型开发和系统管理团队管理着分布在 11 个国家的 38 个数据中心中的 100 多台服务器。能够在如此小的团队中实现这种规模，仅仅依靠于 FreeBSD 提供的丰富文档、可观察性、监控和自动化工具。
Allan Jude
运营副总裁

“FreeBSD 在我们的旗舰产品——远程业务加速器中扮演着重要角色。尽管 Acceleration Systems 的大多数团队成员都有 Linux 的背景，但我们选择 FreeBSD 是因为它的轻量级特点、丰富的 Port 以及在这个极其稳定的操作系统上支持的运营级应用程序。”
Jack McKinney
工程副总裁

“在 Hyper-V 上成功运行 FreeBSD 的动力几乎完全基于许多主要设备（网络、存储、安全等）将 FreeBSD 作为其基础操作系统来构建产品。确保这些基于 FreeBSD 的虚拟设备在 Hyper-V 上顺利运行，并最终在 Azure 上运行，是微软具有战略意义的一项重要投资。”
Jason M. Anderson
首席项目经理

“当 Xinuos 寻求一款成熟且稳定的操作系统，以现代功能集作为其现有客户的替代方案时，FreeBSD 显然是最明智的选择。我们的经销商尤为欣赏 BSD 许可证所提供的自由，这为创建定制解决方案堆栈提供了业内最佳的灵活性。”
Sean Synder
总裁兼首席运营官

“我们需要最稳定、高效、受支持且文档完善的网络栈，可以随心所欲地进行修改。正是 FreeBSD 为 XipLink 提供了这一切。它使我们第一次实现空间通信协议标准变得更加容易，因为其内核代码的友好 BSD 许可证模型以及可用的丰富文档。”
Karim Fodil-Lemelin
工程副总裁

“我们大多数本地和远程承包商在过渡到 FreeBSD 的语法和更新其开发 Jail 的程序时没有遇到任何问题，他们在一个拥有完全控制权的“真实” UNIX 环境中工作，正如我们的客户一样。这种灵活性，加上项目对稳定性、安全性和可扩展性的持续努力，使 FreeBSD 成为 Tera Bear 大多数 Web 开发项目的正确选择。”
Jon Lybrook
Tera Bear Consulting 创始人

“在 WhatsApp，我们利用 FreeBSD 和 Erlang 来提供行业领先的正常运行时间。能够在普通硬件上实现线性扩展，使 WhatsApp 能够保持低廉的服务成本。如今，我们在一台 FreeBSD 服务器上运行的并发 TCP 连接数量通常在 200 到 300 万之间。”
Jan Koum
首席执行官，高级社交媒体经理

“我们坚信，对 FreeBSD 有利就是对我们的客户有利，而对我们的客户有利就是对 iXsystems 有利。BSD 许可证使我们能够自由使用和贡献代码，也使我们的客户和 FreeBSD 的用户能够这样做。FreeBSD 得益于多年的开放共享与协作，从而发展成为一款稳定、成熟、高性能的操作系统。”
Josh Paetzel
信息技术总监

“FreeBSD 在塑造许多当今互联网技术方面发挥了重要作用，这些技术惠及全球所有互联网用户。随着互联网的发展，FreeBSD 作为一种灵活的工具，不断适应变化的环境。在这个过程中，FreeBSD 始终是稳定性、秩序和管理互联网最宝贵资源之一——Free BSD 操作系统的典范。”
Marty Puranik
Atlantic.Net 创始人兼首席执行官

“FreeBSD 发布系统为 Juniper 提供了功能的路线图和代码的稳定基础，同时其实用的许可协议使 Juniper 能够开发知识产权，以推动高性能网络的发展。Juniper 拥有许多活跃的 FreeBSD 开发人员，他们不断为 FreeBSD 项目做出贡献，以进一步推动其作为领先操作系统的发展。”
Naren Prabhu
基础技术部副总裁

“Pair Networks 一直以来依赖 FreeBSD 作为提供世界级网络托管服务的重要工具。FreeBSD 的可靠性和稳定性使我们能够为客户提供超过 99.9% 的服务器正常运行时间。我们的客户依赖 FreeBSD 的 proven security 来确保他们的网站正常运行和数据安全。作为一款开源系统，FreeBSD 在出现安全威胁时易于更新新保护措施。FreeBSD 的稳定性和健壮性使我们能够轻松兑现这一承诺。”
Kevin Martin
首席执行官

“NYI 是一家数据中心提供商，使用 FreeBSD 作为其所有内部和面向客户的解决方案，包括托管和专用服务器、云计算以及托管服务。我们最初选择的技术包括与专有硬件相绑定的商业 Unix 系统。然而，FreeBSD 的成本和可移植性是我们在公司初期更换平台的重要因素。”
Phillip Koblence
运营副总裁

“使用 Experts Exchange 对我们的网站、几种不同版本的 Linux 和 UNIX（包括 FreeBSD）进行了大量的性能测试。FreeBSD 在页面加载时间指标和 Lucene 搜索索引性能测试中超越了所有其他测试的操作系统。自那时起，我们已将我们的开发、测试和生产服务器迁移到 FreeBSD。我们还使用 FreeBSD Jail 来托管我们的开发测试服务器，并且我们已经在本地办公室数据中心和我们的托管数据中心架构中依赖 FreeBSD。”
Andrew Alsup
网站总监

“我们的立场提供了关于 FreeBSD 在纽约大都会地区使用的多角度视野，从首次探索 FreeBSD 的终端用户到依赖 FreeBSD 的企业基础设施。虽然 NYC*BUG 树立了标志并保持了稳定的 *BSD 存在，我们受益于对 FreeBSD 作为稳定、理智的操作系统日益增长的兴趣和依赖。”
NYC*BUG（New York City BSD User Group，纽约 BSD 用户组）管理小组

服务之力：FreeBSD 电源管理

原文：The Power to Serve – FreeBSD Power Management
2018/11
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗

这是 FreeBSD 操作系统的格言 —— “The Power to Serve（服务之力）” —— 也非常契合本文的主题。十年前（是的，光阴荏苒）我甚至还制作了一张带有这个格言的壁纸 —— 仍可在 DeviatArt 页面上获取。

是时候写一篇关于 FreeBSD 电源管理特性的文章了。它也适用于 FreeBSD 桌面 系列，但不限于此。流行的观点似乎是 FreeBSD 如此偏向服务器，以至于没有任何电源管理机制。事实完全不是这样。虽然在桌面上不那么重要（但仍能减少你的电费）或服务器上不那么关键，但在笔记本电脑上正确配置电源管理是非常必要的，这样它们会拥有更长的电池寿命，并运行得更安静。

我写这篇文章，是因为 FreeBSD 手册 在章节中并未涉及全部这些信息。FreeBSD on Laptops 文章的部分来自 FreeBSD 10.1-RELEASE 的远古时代。FreeBSD Wiki 页面上也有一些信息，但部分已过时。

FreeBSD 在电源管理领域有许多机制：

关闭没有附加驱动的设备
调整 CPU 频率和功耗
支持 CPU 睡眠状态（C1 / C1E / C2 / C3 / …）
启用/禁用大多数 CPU 可用的睿频

关于 FreeBSD 系统中不同设置文件的一句话说明：

/etc/rc.conf —— 无需重启，只需重新加载守护进程
/etc/sysctl.conf —— 无需重启 —— 可在运行时设置
/boot/loader.conf —— 这些设置 需要重启

信息

让我们先从如何获取所需信息开始，例如当前 CPU 速度、已使用的 C 状态、USB 设备当前的电源管理模式、电池容量和剩余时间等。

电池

要获取电池信息，你可以使用工具 acpiconf(8)。以下是 acpiconf(8) 在我的主电池（ThinkPad T420s 笔记本）接通电源源时的输出。

……在接入电源适配器后：

现在，当从笔记本电脑上拔掉电源时，Remaining time: 字段会显示该单块电池的剩余时间估计，这里显示为 2:31（两小时三十一分钟）。

下面是我的第二块电池的 acpiconf(8) 输出（位于 ThinkPad T420s 的 ultrabay，替代了 DVD 驱动器）。

……在接入电源适配器后：

在拔掉电源的情况下，它会将第二块电池的 Remaining time: 显示为 1:36。

因此，总电池续航时间估计为 4:07。同样的时间，以分钟表示（247），会显示在名为 sysctl(8) 值 hw.acpi.battery.time 中，如下所示。

你还可以通过 sysctl(8) hw.acpi.battery，获取更“完整”的电池信息。

如果连接了电源，hw.acpi.battery.time 将显示为 -1。

电池损耗

随着时间的推移，电池会失去其“设计”容量。经过一到两年，这类电池的实际效率可能只剩下原来的 70% 或更低。

检查这些信息所需的全部数据，都可以通过 acpiconf(8) 命令中的 Design capacity: 和 Last full capacity: 获取。我写了个 battery-capacity.sh 脚本，可以告诉你当前电池的效率。下面是该脚本运行时的效果示例。

下面是 battery-capacity.sh 脚本。

CPU

要获取当前 CPU 的信息，你需要使用 dev.cpu，或者使用 dev.cpu.0 来获取第一个物理 CPU 核心的信息。

如果你使用 kldload(8) 命令加载内核模块 coretemp(4)，就能获得额外的温度信息。

下面是加载内核模块 coretemp(4) 后，相同的 sysctl(8) dev.cpu.0 输出。

让我说下最有用的值。

CPU 核心温度。

dev.cpu.0.temperature: 49.0C

CPU 支持的 C 状态（此 CPU 支持 C1 和 C2）。

dev.cpu.0.cx_supported: C1/1/1 C2/3/104

CPU C -states 使用统计（仅使用了 C1 状态）。

dev.cpu.0.cx_usage_counters: 16549 0 dev.cpu.0.cx_usage: 100.00% 0.00% last 1489us

CPU 启用的最最深的 C 状态。

dev.cpu.0.cx_lowest: C1

CPU 支持的频率级别及其功耗（‘/’后面的数字表示功耗）。例如 2500/35000 可理解为 2.5 GHz 频率，功耗 35 W，而 2501 表示 Turbo 模式。最低频率为 800 MHz，功耗约 9 W。

dev.cpu.0.freq_levels: 2501/35000 2500/35000 2200/29755 2000/26426 1800/23233 1600/20164 1400/17226 1200/14408 1000/11713 800/9140

CPU 当前频率（使用守护进程 powerd(8) 或 powerdxx(8) 时会变化）。

dev.cpu.0.freq: 800

hw.acpi.thermal.tz0.temperature 也会显示当前热区温度。

要检查你有多少颗 CPU 核心，可以使用以下命令。

如果我的说明不够直观，你还能用 sysctl(8) 命令的参数 -d，如下所示。

lscpu(1)

还有个第三方工具 lscpu(8)，可以显示你的 CPU 特性和型号。你需要从软件包中安装它。

要使 lscpu(8) 正常工作，需要加载内核模块 cpuctl(4)。

下面是我的双核 CPU 使用 lscpu(8) 的显示效果。

dmesg(8)

此外，dmesg(8) 命令（或长时间运行后查看 /var/run/dmesg.boot 文件）也可以显示你的 CPU 型号和特性信息。

CPU 调频

对于 CPU 调频功能，你可以使用 FreeBSD 基本系统提供的守护进程 powerd(8) ，或者使用来自 FreeBSD Ports 或软件包的 powerdxx(8)。守护进程 powerdxx(8) 旨在更好地调频多核系统，在系统负载适中时不会将所有核心都调到高状态，但有些人可能更喜欢那种方法，以便在执行所有操作时都拥有全部性能，而在闲置时节省功耗。因此，powerd(8) 并不比 powerdxx(8) 更好，反之亦然。它们只是不同的实现，为你的需求提供了更多选择。

无论选择何者，都必须在文件 /etc/rc.conf 中进行配置。

powerd(8)

以下是守护进程 powerd(8) 的选项。

-n 选项用于未知状态——当 powerd(8) 无法确定当前是使用电源还是电池供电时使用。-a 用于电源，-b 用于电池供电。adaptive 设置较“温和”，更有利于延长电池续航时间。hiadaptive 设置更激进，适合在电源供电时使用。-m 选项设置最低 CPU 频率，-M 设置最大 CPU 频率，单位均为 MHz。更多细节请参见 powerd(8) 手册页。

powerdxx(8)

首先，你需要安装它。

然后，它的选项与守护进程 powerd(8) 的选项完全相同。

请查看上文 powerdxx(8) 部分获取标志/参数说明。

十年前，FreeBSD 上的 CPU 调频不像现在这么“简单”，你可以看看我 2008 年的老文章。

C 状态

可以在 /etc/rc.conf 文件中用以下选项配置 C 状态。

performance_cx_lowest
economy_cx_lowest

economy_cx_lowest 参数用于电池供电时，performance_cx_lowest 参数用于电源供电时。两者都通过 rc(8) 子系统使用的 /etc/rc.d/power_profile 脚本进行设置。该脚本会设置 hw.acpi.cpu.cx_lowest 参数，从而控制所有 dev.cpu.*.cx_lowest 的值。当你连接或断开电源时，也可以在 /var/log/messages 文件中跟踪这些变化。

通常我只是使用这些值。

上述设置对于大多数系统来说通常已经足够。要检查你的 CPU 支持哪些 C 状态，请看看 dev.cpu.0.cx_supported 的值。

我的 CPU 仅支持 C1 和 C2，但你的 CPU 可能支持更多。我记得曾经使用一台老旧的 Core 2 Duo 笔记本时，从 C1（运行）状态返回到 C2（休眠）状态会有相当“明显”的延迟，因此需要如下设置。此时不使用参数 performance_cx_lowest 和 economy_cx_lowest。你可以将第一个核心设置为 C1，其他所有核心设置为 C2。这样即使在电池供电时，你的系统也能完全响应，而其他核心则可以休眠以节省能源。

例如，如果你有 4 个核心，并且最深支持的 C 状态为 C3，那么你可以将如下内容添加到 /etc/sysctl.conf 文件中。

CPU 睿频

启用睿频模式有两种方式。一种是通过设置守护进程 powerd(8) 或 powerdxx(8)，将最大频率设置高于 CPU 标称速度。例如，如果你的 CPU 描述为双核 2.3 GHz，则可以使用参数 -M 将最大速度设置为 4000（即 4 GHz）。如果你不使用 CPU 调频守护进程，则可以使用参数 dev.cpu.0.freq，将其设置为 dev.cpu.0.freq_levels 中的最高（第一个）值。

下面是我系统上支持的 CPU 频率级别。

最高值（左侧）为 2501/35000，因此我需要将 dev.cpu.0.freq 参数设置为该值以启用睿频模式。你只需要使用“频率”部分的值，因为如果连同功耗描述一起设置，会导致失败。

如下所示为正确的使用方法。

USB 设备

要列出已连接的 USB 设备，请使用工具 usbconfig(8) 。

你会看到 pwr 参数（即 power，电源的缩写）显示当前电源设置，可以为：

ON
OFF
SAVE

要为 ugen1.1 设备设置新的 USB 电源选项，也可以使用 usbconfig(8) 工具，并使用参数 power_save，方法如下。

FreeBSD 的 USB 电源管理没有专用的配置文件，因此我们将设置放入通用的 /etc/rc.local 文件中，该文件在 rc(8) 子系统管理的启动过程结束时运行。下面是添加的内容，唯一的例外是我的无线鼠标“Lenovo USB Receiver 联想 USB 接收器”。

对于鼠标和触控设备，不保存电源是个好主意，因为每次使用时都需要等待约一秒钟，这会很烦人。我使用一个 for 循环为除无线 USB 鼠标（识别为“Lenovo USB Receiver”设备）之外的所有 USB 设备设置节能模式。

SATA/AHCI 电源管理

FreeBSD 通过 acpich(4) 驱动提供 AHCI 通道电源管理。这些电源管理设置可以在启动时通过 /boot/loader.conf 文件中的 hint.ahcich.*.pm_level 参数进行配置。我为多达 8 个通道进行了配置，尽管我实际上只有三个通道。

这是因为对不存在的设备进行设置是无害的，不会显示任何错误信息，而且你也不必为不同系统使用不同设置，从而节省时间。下面是 ahci(4) 手册页中关于 hint.ahcich.*.pm_level 的说明。

可能的电源管理选项如下：

0 – 禁用接口电源管理（默认）
1 – 允许设备主动发起 PM 状态改变，主机被动
2 – 每次端口空闲时，主机发起 PARTIAL PM 状态转换
3 – 每次端口空闲时，主机发起 SLUMBER PM 状态转换

下面是我在 /boot/loader.conf 文件中的设置。

无驱动的设备

FreeBSD 提供了对未附加驱动的设备不供电的节能选项。该选项称为 hw.pci.do_power_nodriver，可以在 /boot/loader.conf 文件中设置。下面是 pci(4) 手册页中的说明。

它可以设置为以下值之一：

0 – 所有设备保持完全供电（默认）。
1 – 类似于‘2’，但存储控制器仍保持供电。
2 – 关闭大多数设备电源（显示器/内存/外设不关闭）。
3 – 关闭所有没有驱动程序的 PCI 设备电源。

下面是我在 /boot/loader.conf 文件中的设置。

pciconf(8) 工具可以显示系统中的设备以及附加到它们的驱动程序。如果设备没有附加驱动，你会看到 *none@**，例如下面的 none0@。你还可以查看大多数驱动的手册页，例如 em(4) 查看 em0 设备，或 xhci(4) 查看 xhci0 设备。

你也可以使用参数 -v 获取更详细的信息。

Nvidia Optimus

如果由于某种原因你的 BIOS/UEFI 固件无法禁用 Nvidia 独显，你可以使用此脚本将其禁用，从而避免消耗系统电源。该操作需要内核模块 acpi_call(4)，该模块由软件包 acpi_call 提供。

你可以在 /etc/rc.local 文件中，将其添加到 USB 节能选项之后，使用如下条目。

它会将有效的 ACPI 调用存储在 /root/.gpu_method 文件中，并在每次启动时执行。

挂起与恢复

挂起/恢复机制的最大敌人是硬件 BIOS/UEFI 固件中的错误。例如，有时禁用蓝牙会有所帮助——这是 ThinkPad T420s 中的一个方案。要检查系统支持哪些挂起模式，请查看 sysctl(8) 中的 hw.acpi.supported_sleep_state。

要进入 ACPI S3 睡眠状态（挂起），你可以使用 acpiconf(8) 工具或 zzz(8) 工具。

……或者使用 acpiconf(8) 工具。

这与手册页 zzz(8) 中的说明完全相同。

你还可以设置 sysctl(8) 值，使每次关闭笔记本盖时系统进入睡眠状态。为此，将 hw.acpi.lid_switch_state=S3 添加到 /etc/sysctl.conf 文件中。无论是通过命令还是关闭盖子让硬件进入睡眠状态，打开盖子后笔记本都会恢复。当然，如果在执行 zzz(8) 命令后没有关闭盖子，你需要关闭并重新打开盖子，或按下电源按钮以恢复。当然，你也可以对桌面或甚至备份服务器执行挂起/恢复操作，这并不仅限于笔记本。

此外，不同厂商的 ACPI 子系统还有专用内核模块，如下：

/boot/kernel/acpi_asus_wmi.ko
/boot/kernel/acpi_asus.ko
/boot/kernel/acpi_dock.ko
/boot/kernel/acpi_fujitsu.ko

例如，如果你使用的是 IBM/联想 ThinkPad，则需使用内核模块 acpi_ibm.ko。

加载所需模块后，你会得到新的 sysctl(8) 值供使用，例如与风扇速度、键盘背光或屏幕亮度相关的值。下面是在加载 acpi_ibm(4) 内核模块后，sysctl(8) 中新增的 dev.acpi_ibm 部分。

这里是一些更有趣的项的说明。

控制麦克风静音按钮上的 LED 灯。

dev.acpi_ibm.0.mic_led

选择是否管理 CPU 风扇（0）或使用厂商默认设置（1）。

dev.acpi_ibm.0.fan

如果启用 CPU 风扇，设置其转速。

dev.acpi_ibm.0.fan_level

显示 CPU 风扇转速（单位 RPM）。

dev.acpi_ibm.0.fan_speed

启用/禁用 WiFi（前提是在 BIOS 中启用）。

dev.acpi_ibm.0.wlan

启用/禁用蓝牙（前提是在 BIOS 中启用）。

dev.acpi_ibm.0.bluetooth

启用/禁用 ThinkLight。

dev.acpi_ibm.0.thinklight

静音/取消静音扬声器。

dev.acpi_ibm.0.mute

扬声器音量。

dev.acpi_ibm.0.volume

屏幕亮度。

dev.acpi_ibm.0.lcd_brightness

在大多数情况下，你可能无需直接使用这些参数，因为通常会使用厂商定义的键盘快捷键（可能需要 Fn 键）或厂商特定的专用按键。但有时你可能希望创建或使用自己的设置，或者需要自定义快捷键，或者想根据 CPU 温度以不同于厂商预设的方式控制风扇转速。这时，这些专用的 ACPI 内核模块就非常有用。

例如，我最近觉得我的 CPU 风扇声音似乎有些大，所以创建了基于 cron(8) 的自定义 acpi-thinkpad-fan.sh 脚本，在 CPU 温度足够低时使用较低或更安静的风扇转速。简单来说，它的工作逻辑是：CPU 温度低于 50°C 时关闭风扇，温度在 50°C 到 60°C 之间时设置为级别‘1’，温度超过 60°C 时设置为级别‘3’。

……下面是它在 crontab(5) 中的条目：

网卡

如果驱动支持节能功能，ifconfig(8) 也要相应选项，称为 powersave，用法如下：

我在自己的 network.sh 网络管理脚本中使用了它，脚本在文章中有详细介绍。

厂商工具

FreeBSD 上也有一些厂商提供的工具，例如 powermon(8)。请注意，它需要内核模块 cpuctl(4) 才能工作。

DTrace

动态追踪框架（像 ZFS 一样由 Solaris/Illumos 引入 FreeBSD）在延长电池使用时间方面也可能是款有用的工具。

首先安装软件包 dtrace-toolkit：

系统停止节能或唤醒 CPU，通常是因为有任务需要执行。你大多数情况下会使用 ps(1) 或 top(1) 来查看运行情况，但这些工具无法显示具体启动了哪些命令或命令的执行频率。这时 DTrace 就派上用场了。

我们将使用软件包 dtrace-toolkit 中的 /usr/share/dtrace/toolkit/execsnoop 脚本。它会打印系统中执行的每一个命令及其所有参数。当没有命令执行时，它将保持静默，请注意。

下面是我在更新 dzen2 工具栏时的示例输出。

屏幕顶部的信息更新会启动许多进程。这就是为什么我只每 5 分钟刷新一次 dzen2 信息，如果我想获得当前时刻的精确信息和系统状态，我只需点击 dzen2 工具栏，它就会执行所有这些命令并刷新自己。

通过这种方式使用 DTrace，你可以知道是否有不必要的进程消耗了宝贵的电池时间。你可以在我的文章中找到相关 dzen2 配置。

其他

ZFS

默认情况下，ZFS 每 5 秒提交一次事务组，这对于 vfs.zfs.txg.timeout 参数是一个良好的默认设置。如果需要，你可以稍微增加该值，例如设为 10。我之所以提到这个参数，是因为很多指南出于性能原因建议将其设置为 1，但请记住，将其设置为 1 会阻止你的磁盘（和 CPU）进入休眠，从而消耗更多电池寿命。

如果你想调整 vfs.zfs.txg.timeout 值，可以在 /boot/loader.conf 文件中设置。

应用程序

延长电池使用时间时，所使用的应用程序也至关重要。例如，Thunar 比 Caja 或 Nautilus 占用更少的 CPU 时间。Geany 文本编辑器比 Scite 或 Gedit 占用更少的 CPU 资源和内存，即便是 GVim 也会占用更多资源。更不用说基于自定义 Openbox/Fluxbox/${YOUR_FAVORITE_WM} 的窗口管理器设置，其 CPU 占用远低于整个 Gnome 或 Mate 环境。

硬件

有时可以通过硬件本身获得更多电池时间。例如，当你为笔记本购买新的固态硬盘时，可以选择速度不是最快但最节能的型号。你可能感受不到性能差异，但会明显获得更长的电池使用时间。

大多数内存模块的电压为 1.5V，但你的笔记本可能支持 LPDDR 模块（1.35V），从而延长电池续航。此外，每根内存条大约消耗 0.5–1.0W 功率，因此使用单根 8 GB 内存条比使用两根 4 GB 内存条能拥有更多电池时间。当然这也有性能上的缺点，因为单条内存无法使用双通道技术，会限制内存速度。一些笔记本甚至有四条内存槽（例如 ThinkPad W520），因此为了更长的电池寿命，可以选择使用两根 8 GB 内存条而不是四根 4 GB 内存条，而不会损失性能。

有时你可以将 DVD 光驱替换为内部辅助电池。例如 Dell Latitude D630、ThinkPad T420s 或 ThinkPad T500/W500。有些厂商提供整块贴合笔记本底部的扩展电池，例如 ThinkPad X220、T420/T520/W520 或第一代 ThinkPad X1 笔记本的扩展电池。

希望这些信息能帮助你在 FreeBSD 上延长一些电池使用时间（或至少节省一些电量） :🙂:

更新 1 – 显卡节能

如果你安装了 graphics/drm-kmod 包，你可能使用的是最新的内核模块 i915kms.ko 。

要为 Intel 核显设置最大化电源管理，请将以下内容添加到 /boot/loader.conf 文件中：

过去使用的旧设置如下，但现在已不再使用：

更新 2 – AMD CPU 温度

对于 Intel CPU 使用 coretemp(4) 内核模块，而 amdtemp(4) 内核模块可提供 AMD CPU 的额外温度信息。

更新 3 – Suspend/Resume 提示

Suspend/resume 子系统最大的敌人是 BIOS/UEFI 固件中的 BUG。有时禁用 Bluetooth 有助于解决问题——例如 Lenovo ThinkPad T420s 的做法。在 Lenovo ThinkPad X240 上，需要禁用 TPM（Trusted Platform Module）。

更新 4 – Intel Speed Shift

我在较老的 2011 年 ThinkPad W520 上运行 FreeBSD，因此这个选项对我来说仍然是个谜——但对于运行更新系统的用户可能会有帮助。

随着 Intel Skylake（第六代）CPU 的引入，FreeBSD 能够利用 Intel Speed Shift 技术。你可以在手册页中了解更多信息。要启用该功能，请在 /boot/loader.conf 文件中添加以下行：

然后在 /etc/sysctl.conf 文件中，你需要为每个 CPU 线程（而非核心）都添加一行，使用你期望的设置：

这里的 N 代表线程编号。对于双核四线程 CPU，你将有 4 行这样的设置；对于八核 CPU，你将有 8 行。

Y 的取值含义如下：

0 – 最大性能
50 – 平衡（默认）
100 – 最大节能

若希望获得最大化节能，可以为所有线程使用 100，如下所示：

当然，你也可以为单个线程使用全性能，将一个线程设置为平衡，其余线程节能，如下所示：

… 当你接入电源而非使用电池时，你可能希望全部线程都使用无限制性能，将所有值设为 0。

以下是具体设置示例。

理想情况下，当使用电源时，你会使用 performance（性能）设置，而在使用电池时则运行 power save（节能）模式。你可以通过下面这个简单脚本实现，并让它在 cron(8) 守护进程中运行。

… 下面是 crontab(5) 的条目。我这里假设你已经具备所需的 doas(1) 权限。如果你使用 sudo(8)，请相应修改脚本。

遗憾的是，我目前没有搭载 Intel Speed Shift CPU 的笔记本，所以不确定为前两个线程分别设置 0 和 50 是否最佳。也许将所有线程都设为 100 以节省更多电力会更好。当我将来拥有这样的笔记本时，会再做更新 🙂

为什么是 FreeBSD？

原文：Quare FreeBSD?
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
2020/09/07

我本来真的想把这篇文章写得不那么长……但我彻底失败了。但我至少尽力把它组织得井井有条，这样读者在略读之后可以回过头来复习，因为它并不是一堂速成课。我本想将它命名为 Why FreeBSD?，但当你在自己喜欢的搜索引擎 duck.com中输入这个标题时，会出现很多类似的文章。我希望它有个独特且与众不同的名字，于是我使用了拉丁语中的“为什么”——quare。

FreeBSD 能为你提供哪些在其他操作系统无法提供的东西？在我使用过的所有操作系统中，我发现 FreeBSD 的缺点最少。这篇文章并不是为了说服你使用和尝试 FreeBSD——这需要你自己去体验。本文将展示 FreeBSD 的价值所在，以及为何它是其他操作系统的更好替代方案，并且 FreeBSD 绝对没有走向大败局。

基本系统

当你安装 Linux 系统时，它只是一些 RPM 或 DEB 软件包的集合。例如，如果你安装 CentOS 7.8 的 Minimal 版本，最终会安装几百个 RPM 软件包。经过一周乃至一个月，其中许多软件包会收到更新，有时会导致这个 CentOS 系统无法使用，甚至无法启动（例如最近的 GRUB Boothole 问题）。而 FreeBSD 提供了 基本系统 的概念。这意味着当你安装 FreeBSD 时，你安装的是完整的最小系统。没有需要单独更新的软件包或子系统。只是完整的 基本系统。这意味着 /boot /bin /sbin /usr /etc /lib /libexec /rescue 目录不受其他软件包影响。当你决定安装软件包（或使用 FreeBSD Ports 构建它们）时，它们都会安装在路径 /usr/local 下。这意味着配置文件位于 /usr/local/etc，可执行文件位于 /usr/local/bin 和 /usr/local/sbin，库文件位于 /usr/local/lib 和 /usr/local/libexec，依此类推。FreeBSD 基本系统 的内核模块与内核一起存放在目录 /boot/kernel。为了保持整洁，由软件包提供的所有内核模块都会放在 /boot/modules 目录中。所有内容都有其位置并且互不干扰。

这就是 基本系统 二进制文件（位于 /bin /sbin /usr/bin /usr/sbin 目录）与由 pkg(8) 维护的第三方软件包（位于 /usr/local/bin 和 /usr/local/sbin 目录）之间的分离。我们都知道 bin（普通用户）与 sbin（root）二进制文件的区别，但在 FreeBSD 中还有另一种与 UFS 相关的分离。当 FreeBSD 世界中只有 UFS 文件系统时，/bin 和 /sbin 二进制文件在根文件系统（/）挂载后、/usr 文件系统挂载前即可使用——这是个历史性的（在 UFS 配置中仍然有用）区分，可追溯到早期 UNIX 时代。在 ZFS 配置中，这不再重要，因为所有文件都在 ZFS 池中。

下面是 基本系统 的 / 目录示意图，以及可选的第三方应用程序目录 /usr/local。

FreeBSD 基本系统 的分离还有另一个好处——如果某个软件包产生“伟大”的想法，去安装新的 cc 编译器并覆盖默认系统编译器，或者以某种方式添加库和头文件，使得系统恢复工作变得非常困难，你也不必担心。如果某个随机的 FreeBSD 软件包将 libc.so 添加到 /usr/local/lib 目录，你仍然可以正常运行程序，因为 FreeBSD 系统二进制文件是链接到 /usr/lib 下的内容。这也是 UNIX 系统（包括 FreeBSD）中存在 PATH 变量的原因，用于设置首先搜索哪些目录的二进制文件。在 FreeBSD 中，默认设置是先搜索 基本系统 的二进制文件目录，然后再搜索第三方软件包目录。

你可以使用命令 freebsd-update(8) 在 RELEASE 系统下单独更新（或不更新）基本系统，或者在 STABLE/CURRENT 系统下通过 make buildworld 和 make installworld 命令重新编译更新。而软件包可以通过 pkg(8) 工具更新，或者在 /usr/ports 目录下使用 portmaster 从 FreeBSD Ports 树构建更新。这意味着软件包的更新不会影响你的 FreeBSD 基本系统。例如，当你搞砸了已编译的 ports 和软件包（我在 FreeBSD 初期就这样做过），如果你想重新开始，你只需要删除 /usr/local、/boot/modules 和 /var/db/pkg 目录。就这样，你就回到了 基本系统，可以重新开始。这在 Linux 系统中是无法做到的。即使是很多概念基于 FreeBSD 的 Gentoo，也没有 基本系统 的特性。

基本系统 还有个额外的优点。由于它与软件包分离，没有人阻止你在 2012 年的 FreeBSD 9.0 上运行最新的 Firefox 80 或 LibreOffice 7.0。而你却无法在 2012 年的 Ubuntu 上安装最新的 Firefox……

有人可能担心，这样独立于安装软件包的 基本系统 会占用更多空间，但事实完全相反。Fresh 安装的 FreeBSD 12.1 系统占用不到 1 GB 磁盘空间，运行 sshd(8) 时使用不到 75 MB 内存。相比之下，Fresh 安装的 CentOS 7.8（选择 Minimal 集）占用 1.1 GB 磁盘空间，运行 sshd(8) 时使用超过 100 MB 内存。这样的 CentOS 系统非常精简，实际使用还需要安装更多软件包，而 FreeBSD 依靠 基本系统 本身就更强大且功能丰富，例如自带最新版本的 LLVM/CLANG 编译器套件。

从 FreeBSD 15.0 开始，可以使用 PKGBASE 特性安装 FreeBSD，而不是传统的发行版集合——这允许 pkg(8) 命令管理 FreeBSD 基本系统 的软件包集。这与 Linux 系统不同，因为在 Linux 上所有内容都在一个平面仓库中。而 FreeBSD 使用 PKGBASE 仍然保留软件包集、核心软件包，并为 基本系统 提供独立仓库。如果 FreeBSD 与 Linux 相同，所有软件包——包括 基本系统 和第三方软件包——都在一个仓库中，没有 PKGBASE 软件包集，也没有 基本系统 核心软件包。而你仍然可以将 FreeBSD 基本系统 软件包与第三方软件包分开升级，只需向 pkg(8) 命令指定 -r REPOSITORY 参数即可。

关于 基本系统 主题的更多资料：

ZFS 启动环境

我已经多次谈到过这一点，可能次数还不够，因为 Linux 世界仍然忽视这一“福音”。拥有 ZFS 启动环境 是一个彻底改变游戏规则的特性，一旦你发觉它的强大，你就再也不想使用不支持 ZFS 的系统。其核心思想是，你能在系统运行的任意时刻创建快照，如果出现问题，可重启回到该时刻（或快照）。这是升级或系统变更的完美解决方案。FreeBSD 系统本身已经很好地“防护”了更新软件包后可能产生的问题，但 ZFS 启动环境 将这种保护提升到了一个全新的水平。

就像电影中的情节一样，借助 ZFS 启动环境，你将拥有无限次机会来把事情处理好。即使 基本系统 的更新和变更，也受其保护。你甚至可以使用 zfs send 和 zfs recv 命令将该 启动环境 传输到其他系统，或者在多个系统间分发它。你可以基于它创建 Jails 容器……或者在新的 启动环境 中安装 FreeBSD 新版本并重启进入，同时保留旧的“生产”系统不受影响。

关于 ZFS 启动环境 的更多资料：

救援

当你把系统搞得一团糟，甚至 基本系统 概念或 ZFS 启动环境 功能都无法阻止你破坏 FreeBSD 安装时，还有一个更高级别的救援手段——rescue 救援 子系统。

你可以使用大约 150 个静态链接的二进制文件来执行 FreeBSD 安装的救援任务。你可能会想，这么多二进制文件是不是占用了大量空间……事实完全相反。它实际上是一个静态二进制文件，通过硬链接实现，并且只占用 11 MB 的磁盘空间。

救援子系统甚至包含一些二进制文件，例如用于 ZFS 启动环境 管理的 bectl(8)，以及用于 ZFS 文件系统的 zfs(8) 和 zpool(8) 命令。以下是这些二进制文件的完整列表。

关于 rescue 救援 主题的更多资料：

音频

许多人可能不会期望 FreeBSD 在音频方面表现突出，但它在这方面已经表现卓越，并且这种优势不是最近才有，而是持续了数十年。记得 Linux 摒弃了旧的 OSS 子系统（单声道）并提出“伟大”的 ALSA 思路吗？我记得，因为那时我用 Linux。用“灾难”来形容当时的 Linux 音频栈都算礼貌……后来 PulseAudio 出现，整个 Linux 音频系统变得更烂。当时，由于只有 OSS 单通道而 ALSA 有许多通道，这意味着只有一个使用 OSS 后端的应用程序（例如 WINE）可以输出声音。如果另一个应用想用 OSS 发声，而 WINE 已经占用了唯一 OSS 通道，就会没有声音。而当时 ALSA 的实现非常糟糕，以至于 KDE 或 GNOME 各自创建了用户空间的声音守护进程来混合音频，这些守护进程之间又不兼容。这意味着如果你同时使用 KDE 和 GNOME 应用，可能 GNOME 应用有声音，而 KDE 应用没有，反之亦然。那真是 Linux 上的音频地狱。

回到 FreeBSD 音频，FreeBSD 提供了什么？惊人的 256 个 OSS 通道在内核中实时混音，实现低延迟。所有音频功能开箱即用——至今依然如此。你可以让 WINE 或 KDE/GNOME 的声音后端绑定到它们的 OSS 通道，同时 ALSA 应用也能正常使用声音设备。即使你插入一个 5.1 环绕音响系统，FreeBSD 也能开箱即用，应用程序能够立即使用。FreeBSD 的音频优势至今依然存在，而 Linux 中 PulseAudio 在用户空间混音虽然能用，但相比内核中的低延迟 FreeBSD 混音，会有较大延迟。

同事提到，FreeBSD 也是唯一拥有 virtual_oss 的操作系统，它能在用户空间进行混音/重采样/压缩，并能把蓝牙耳机和 USB 麦克风表示为单一声卡。

关于音频的更多资料：

Jail

FreeBSD Jail 是最早的实现之一，可追溯到 1999 年。即便是 Solaris 的 Zones/Containers，也要到 2004 年才问世，比 Jail 晚了五年。

在 Linux 引入 Docker 之后，操作系统级虚拟化 这一术语逐渐被容器（Containers）取代，现在 FreeBSD Jail 与 Solaris Zones/Containers 被称为初代容器。但这种命名上的变化并没有降低 FreeBSD Jail 的强大功能。它们使用起来也非常简单。你只需要一个目录——例如 /jail/nextcloud——将所需版本的 FreeBSD 基本系统 解压到该目录，例如从 12.1-RELEASE 获取，并在 /etc/jail.conf 文件中创建 Jail 配置，如下所示。

现在你可以立即启动你的 Jail。

瞧！你的 FreeBSD Jail 已经跑起来了。

当然，如果需要，你可以在 Jail 中使用精简版的 FreeBSD 基本系统。ZFS 文件系统在这里也非常有用，因为使用 zfs clone 时，只有你的“基础” Jail 会占用空间，而从它创建的 Jails 只会记录你的修改。借助 FreeBSD 的另一个子系统——Linux 二进制兼容层，你还可以创建 Linux Jail，例如运行 Devuan 或 Ubuntu Jail。

FreeBSD Jail 也非常轻量。在单台 4 GB 内存的 FreeBSD 系统上，你可以启动并使用约 1000 个 FreeBSD Jail。

与纯 Docker 相比，它们也更容易调试和排错——更别提 Kubernetes，需要整支高技能团队来维护。

可以仅通过 基本系统 工具管理 FreeBSD Jail，如 jls(8)/jexec(8)，当然你也可以选择许多第三方 Jail 管理框架。在所有可用选项中，我会推荐，因为其现代化的方法和大量可用模板覆盖各种使用场景。

如果你想了解 Jail 的所有功能，可以参考文章。

更多关于 Jail 的资料：

Bhyve

FreeBSD——和 Linux 或其他受人尊敬的操作系统一样——自带其自研的虚拟化 hypervisor。在 FreeBSD 世界中，这个原生解决方案被称为 Bhyve（拼写为 bee hive）。

在功能方面，它类似于 KVM/XEN/VMware/VirtualBox。

它唯一缺少的是 Live Migration 热迁移 功能。这个功能正在开发中，因为 Save/Resume 功能正在测试中，很快将被合并。

除此之外——它的性能与前述竞争产品不相上下或相似。归根结底——它们都使用相同的 AMD/Intel CPU 功能，这些功能支持 x86 平台的虚拟化。

如果你想全面了解 Bhyve hypervisor 的全部特性——可以查看文章。

另外，如果 Bhyve 不适合你的需求，FreeBSD 也支持 XEN（作为 dom0）和 VirtualBox hypervisor。

更多关于 Bhyve 的信息：

FreeBSD Ports 基础设施

这又是一个例子，说明为什么 FreeBSD 如此出色。当你安装某个版本的 Ubuntu 或 CentOS 时，很可能得到的不是最新版本的包，而是该发行版发布时比较新的版本。这一点在 CentOS 世界（以及其上游企业源系统 Red Hat）中尤其明显——在 .0（点零）版本发布时，包几乎都是最新的，但当该版本的 .8 或 .9 版本可用时，包已经严重过时。更不用提像 Firefox 这样每个月都有新版本发布的情况了……

正如我之前在说明 FreeBSD 基础系统 时所说，FreeBSD Ports（以及通过 pkg(8) 命令可用的由其构建的包）是独立的。这意味着来自 FreeBSD Ports 的第三方软件几乎总是最新的（或非常接近最新）。你甚至可以在网站上查看详细信息。下面是本文撰写时统计的“快照”。在线表格非常长，这里仅复制了与本文相关的系统部分。

FreeBSD Ports 的另一个优势是，它提供了极其庞大的软件量——本文撰写时已有 40354 个 port，并且数量仍在增加。可直接安装的包数量略少，32000 余个可用包。

我曾在 2009 年短暂迁移到 OpenSolaris，在我的 Dell Latitude D630 笔记本上，因为我非常喜欢 Solaris 的所有功能（包括当时 FreeBSD 上尚不可用的 ZFS 和 ZFS Boot Environments），OpenSolaris 基于 GNOME 的桌面也相当不错，即使在 Nautilus 文件管理器中提供 ZFS 快照的 Time Slider 功能。当时我成功连接了 WiFi，声音正常，总体而言笔记本上的一切都得到支持并正常运行……但软件很少。当然，“大”项目如 GIMP 或 OpenOffice 在默认 pkg(8) 仓库中可用，但其他不多。当时 OpenSolaris 的可用包不到 4000 个，而 FreeBSD 的包大约有 25000 个，如果我没记错的话。

你也可以通过网页轻松浏览可用的 FreeBSD Ports（及其选项），使用页面。

FreeBSD Ports 的数量是一方面，功能则是另一方面。无论你使用哪种 Linux 发行版，总会遇到某些软件在编译和发布时没有加上你急需的标志。如果在 FreeBSD 上遇到类似情况，“痛苦”只会持续片刻，因为你可以非常轻松地使用所需选项重新编译该软件，并用自己的版本替换掉“默认”包。例如，FreeBSD 项目因为现有的 MP3 专利而不敢提供 Lame 包（译注：在 2020 年该限制及下述限制），所以 multimedia/ffmpeg 包默认是没有 MP3 支持的（使用 --disable-libmp3lame 标志）。这就是为什么我有自己的 audio/lame 和 multimedia/ffmpeg 包，都是按照我的 configure 选项构建的，而且实现非常简单。你只需进入 /usr/ports/multimedia/ffmpeg 目录，输入 make config，在 ncurses 对话框中选择 [x] LAME。你选择的选项会保存到普通文件 /var/db/ports/multimedia_ffmpeg/options。如果删除该文件（或输入 make rmconfig），这些自定义选项将重置为默认值。然后输入 make build deinstall install clean，你的 port 就会以新选项构建并安装为包，无需其他操作。你甚至可以使用 pkg(8) 的 pkg lock -y ffmpeg 命令锁定该包，防止之后被窜改，但更好的做法是每次执行 pkg upgrade 时重新构建此类包，以应对库版本升级和变化。虽然使用这些命令创建脚本实现自动化非常容易快捷，你也可以使用 FreeBSD Ports 基础设施的其他部分——比如 Poudriere（或 Synth）——在下一部分会详细介绍。

你也不必每个 port 都这样配置（对于大量 port 来说会很麻烦），可以只在 /etc/make.conf 文件中全局指定所需的 (OPTIONS_SET) 或不需要的 (OPTIONS_UNSET) 参数。你还可以指定软件的默认版本，例如使用 Apache 2.2 而不是 2.4，使用 PHP 7.0 而不是 7.2。所有默认版本信息可以在 /usr/ports/Mk/bsd.default-versions.mk 文件中找到。只要设置好这些选项，你可以使用 portmaster(8) 工具从 FreeBSD Ports 构建/重建或更新包。类似 Gentoo Linux 的 USE 标志，但这才是原版。Gentoo 的大部分思想都是从 FreeBSD 系统及其 Ports 基础设施中借鉴的。

Poudriere 是一款构建框架，它使用 FreeBSD Ports 和 FreeBSD Jails 以干净、可复现的方式构建所需包。你可以为 pkg(8) 命令创建全新的二进制包仓库。我提到 Synth，是因为 Poudriere 通常用于生成整个包仓库，而 Synth 通常仅用于重建几个不符合你需求的包。

关于 FreeBSD Ports，有一点常被新手误解。Ports 和通过 pkg(8) 工具获取并安装的包有什么区别？很简单：软件包只是预构建并安装的 port，仅此而已。当你使用 pkg(8) 命令安装二进制包时，你使用的是某个人（在 FreeBSD 的情况下就是 FreeBSD 项目）在某个时间点从 FreeBSD Ports 构建的包。虽然 FreeBSD 努力保持构建包尽可能更新，但 FreeBSD Ports 的本质是总比构建好的包更新。这就是为什么你可以自己使用 FreeBSD Ports 构建并安装所需包的新版本。考虑安全漏洞时，这种使用方式尤其有意义。当某些本地执行的命令（如 file(1)）存在安全漏洞时，可能不必急于更新，因为漏洞对你可能无害；但当 Firefox 的新版本修复了重要安全漏洞时，最好尽快从 FreeBSD Ports 更新，因为等待两天构建包（与其他包一起）可能太长。

更多关于 FreeBSD Ports 的信息：

从源码更新/构建

虽然 FreeBSD Ports 基础设施是为第三方软件设计的，FreeBSD 基本系统（或其部分）也可以轻松方便地从源码构建。FreeBSD 内核配置也非常小巧且简单。相比之下，Linux 内核配置包含数千个选项——例如在默认 CentOS 8.2 安装中有 4432 个选项，而 FreeBSD 的 GENERIC 配置的选项数量约只有前者的二十分之一——只有 260 个选项。但这还未触及主题的核心。你可以从最小化的 FreeBSD 内核配置开始，其仅指定 75 个选项。

……而且这不仅仅是选项数量更少的问题。你能说说重建 CentOS 或 Ubuntu（例如去掉蓝牙支持）需要多少步骤（以及哪些步骤是必须的）吗？

相反，在 FreeBSD 上操作非常简单（且快速）。虽然 /etc/make.conf 文件用于启用/禁用 Ports 选项，但 /etc/src.conf 文件用于在从源码构建 FreeBSD 基本系统 时启用/禁用选项。要构建不含 Bluetooth 支持的 FreeBSD，只需在 /etc/src.conf 文件中添加 WITHOUT_BLUETOOTH=yes，然后输入以下命令进行构建：

瞧！现在你拥有了不含蓝牙支持的 FreeBSD……而且如果任何步骤失败，或者由于你的经验/专业知识不足导致 FreeBSD 系统无法启动或损坏，你可以使用 /rescue 中的工具尝试修复（或至少找出问题所在）；如果你不想处理这些问题，只需在 FreeBSD loader(8) 中选择 safe ZFS Boot Environment，即可启动到你开始构建修改版 FreeBSD 之前的系统。是的，这里你几乎“刀枪不入”。在拥有 294 个 WITHOUT_X 选项和 125 个 WITH_X 选项的情况下，你真的可以将 FreeBSD 基本系统 调整到完全符合你的需求。

通过源码更新 FreeBSD 的一大缺点是，你无法使用 freebsd-update 工具……但这并不妨碍你创建自己的 FreeBSD 更新服务器，这样你就可以通过使用 CURRENT 或 STABLE 系统（而不是 RELEASE）添加更新来使用 freebsd-update。这一过程在官方 FreeBSD 文档的文章中有详细描述。

更多关于 FreeBSD 源码更新/构建 的信息：

存储

存储是 FreeBSD 真正出彩的部分之一。很多人因为 FreeBSD 对 ZFS 文件系统的良好集成而喜爱它，这确实不假。FreeBSD 中的 ZFS 一直是一级公民。最近，OpenZFS 2.0 也已从 FreeBSD 与 Linux 的联合上游仓库集成。越来越多的 FreeBSD 功能和解决方案正在利用 ZFS 的特性。

大多数喜欢 FreeBSD 集成 ZFS 的人并不了解 FreeBSD 的 GEOM 模块化磁盘转换框架，它提供了各种存储相关功能和工具，例如软件 RAID0/RAID1/RAID10/RAID3/RAID5 配置，或使用 GELI/GDBE 对底层设备进行透明加密（类似 Linux 上的 LUKS）。它还能为任何文件系统提供透明的文件系统日志功能（GJOURNAL，甚至适用于 FAT32 或 exFAT），或通过 GEOM GATE 设备将块设备导出到网络上（类似块设备的 NFS）。

FreeBSD 还拥有自己的 FUSE 实现，使所有基于 FUSE 的文件系统能够在 FreeBSD 上原生工作。虽然很多 Linux 用户了解 DRBD，但很少有人知道 FreeBSD 自带类似 DRBD 的解决方案 HAST——其功能完全相同。尽管 ZFS 功能丰富，FreeBSD 仍然维护并开发快速且内存占用小的 UFS 文件系统，该文件系统今天根据使用场景可使用 Soft Updates (SU) 或 Journaled Soft Updates (SUJ)。例如，在 UFS 文件系统上使用 Journaled Soft Updates (SUJ) 管理 10 TB 数据，fsck(8) 检查大约只需 1 分钟。这些存储解决方案仅依赖 FreeBSD 基本系统 即可实现。FreeBSD Ports 提供更多功能，包括分布式文件系统解决方案，如 CEPH、LeoFS、LizardFS 或兼容 Amazon S3 的 Minio 存储。

更多关于存储的信息：

Init 系统

FreeBSD 提供了非常简单但功能强大的 init 系统。它在 /etc/rc.conf 文件中有系统级配置，你可以通过条目 service_enable=YES 和 service_enable=NO 启用/禁用所需服务。你甚至不需要打开 vi(1) 来手动添加，只需输入 sysrc service_enable=YES，条目就会被添加到 /etc/rc.conf 文件中。系统还提供了默认值和默认启用的服务，你可以在 /etc/defaults/rc.conf 文件中找到它们，以及大量注释。每个 FreeBSD 服务文件都有 PROVIDE/REQUIRE 条目，用于自动确定服务启动顺序。可以并行运行的服务会同时启动以节省时间。例如，没有网络启动 sshd(8) 守护进程是毫无意义的。要启动或停止服务，只需输入 service sshd start 或 service sshd stop 命令。但当某个服务未在 /etc/rc.conf 文件中启用时，需要使用 onestart 和 onestop。基本系统 的分离在这里仍然保持：FreeBSD 基本系统 服务位于 /etc/rc.d 目录，而来自 ports/packages 的第三方应用位于 /usr/local 前缀下，即 /usr/local/etc/rc.d 目录。

使用 systemd(1) 时，你无法预测服务启动顺序，每次可能都不同，完全没有确定性。而在 FreeBSD 上，你可以精确知道哪些服务会启动，因为它们总是根据 PROVIDE/REQUIRE 条目以相同顺序排列。FreeBSD 还提供了工具 rcorder(8)，可用于查看所有服务、基本系统 服务或第三方服务的精确启动顺序。同时，service -r 命令可以显示启动时的实际顺序。

在 FreeBSD 中添加新服务也非常简单，因为新服务的模板非常小巧且易于理解。

如果你觉得还不够简单，FreeBSD 官方有一篇关于如何编写服务的文章——。

更多关于 Init 系统 的信息：

Linux 二进制兼容层

虽然 Linux 不能成为 FreeBSD，但 FreeBSD 可以运行 Linux——而且这并非低速模拟，而是通过对 Linux 系统调用的实现来完成的。过去企业常使用 FreeBSD 的 Linux 二进制兼容层 来运行仅适用于 Linux 的应用（当时 FreeBSD 上不可用），因为这样比在 Linux 上原生运行更快——，这是官方 FreeBSD 新闻稿，介绍 FreeBSD 曾用于为经典影片生成视觉特效。

如今，LINUX_COMPAT 同样原生高效，能运行 Linux 应用——甚至可以在 X11 下硬件加速运行 Linux 游戏。可以将其理解为针对 Linux 应用的 WINE，它位于 /compat/linux 目录下。它甚至实现了 Linux 的 /proc 虚拟文件系统，可挂载在 /compat/linux/proc，但并非强制要求。对于任何没有源码、仅能在 Linux 上运行的软件，Linux 二进制兼容层 都能派上用场。例如项目。在了解 Redshift 之前，我曾使用 LINUX_COMPAT 运行 f.lux Linux 二进制版本，在 FreeBSD 屏幕上抑制蓝光。Linux 二进制兼容层 子系统还可以用于运行基于 Linux 的 FreeBSD Jails，例如 Devuan。

更多关于 Linux 二进制兼容层 的信息：

简洁性

FreeBSD 很简单，但并不粗糙或难以驾驭。例如，和 Linux 一样，FreeBSD 系统也支持虚拟文件系统 /proc，但在 FreeBSD 上它是可选的，默认不启用，而 Linux 则离不开它。然而，Linux 在强制使用 /proc 的同时，还拥有另一个位于 /sys 的虚拟文件系统……但为什么 Linux 需要两个目的类似的虚拟文件系统？为什么不能把所有内容都放在已经存在的 /proc 下呢？这对我的理智来说简直是个谜。

而 /sys 并不是这场混乱的终点，它仅仅是开始。

那么这些呢？

securityfs
devpts
cgroup
pstore

看看 FreeBSD 在默认 ZFS 安装后的 mount(8) 输出，就能体会不同的简洁设计。

几个 ZFS 数据集，以及一个用于 /dev 目录的虚拟 devfs 文件系统。如果安装在 UFS 上，则类似，只是会挂载几个 UFS 分区来替代 ZFS 数据集。

再看看 CentOS 8.2 的安装情况——只有一个物理根（/）XFS 文件系统。

天哪。那里甚至很难找到任何真正的文件系统……幸运的是，我们可以请求仅显示 XFS 文件系统。

现在我们来谈谈网络。假设你想在一台物理服务器上建立标准企业级网络配置，将两个网卡聚合成一个高可用接口 bond0（在 FreeBSD 上为 lagg0），然后在该 VLAN 上配置 VLAN 标签和 IP 地址。CentOS 7.x/8.x 的安装程序（Anaconda）在面对这种情况时会让你应接不暇。

说明一下——我选择了“STATIC”（静态）IPv4 地址，但安装程序却让这些接口同时使用 DHCP 和那个 STATIC 地址。这可能是一个 bug，不过我们直接说重点。

经过手动使用 vi(1) 修正（花费大约一小时）后，它应该是这样的。

更好了……但仍然占用大量空间，需要多个文件来完成这个相对简单的配置。更不用说其复杂度高、容易出错的特点。而在 FreeBSD 上，同样的配置只需在单个 /etc/rc.conf 文件中写 7 行即可，如下所示。

但这还不是所有的复杂之处。过去，你可以使用简单的 service network restart 命令重启 RHEL/CentOS/Rocky/... 的网络配置……现在不行了。你需要输入两个命令：先 nmcli networking off，再 nmcli networking on。为了确保第二条命令能够执行，并且在执行前不会丢失网络连接，你必须在 screen(1) 或 tmux(1) 终端复用器中一个接一个地输入它们。简直方便得不得了 🙂。

启动过程呢？FreeBSD 可以直接从 ZFS 根分区启动，只需一个小的 512 KB 不可挂载分区。无需单独的 /boot 设备。而 Linux 总是需要单独的 /boot 分区，并且里面充满了 GRUB 模块。不管是 ZFS 还是 LVM，这都是必须的。这也是为什么在 Linux 上实现 ZFS Boot Environments 非常复杂——即使你在 Linux 系统上使用 ZFS 根分区，仍然存在未受保护的 /boot 文件系统，无法用 ZFS 快照，只能用传统方式保护，这几乎摧毁了 ZFS Boot Environments 的理念。

FreeBSD 真的是一个简单且设计周到的操作系统，同时也是被严重低估的系统。

改革而非革命

有多少 Linux 工具或子系统被废弃或被新工具取代？为什么没有为 ifconfig(8) 增补新选项，而是引入了全新的 ip(8) 命令？同样，netstat(8) 被 ss(8) 替代，arp(8)/iwconfig/route(8) 等也如此。整个 init 系统呢？Linux 世界已经被 systemd(1) 占领，无论你喜欢与否。即便像 Ubuntu 这样拥有成熟 init 系统（Upstart）的发行版，也完全转向 systemd(1)。如今，未采纳 systemd 的发行版非常少，被视为小众。

而在 FreeBSD 世界中，仅在无法通过其他方式实现新功能时才会进行重大变更。这是 FreeBSD 最不希望发生的情况。FreeBSD 的发展注重稳定性和向后兼容性。用户空间工具会随着新选项逐步更新，而不是反复重写。更不用说，将一个工具换成另一个工具会带来多少新的 bug。

更多关于 改革而非革命 的信息：

文档

拥有一款几乎能做任何事情的系统，但不知道如何操作，这样的系统几乎没用（或者至少使用起来非常麻烦）。FreeBSD 提供了无与伦比的文档，这些文档都是持续维护和更新的。除了其传奇的和，FreeBSD 项目还提供官方，涵盖各种 FreeBSD 主题。也非常详细，并包含大量示例。还有页面，用于记录正在进行的文档和与 FreeBSD 开发相关的想法。如果你在使用 FreeBSD 时遇到问题或有疑问，也可以访问官方和老派的。

以上仅是官方项目的知识来源，此外还有大量 FreeBSD 书籍。你也可以参考我专门的文章，深入了解可用的 FreeBSD 书籍。以下是最佳且最新的书籍：

Absolute FreeBSD – Complete Guide to FreeBSD – 第三版（2019）
Beginning Modern Unix（2018）
Book of PF – 第三版（2015）
Design and Implementation of FreeBSD 11 Operating System（FreeBSD 操作系统设计与实现） – 第二版（2015）

还有两本专门面向 BSD 和 FreeBSD 系统的杂志，均免费，涵盖大量 FreeBSD 有趣话题：

拥有如此丰富的知识和支持，要在 FreeBSD 系统上实现所需功能几乎没有难度。

社区

最后但同样重要，我认为社区甚至比优秀的文档更重要（FreeBSD 的文档非常棒）。使用 FreeBSD 的人通常是有意识选择的，并且往往在 FreeBSD 领域以及其他 UNIX 系统相关领域都有经验。他们往往经历了从 Linux 系统开始使用的漫长过程，最终选择 FreeBSD，或者在日常仍然从事 Linux 管理工作，但在休息时使用更合理、理智的 FreeBSD 解决方案。我总是觉得 FreeBSD 社区非常乐于助人且友好，尤其对新人非常耐心。即便你试图在不公或有争议的讨论中“逼迫” FreeBSD 用户“争辩”，他们也会以尊严和技术论据回应，而不是对你大喊大叫。

FreeBSD 项目甚至专门为 Linux 新手（有时被称为 systemd(1) 难民）制作了若干文章和 Handbook 章节：

结语

我尽力避免将其写成对 Linux 的抱怨，但有些人可能会有这种感觉——如果是这样，请记住，这并非我的本意。FreeBSD 和 Linux 以及任何其他操作系统一样，都有其优缺点。希望我向你展示了 FreeBSD 中最有趣的部分。将来我可能会在这里无预警地增加新章节 🙂。

外部讨论

来自“外部”来源的讨论和评论可在以下链接查看：

FreeBSD 企业级 1 PB 存储

FreeBSD Enterprise 1 PB Storage
作者：𝚟𝚎𝚛𝚖𝚊𝚍𝚎𝚗
2019/06

今天 FreeBSD 操作系统迎来了 26 周岁生日。6 月 19 日是 国际 FreeBSD 日。所以今天我准备了一些特别的内容 🙂。如何在真实硬件上使用 FreeBSD 构建企业级存储解决方案？这正是 FreeBSD 发挥其所有存储特性（包括 ZFS）优势的地方。

今天我将展示我如何基于 FreeBSD 系统构建所谓的企业级存储，同时提供逾 1 PB（拍字节）的原始存储容量。

我曾基于 FreeBSD 构建过各种存储相关系统：

这个项目有所不同。一台 4U 服务器最多能提供多少存储空间？事实证明，非常多！绝对大于 1 PB（1024 TB）的原始存储空间。

硬件

这些是 4U 服务器，带有 90-100 个 3.5 寸硬盘位，可以安装 1260-1400 TB 数据（使用 14 TB 硬盘）。此类系统示例有：

（100 个硬盘位）
（90 个硬盘位）

我会选择第一款 —— 简称 TYAN FA100。

虽然之前的 GlusterFS 和 Minio 集群是在虚拟硬件（甚至 FreeBSD Jail 容器）上搭建的，但这个项目使用了真实物理硬件。

该系统的规格如下：

整套系统价格约为 $65,000（含硬盘）。外观如下：

你需要长达 1200 mm 的机架机柜来放置这台巨兽 :🙂:

管理界面

所谓的 Lights Out 管理界面非常优秀。界面简洁、组织良好、响应迅速。可以创建多个独立用户账户，也可以连接外部用户服务，如 LDAP/AD/RADIUS。

登录后，简洁的 Dashboard 在欢迎我们。

可以获取各种 传感器 信息，包括系统组件温度。

还可以查看 系统库存 信息，了解已安装硬件。

有独立的设置菜单，用于各种配置选项。

虽然是 2019 年，但只需 HTML5 的 远程控制（远程控制台），无需任何第三方插件如 Java/Silverlight/Flash 等，非常方便，也运行良好。

当然可以远程开关机或循环重启主机。

维护菜单用于 BIOS 更新。

BIOS/UEFI

进入 BIOS/UEFI 后，可以选择从哪些硬盘启动。截图中显示为两块固态系统盘。

BIOS/UEFI 界面显示两个 Enclosures，实际上是两块 Broadcom SAS3008 控制器。一些硬盘连接到第一个 SAS 控制器，其余连接到第二个，他们称之为 Enclosures 而非控制器，原因不明。

FreeBSD 系统

我选择了最新的 FreeBSD 12.0-RELEASE 来进行安装。安装过程多“默认”，系统盘使用两块 SSD 做 ZFS 镜像，没有特别配置。

该安装当然支持功能，可实现安全升级和系统变更。

硬盘准备

在所有 90 块 12 TB 硬盘的可能方案中，我选择使用 RAID60 —— 当然这是 ZFS 的等效方案。每个 RAID6（raidz2）组使用 12 块硬盘，总共会有 7 个这样的组 —— 这样 ZFS 池将使用 84 块硬盘，剩下 6 块作为备用（SPARE）硬盘 —— 对我来说非常合适。硬盘分布大致如下。

下面是 FreeBSD 系统通过命令 camcontrol(8) 看到的这些硬盘情况。按连接的 SAS 控制器 —— scbus(4) 排序。

有人可能会问，当硬盘出现故障时如何识别是哪一块……这时 FreeBSD 的 <sesutil(8)> 命令就非常有用了。

第一条 sesutil(8) 命令关闭机箱中所有硬盘的位置指示灯。第二条命令则点亮了 da64 硬盘的识别灯。

我还会确保不会使用每块硬盘的全部容量。这个想法看似无意义，但设想以下情况：五块 12 TB 硬盘在三年后同时损坏，你无法获得相同型号的硬盘，只能用其他 12 TB 硬盘替代，甚至可能来自不同厂商。

单块 12 TB 硬盘共有 23437770752 个 512 字节的扇区，总原始容量为 12000138625024 字节。

现在假设这些来自其他厂商的 12 TB 硬盘每块比原来的少 4 字节 —— ZFS 将不允许使用它们，因为容量不足。

因此我会将每块硬盘的容量设置为 11175 GB，大约比其总容量 11176 GB 少 1 GB。

下面是可以对所有 90 块硬盘执行此操作的命令。

配置 ZFS 池

接下来，我们需要创建 ZFS 池，这可能是我执行过的最长的 zpool 命令了 :🙂:

由于东芝 12 TB 硬盘使用 4k 扇区，我们需要将 vfs.zfs.min_auto_ashift 设置为 12 来强制使用该扇区大小。

ZFS 设置

由于该存储的主要用途是存放文件，我将使用 recordsize 的最大值之一 —— 1 MB —— 以获得更好的压缩比。

…但它也将作为 iSCSI 目标使用，在 iSCSI 中我们会使用原生的 4k 块，因此 iSCSI 设置为 4096 字节。

另外说明一下参数 redundant_metadata ，因为它不是很直观。引用 zfs(8) 手册中的说明。

从上面的文字可以看出，它主要在单设备池中有用，因为当我们基于 RAIDZ2（RAID6 等价）提供冗余时，就不需要保留额外的元数据副本。

这样做能提升写入性能。

为了记录——iSCSI 的 ZFS zvol 是通过如下命令创建的——作为稀疏文件，也称为 薄配置（Thin Provisioning） 模式。

由于我们有备用（SPARE）磁盘，我们还需要通过在 /etc/rc.conf 文件中添加 zfsd_enable=YES 来启用 zfsd(8) 守护进程。

我们还需要为池启用 autoreplace 属性，因为默认情况下它是 off。

其他 ZFS 设置位于 /boot/loader.conf 文件中。由于该系统有 128 GB 内存，我们将允许 ZFS 使用其中的 50% 到 75% 作为 ARC。

配置网络

这正是我非常喜欢 FreeBSD 的地方。要设置 LACP 链路聚合，你只需在 /etc/rc.conf 文件中写 5 行。在 RHEL 上，你可能需要多个文件，每个文件还要写很多行。

Intel X710 DA-2 10GE 网卡在 FreeBSD 下由 ixl(4) 驱动完美支持。

配置 Cisco Nexus

这是启用 LACP 聚合所需的 Cisco Nexus 配置。

首先是端口设置。

… 现在进行聚合配置。

… 在第二台 Cisco Nexus NEXUS-2 交换机上也进行相同/类似配置。

FreeBSD 配置

这些是在 FreeBSD 系统上最重要的三个配置文件。

现在我将发布我在这台存储系统上使用的所有设置。

/etc/rc.conf 文件。

/boot/loader.conf 文件。

/etc/sysctl.conf 文件

目的

为什么要构建这种设备？因为它比购买“品牌”设备便宜得多。以 Dell EMC Data Domain 为例——而且不是“普通”的 Data Domain，而是几乎最高端的型号——至少是 Data Domain DD9300。它的价格至少要高十倍……容量更小，而且占用机架空间不是 4U，而是接近 14U，需要三个 DS60 扩展器。

但你实际上可以让这个 FreeBSD 企业存储 的行为类似于 Dell EMC Data Domain……或者比如他们的 Dell EMC Elastic Cloud Storage。

Dell EMC CloudBoost 可以部署在你的 VMware 环境中，以提供 DDBoost 去重功能。然后你还需要 OpenStack Swift，因为它是支持的后端设备之一。

FreeBSD 上的 OpenStack Swift 包大约落后现实 4-5 年（版本 2.2.2）（译注：目前版本已经更新了），所以这里你需要使用 Bhyve。

在这台 FreeBSD 企业存储 上可以创建 Bhyve 虚拟机，例如安装 CentOS 7.6 系统，然后在其中设置 Swift，这样完全可行。利用 20 个物理核心和 128 GB 内存，你几乎感觉不到虚拟机的存在。

这样，你可以使用 Dell EMC Networker，而存储成本却降低到了原来的十分之一还多。

以前我也写过关于的文章，这种 FreeBSD 企业存储对它也非常有利。我实际上也将这个基于 FreeBSD 的存储用作 IBM Spectrum Protect (TSM) 容器池目录的空间。通过 iSCSI 导出效果非常好。

你还可以将这个 FreeBSD 企业存储 与其他存储设备进行比较，比如 iXsystems TrueNAS 或 EXAGRID。

性能

你肯定想知道这个 FreeBSD 企业存储 的性能水平 :🙂:

我会分享我收集到的所有性能数据。

网络性能

首先是网络性能。

我使用 iperf3 作为基准测试工具。

我在 FreeBSD 端启动服务器：

然后在 Windows Server 2016 机器上启动客户端：

这是在 MTU 1500 下的结果——不使用 Jumbo 帧 :😦:

不幸的是，这套系统只有一个物理 10GE 接口，但我也做了其他测试。使用两台单 10GE 接口的服务器，可以很好地饱和 FreeBSD 端的双 10GE LACP。

我还将 NFS 和 iSCSI 导出到 RHEL 系统。单个 10GE 接口下网络性能约为 500-600 MB/s。在 LACP 聚合下可以达到 1000-1200 MB/s。

磁盘子系统性能

现在是磁盘子系统。

先用一些简单的测试，使用 FreeBSD 自带工具 diskinfo(8)。

现在我们已经知道单块磁盘的速度了。

接下来，让我们在 ZFS zvol 设备上重复同样的测试。

接近 3 GB/s —— 不错。

接下来进行更传统的测试 —— 不朽的 dd(8) 命令。

这是在 compression=off 设置下进行的测试。

单进程运行。

四个并发进程运行。

八个并发进程运行。

总结这些数据。

所以磁盘子系统在顺序写入时能够达到约 3.5 GB/s 的持续速度。这意味着如果想要完全饱和网络，需要再添加两个 10GE 接口。

磁盘的压力测试仅达到约 55%，这可以通过 FreeBSD 的另一个实用工具 gstat(8) 命令看到。

接下来进行更“智能”的测试——blogbench 测试。

首先禁用压缩进行测试。

接下来设置压缩为 LZ4 进行第二轮测试。

压缩效果不大，但确实有一定帮助。

为了对比，我们将在系统 ZFS 池上运行相同的测试——两个 Intel SSD DC S3500 240 GB 镜像驱动，其性能如下：

Intel SSD DC S3500 240 GB 驱动特性：

顺序读取（最大）500 MB/s
顺序写入（最大）260 MB/s
随机读取（100% 范围）75000 IOPS
随机写入（100% 范围）7500 IOPS

现在进行 randomio 测试。这是一个多线程磁盘 I/O 微基准测试。

使用方法如下：

使用 4k 块 进行的 随机 I/O 测试。

… 使用 512 字节扇区 进行测试。

两个 随机 I/O 测试都是在启用 LZ4 压缩的情况下运行的。

接下来是 bonnie++ 基准测试。同样是在启用 LZ4 压缩的情况下运行的。

最后但同样重要的是 fio 基准测试。同样启用了 LZ4 压缩。

不知道你怎么看，我对性能是非常满意的 :🙂:

FreeNAS

最初我确实想在这些服务器上使用 FreeNAS，甚至还安装了 FreeNAS。它运行得不错，但…… FreeNAS 的安全部分并不是最佳。

这是 pkg audit 命令的输出，非常吓人。

我甚至试图了解为什么 FreeNAS 在其最新版本中会包含如此过时且不安全的包————这是我在他们论坛上发起的讨论贴。

不幸的是，这反映了他们的政策，可以总结为“只要能用，就不要动/更改版本”——至少我得出了这个印象。

因为这些安全漏洞，我无法推荐使用 FreeNAS，于是我转向了原生的 FreeBSD 系统。

另一个有趣的情况是，在我安装 FreeBSD 后，我想导入 FreeNAS 创建的 ZFS pool。这是我执行 zpool import 命令后的结果。

看起来 FreeNAS 对 ZFS 的处理方式略有不同，他们为每个 RAIDZ2 目标创建了单独的 pool，并配置了专用的备用盘。有趣……

更新 1 – BSD Now 305

文章出现在节目中。

感谢提及！

更新 2 – 数据中心实景照片

有些读者希望看到这台“怪兽”的实景照片。下面是数据中心拍摄的几张图片。

机箱正面及布线。

机箱正面另一角度。

机箱背面及布线。

带硬盘的顶部视角。

顶部另一视角。

硬盘位特写。

固态硬盘与机械硬盘。