Jaderné noviny – 23. 6. 2010

15. 7. 2010 | Jirka Bourek | Jaderné noviny | 3083×

Obsah

• Aktuální verze jádra: 2.6.35-rc3
• Citáty týdne: Hans Verkuil, Edward Shishkin, Alan Cox
• Jediný knoflík pro nastavení napájení
• Omezení souběžných výpisů paměti
• Další mechanismus pro probouzecí události
• Skládání LSM (zase)
• Btrfs: Chybně navržený?
• Souběžností řízené fronty a priority vláken

Aktuální verze jádra: 2.6.35-rc3

Současné vývojové jádro je stále 2.6.35-rc3; Linus je na dovolené, takže proud patchů do hlavní řady je momentálně zastaven.

Žádné aktualizace stabilních jader nevyšly od 2.6.32.15 z 1. června.

Citáty týdne: Hans Verkuil, Edward Shishkin, Alan Cox

-- Hans Verkuil (počítá se tohle?)

-- Edward Shishkin

-- Alan Cox

Jediný knoflík pro nastavení napájení

napsal Jonathan Corbet, 23. června 2010

Správa napájení se v Linuxu zesložiťuje s tím, jak přibývá schopností jádra. Nyní je možné řídit spotřebu energie pomocí politik plánovače, správou stavů nečinnosti, stavů zařízení a tak dál. Bohužel některé volby při správě napájení mají dopad na výkonnost; a podle využívání systému tyto důsledky nemusí být vítané, správci tedy musí mít způsob, jak správu napájení řídit.

V současnosti toto řízení probíhá nastavením mnoha samostatných parametrů. Jeden řídí, jestli se plánovač bude pokoušet nahromadit procesy pouze na část procesorů s tím, že ostatní budou moci spát. Jiný knoflík říká správci nečinnosti [idle governor], které stavy spánku může využít. Další řídí frekvenci CPU a napětí. Vědět o všech dostupných parametrech je těžké; všechny je správně vyladit je ještě těžší.

Len Brown navrhl přidat jednotný řídící parametr pro správu napájení, který by byl k nalezení v /sys/power/policy_preference. Tento knoflík by měl pět nastavení v rozsahu „neustále maximální výkonnost“ po „ušetři tolik energie, kolik to jenom jde bez vypnutí systému“. S takovým řízením by správci systému mohli nastavit správu napájení bez toho, aby si museli nastudovat všechny relevantní parametry; politiky by bylo možné nastavit i pro nové parametry správy napájení, které budou přidány v budoucnu.

Tento nápad však všeobecně nebyl přijat s nadšením. Někteří komentátoři požadovali víc než pět nastavení, ale Len argumentoval, že pokud někdo potřebuje složitější konfigurace, měl by dál používat samostatné parametry. Další mají obavy, že jedinou politiku by různé ovladače mohly interpretovat různě, což by vedlo k nekonzistentním výsledkům; podle nich by bylo lepší, kdyby se dál používaly samostatné parametry, které přesně popisují požadované chování. Ke skutečné diskuzi nicméně nemůže dojít, dokud nebude zaslán nějaký kód, pokud se tak vůbec stane.

Omezení souběžných výpisů paměti

napsal Jonathan Corbet, 23. června 2010

Je přirozené, že systémy, na kterých běží PHP, jsou od počátku sužovány více než obvyklým počtem potíží. V některých případech to ale může být ještě horší; vezměme například tento příběh Edwarda Allcutta:

Edwardovo řešení této neveselé situace je patch, který limituje maximální počet výpisů jádra, které lze simultánně vytvářet; výpisy, které překročí limit, budou jednoduše přeskočeny.

Panuje obecná shoda, že by bylo lepší omezit propustnost I/O u provinilých procesů, když je souběžnost příliš velká. Takový přístup ale není možné přímočaře implementovat, obzvláště vzhledem k tomu, že jsou výpisy paměti považovány za zvláštnost a nepodléhají běžnému řízení propustnosti. Pravděpodobně tedy dojde na variaci Edwardova patche, ve které procesy snažící se vypsat paměť jednoduše budou čekat, pokud se příliš mnoho dalších pokouší o totéž.

Další mechanismus pro probouzecí události

napsal Jonathan Corbet, 23. června 2010

Diskuze o blokování uspání prozatím odezněla – což je stav, na který si jenom málokdo stěžuje. Vývojáři nicméně stále přemýšlejí o problémech, které blokování uspání řeší, což lze vidět i z tohoto patche od Rafaela Wysockiho. Rafael se snaží vyřešit problém „probouzecích událostí“ ([wakeup event] událost, která uspané zařízení probudí), které se ztratí, když se objeví ve chvíli, kdy se systém uspává.

Rafaelův přístup zavádí nový sysfs atribut nazvaný /sys/power/wakeup_count; ten by měl obsahovat počet probouzecích událostí, které systém zatím zažil. Jakýkoliv proces může kdykoliv tuto hodnotu číst; privilegované procesy mohou do tohoto souboru i zapisovat. Zde je ale háček: Jestliže hodnota zapsaná do souboru nesouhlasí s hodnotou, kterou by bylo možné ze souboru přečíst, zápis selže. Zápis také spustí mechanismus, který zařídí, že všechny další probouzecí události zastaví pokusy o uspání.

Jako u dalších případů, které byly zaslány, Rafael počítá s existencí démona správy napájení v uživatelském prostoru, který by rozhodoval o uspání systému. K takovému rozhodnutí by došlo, pokud by démon věděl, že není žádný důležitý program v uživatelském prostoru, který by měl něco na práci. Pokud však nepřijde pomoc odjinud, vznikne okno mezi okamžikem, kdy se démon rozhodne uspat systém a kdy se systém skutečně uspí; probouzecí událost, která by dorazila v tomto okně, by se mohla ztratit nebo přinejmenším zpozdit do doby, kdy se systém zase probudí. S mechanismem wakeup_count by si jádro všimlo, že k takovému souběhu došlo, a proces uspání by se přerušil, což by uživatelskému prostoru umožnilo novou událost zpracovat.

Aby tento mechanismus fungoval, musí být jádro schopné počítat probouzecí události; to vyžaduje rozházet volání nové funkce pm_wakeup_event() do ovladačů, které takové události mohou vygenerovat. Interně se to tedy příliš neliší od blokování uspání. Někteří to komentovali tak, že toto schéma je poměrně podobné blokování uspání v uživatelském prostoru, Rafael nicméně věří, že se vyhýbá aspektům API, které vyvolaly největší kritiku. Bez ohledu na to byly názory revidovatelů smíšené a vývojář Androidu Arve Hjønnevåg si myslí, že tento přístup nesplní potřeby projektu. Tato diskuze tedy pravděpodobně bude mít někdy v budoucnu další kolo.

Skládání LSM (zase)

napsal Jake Edge, 23. června 2010

Kees Cook je zpátky s dalším návrhem změny jádra, která by alespoň podle něj měla poskytnout lepší bezpečnost, tentokrát omezuje systémové volání ptrace(). Nicméně stejně jako u jeho dřívějšího patche pro symbolické odkazy nebyla ani tato změna na linux-kernel přijata příliš dobře. Zažehla však diskuzi na téma, které se zde objevuje poměrně pravidelně: Skládání [stacking] linuxových bezpečnostních modulů (Linux security module, LSM).

Keesův patch je relativně přímočarý; vytváří sysctl nazvané ptrace_scope, jehož výchozí hodnota je nula nastavující současné chování. Jestliže je ale nastaveno na jedna, umožňuje volat ptrace() pouze na potomky sledujícího procesu. Cílem je zde zabránit zneužití slabiny v jednom programu (řekněme v Pidginu) ke sledování jiného programu (třeba Firefoxu či GPG-agentu), což by umožnilo vyčíst přihlašovací údaje nebo jiné citlivé údaje. Stejně jako u předchozího patche i tento je založen na patchi, který již dlouho existuje v jádře: grsecurity.

A stejně jako u předchozího návrhu Alan Cox rychle řekl, že by to mělo být vloženo do LSM:

Problém tohoto plánu ale je, že LSM se nedají skládat. Lze mít v jádře povolen SELinux, Smack i TOMOYO, ale jenom jeden z nich – volí se při bootu – může být aktivní. Co se týče skládání LSM, objevily se diskuze a návrhy pro skládání (nebo řetězení) LSM, ale začleněno nebylo nic. Dva „specializované“ LSM tedy nemohou v jádře působit současně a uživatelé si mezi nimi musí vybrat.

Pro „kompletní“ řešení jako SELinux to není problém, protože uživatelé mohou najít nebo vytvořit politiky, které budou splňovat jejich potřeby. Krom toho James Morrison upozornil, že SELinux má pravdivostní hodnotu allow_ptrace, která dělá to, o co se pokouší Kees: Nepotřebuješ napsat žádnou politiku, jenom to [allow_ptrace] nastavíš na 0. Jenže pro ty, kdo SELinux používat nechtějí, to není řešení. Jak to řekl Ted Ts'o:

I další byli nakloněni možnosti LSM kombinovat, i když konsenzus se spíš než ke skládání kloní k řetězení LSM v kódu pro zabezpečení, stejně jako to bylo provedeno pro SELinux a kvalifikace [capabilities] v Linuxu (tj. security/commoncap.c). V modelu skládání je každý LSM zodpovědný za zavolání každého dalšího sekundárního LSM pro každou operaci související s bezpečností, kdežto řetězení znamená jenom projít seznam security_operations, přičemž by se z jádra volala verze každého LSM, což popsal Eric W. Biederman. To ale není tak jednoduché, jak by se na první pohled zdálo, na což upozornil Serge E. Hallyn, který roku 2004 navrhl mechanismus skládání.

Zdá se, že nějaká diskuze o skládání/řetězení LSM by mohla proběhnout na Linux security summitu, kde by mohla být součástí Keesovy prezentace na téma bezpečnostní řešení „široce používaná, ale mimo strom“; Sarge navrhuje „pivní BOF“, na kterém by tato záležitost mohla být projednána také.

LSM se zdá být cestou kupředu pro oba Keesovy nedávné návrhy; za tímto účelem tedy zaslal Yama LSM, který obsahuje ochrany symbolických odkazů i omezení ptrace() z předchozích patchů. Krom toho přidává možnost omezit pevné odkazy [hard link] tak, aby je nebylo možné vytvořit pro soubory, které jsou buď citlivé (tj. setuid), nebo je ten, kdo odkaz vytváří, nemůže číst ani zapisovat do nich. Každé z těchto opatření lze samostatně zapnout pomocí sysctl v /proc/sys/kernel/yama.

Přestože „Yama“ by mohlo někoho vést k tomu, aby hledal zbytek akronymu („Yet Another…“), ve skutečnosti je modul pojmenován po božstvu: Yama je podle Buddhistů a Hinduistů přibližně ,pánem smrti/podsvětí‘, dohlíží na rehabilitaci nečistých entit, řekl Kees. Vzhledem k tomu, kolik NAK nedávné Keesovy návrhy nasbíraly, nazývat Yama zkratkou NAC [NAKed Access Control system] naznačuje ohledně této situace smysl pro humor. DAC, MAC, RBAC a další by nyní byly s NAC spojeny, kdyby byl Yama začleněn.

Zatím byla diskuze o Yama poměrně malá a bez větších stížností. I když jsou někteří poměrně skeptičtí vzhledem k ochranám, které Kees navrhuje, pravděpodobně se o ně nebudou příliš starat, dokud budou v LSM a ne náhodně rozházeny všude do stromu, jak to řekl Alan.

Morris řekl, že jakmile budou tyto jednodušší úlohy zabaleny do LSM, jaderní hackeři mohou projednat, jestli je zapotřebí nějaké skládání nebo API pro bezpečnostní knihovnu, které by těmto opatřením dovolily existovat společně s SELinuxem, AppArmorem a dalšími. Vzhledem k tomu, že přístup pomocí LSM má poměrně širokou podporu, zdá se, že Yama nebo nějaký jeho potomek by se mohl dostat do hlavní řady. Jestli z toho vzejde nějaký mechanismus pro kombinování LSM zajímavými způsoby, se ještě uvidí – bude ale stát za to vývoj pozorovat, takže zůstaňte na příjmu.

Btrfs: Chybně navržený?

napsal Jonathan Corbet, 22. června 2010

Souborový systém Btrfs mnoho lidí považuje za primární linuxový souborový systém pro příští desetiletí. Přináší návrh nové generace a velký rozsah vlastností (snímky, kontrolní součty dat, interní RAID atd.), na které uživatelé čekají. Přestože byl začleněn do 2.6.29, zůstává Btrfs experimentální, některé dobrodružnější distribuce ale nabízejí instalaci na Btrfs a Meego bude Btrfs používat jako výchozí souborový systém. Když tedy vývojář souborových systémů začal říkat, že je Btrfs „chybně navržený“, lidé zpozorněli.

Edward Shishkin, který je možná lépe znám pro svou snahu udržet naživu vývoj reiser4, poprvé popsal některé své obavy 3. června. Zdá se, že udělal jednoduchý test: Vytvořil nový souborový systém Btrfs a pak vytvářel 2048 B velké soubory, dokud nedošlo místo. O suboptimální efektivitě využívání místa mluvili jiní už dříve, ale Edward byl i tak překvapen, když zjistil, že bylo možné využít jenom 17 % nominálního prostoru v souborovém systému, než začal hlásit, že je plný. Tak špatná efektivita je podle Edwarda důkazem, že Btrfs je špatně navržený a neměl by se používat:

Část problému se týká používání vnořených rozsahů [inline extents] v Btrfs. Základní datovou strukturou souborového systému Btrfs je B-strom, který poskytuje přístup ke všem objektům uloženým v souborovém systému. U větších souborů jsou data uložena v rozsazích [extent], na které se ukazuje ze stromu. Malé rozsahy lze však uložit v samotném stromě, což by mělo poskytovat lepší využití místa i výkonnost. Pokud tyto rozsahy ale nemají vhodnou velikost, mohou způsobit velké plýtvání místem. V jednom uzlu B-stromu je místo jenom pro jeden 2048 B velký vnořený rozsah, takže zbývá 1800 B nevyužitého místa. To je velká interní fragmentace a spousta vyplýtvaného prostoru.

Jak se píše v reakci Chrise Masona (vývojáře Btrfs), tento problém lze zmírnit dvěma přístupy. Jeden je úplně vypnout vnořené rozsahy; Btrfs má připojovací volbu max_inline, kterou lze přesně k tomu využít. Další přístup je umožnit dělení vnořených rozsahů mezi uzly stromu, takže by velikost jednotlivých kousků bylo možné nastavit tak, aby byly dané uzly přesně využity. Btrfs to neumí a pravděpodobně ani brzy umět nebude.

Chris také poznamenal, že většinu dalších položek proměnné velikosti, které se ukládají v B-stromě – například rozšířené atributy – lze v případě potřeby dělit mezi uzly. Tyto položky by tedy neměly působit problémy s fragmentací; na vině jsou zde hlavně vnořené rozsahy.

Jak ale zdůraznil Edward, tento problém jde za vnořené rozsahy. Při svých výzkumech našel mnoho míst, kde existovaly skupiny téměř prázdných uzlů; některé byly využity méně než z jednoho procenta. To je nejpravděpodobněji skutečný zdroj největších problémů s využíváním místa. Podle Edwarda je toto chování dalším důkazem, že algoritmy používané v Btrfs jsou naprosto chybné a potřebují předělat.

Chris nicméně věci vidí trochu jinak:

Slíbil, že tuto chybu dohledá a zašle opravu. Doufá se, že po opravě této chyby a vypnutí vnořených rozsahů (nebo přinejmenším omezení jejich maximální velikosti) nejhorší problémy s využíváním místa v Btrfs zmizí.

V době psaní tohoto článku daná oprava zaslána nebyla, takže její efekt nelze posoudit. Je ale pravděpodobné, že se zde nejedná o případ souborového systému, který by potřeboval základní úpravy návrhu. To, co potřebuje, je více rozsáhlého testování, ladění výkonu a nevyhnutelně opravy chyb. Dobrá zpráva je, že tento proces podle všeho funguje tak, jak by měl: Problémy byly odhaleny před širším nasazením tohoto velmi nového souborového systému.

Souběžností řízené fronty a priority vláken

napsal Jonathan Corbet, 22. června 2010

Původní kód pracovních front se do hlavní řady dostal bez velkých diskuzí nebo debat; oproti tomu, co bylo dříve, šlo o zjevné zlepšení. Souběžností řízené pracovní fronty [concurrency-managed workqueues, CMWQ] tento kód přepracovávají a mají potenciál stát se dalším významným zlepšením, ale jejich cesta k začlenění nebyla tak hladká. Aktuálně se diskutuje pátá iterace této sady patchů. I když bylo mnoho problémů vyřešeno, ze soukolí systému se vynořilo mnoho dalších, které zaujaly jejich místo.

Práce na CMWQ má řešit mnoho problémů současných jaderných pracovních front. Na špici seznamu je šíření jaderných vláken; současné pracovní fronty mohou na velkém systému vyčerpat ID procesů předtím, než uživatelský prostor vůbec dostane šanci se rozběhnout. A přes tolik vláken nejsou současné pracovní fronty příliš dobré v tom, aby udržovaly systém zaměstnaný; pracovní fronty mohou obsahovat seznam práce, kterou je potřeba udělat, ale CPU přitom nečinně sedí. Také se v nich snadno mohou objevit deadlocky, pokud není zamykání řešeno velice opatrně. Výsledkem je, že v jádře se objevilo mnoho kódu, který tyto problémy obchází, a také několik konkurenčních mechanismů pro odloženou práci.

Aby tyto problémy vyřešil, udržuje kód CMWQ sadu pracovních vláken na každém procesoru; tato vlákna jsou mezi pracovními frontami sdílena, takže systém není zaplaven vlákny specifickými pro pracovní frontu. Samostatná třída plánovače, kterou CMWQ kdysi používal, je dávno pryč, ale kód stále obsahuje háčky v plánovači, které může použít ke sledování toho, které pracovní vlákno v danou dobu opravdu pracuje. Jestliže jsou všechna vlákna pracovních front na daném CPU zablokována a na něco čekají a zároveň je naplánována další práce, kód CMWQ nastartuje další vlákno, které tuto práci začne vykonávat. Kód CMWQ může spustit několik úloh na jednom CPU souběžně – to je něco, co současný kód pracovních front neudělá. Tímto způsobem je CPU vždy zaměstnáno, dokud zbývá nějaká práce.

První stížnost, která se objevila tentokrát, souvisela s faktem, že mnoho vývojářů dávno zapomnělo, o čem že CMWQ vlastně jsou, a Tejun tuto informaci do série patchů nepřidal. To vynahradil vytvořením dokumentu se základními informacemi o kódu. To rychle vedlo k další stížnosti: Chybí-li dedikovaná pracovní vlákna, není již možné pro specifické pracovní fronty měnit chování při plánování.

Tato stížnost měla dvě varianty. Daniel Walker lamentoval, že se tím ztrácí možnost změnit prioritu vláken pracovní fronty z uživatelského prostoru. Tejun rezolutně popřel, že by tohle bylo k něčemu užitečné, a Daniel ještě nepřišel s příkladem, kde by něco takového bylo vhodné. Andrew Morton má naopak obavu o možnost měnit chování plánování z jádra; to je něco, co nyní dělá přinejmenším jeden ovladač. Možná bude ochoten tuto vlastnost nechat projít, ale šťastný z toho není:

Tejunova odpověď na tento problém má několik podob. Jedna je, že pracovní fronty mají sloužit pro obecnou asynchronní práci a tak ji většina volajících používá. Podle něj by bylo lepší, kdyby existovaly speciální mechanismy pro případy, kdy je opravdu zapotřebí pracovní vlákna pro zvláštní účely. Za tímto účelem zaslal jednoduché kthread_worker API, které lze pro vytvoření takových pracovních front využít. V podstatě se začne nastavením struktury kthread_worker:

DEFINE_KTHREAD_WORKER(worker);
/* … nebo … */
struct kthread_worker worker;
init_kthread_worker(∓worker);

Pak by mělo být pomocí (existujících) nástrojů kthread_create() či kthread_run() nastaveno jaderné vlákno, kterému se ale ke spuštění předá kthread_worker_fn():

struct task_struct thread;

thread = kthread_run(kthread_worker_fn, &worker, "name" …);

Poté už se jedná o jednoduchou záležitost vyplnění struktur kthread_work skutečnou prací a jejich naplánováním:

bool queue_kthread_work(struct kthread_worker *worker,
                        struct kthread_work *work);

Tento patch zatím nebyl komentován.

Další věc, kterou by bylo možné udělat, je spojit atributy jako priorita a příchylnost [affinity] k CPU s prací, která má být odvedena, a ne s vláknem, které ji provede. To by vyžadovalo rozšířit API pracovních front tak, aby bylo možné tuto informaci specifikovat; kód CMWQ by poté odpovídajícím způsobem vyladil pracovní vlákna v momentě, kdy by jim předával práci. V současnosti ale není jisté, jestli je tato vlastnost zapotřebí natolik, aby to ospravedlnilo zesložitění, které by to obnášelo.

Kód CMWQ rozhodně zesložiťuje jádro již tak, ale vyrovnává to nahrazením mechanismů pomalé práce a asynchronního volání funkcí. Tejun doufá, že ho bude moci brzy vhodit do linux-next a snad i začlenit do 2.6.36. Jestli se tak stane, se ještě uvidí; změny ve vnitřním kódu jádra jsou obtížné a tato možná ještě nepřeskočila poslední překážku.

Nástroje: Tisk bez diskuse