Jaderné noviny – 1. 5. 2014: kGraft – patchování jádra za běhu

19. 5. 2014 | Luboš Doležel | Jaderné noviny | 4960×

Obsah

• Aktuální verze jádra: 3.15-rc3
• Počáteční podoba kGraftu

Aktuální verze jádra: 3.15-rc3

Aktuální vývojová verze jádra je 3.15-rc3 vydaná 27. dubna. Máme za sebou další týden a další rc. Zatím nic hrozivého a rc3 je odpovídajícím způsobem menší než rc2, takže se to odvíjí správně.

Stabilní aktualizace: verze 3.14.2, 3.10.38 a 3.4.88 vyšly 26. dubna.

Počáteční podoba kGraftu

Nutnost restartovat systém kvůli instalaci opravy jádra je otravné. V mnoha případech je to dokonce ještě horší: systém(y), o které jde, mohou mít omezení týkající se dostupnosti, která znemožňují restartování dle potřeby. Uživatelé, kteří takovým nesnázím čelí, by často rádi měli způsob, jak dostat do jádra kritický patch bez nutnosti systém vypnout. Jako odpověď na toto se už v roce 2008 objevila první verze sady patchů Ksplice. Ksplice se nikdy ale nedostalo do hlavní řady jádra a po odkoupení Oraclem pravděpodobně z linuxového světa zmizelo. V poslední době bylo oznámeno několik alternativních patchů nabízejících podobnou funkčnost; jeden z nich – kGraft – byl nyní zaslán ke zvážení.

KGraft je prací Jiřího Kosiny a Jiřího Slabého ze SUSE. Přístup, který použili, je snazší než v případdě Ksplice a scházejí mu některé schopnosti, které Ksplice nabízí. Na druhou stranu má základní patch s kódem kGrafu jen 600 řádek a proces aplikace patchů je o dost jednodušší a s menším dopadem na systém.

KGraft funguje tak, že v jádře nahrazuje celé funkce. Za použití nástrojů dodaných s kGraftem může na základě patche jádra vytvořit seznam změněných funkcí; nové verze těchto funkcí jsou pak zkompilovány do odděleného jaderného modulu. Jakmile je tento modul nahrán do jádra, kGraft se postará o nahrazení stávajících porouchaných funkcí jejich novými opravenými verzemi.

Toto nahrazování je poněkud zrádná věc; operování jádra za živa skýtá spousty nebezpečí. Dobrou zprávou pro vývojáře kGraftu je to, že tento problém už byl za ně z větší části vyřešen. Subsystém trasování funkcí (ftrace) potřebuje dělat právě tento typ patchování za běhu, takže se vývojáři ftrace už postarali o napsání kódu, který to zajistí, odladili všechny podivné vady a také to náležitě odnesli, když něco nefungovalo tak, jak by mělo. Vývojáři kGraftu zkrátka jen musí použít nástroje ftrace – které už umí zachytit volání funkcí v běžícím jádře – a použít je k nahrazení volání vadných funkcí za volání nového kódu.

Jsou tu samozřejmě ještě nějaká rizika. Tím největším z nich je: co se stane, když proces běží při aplikování patche zrovna v jaderném prostoru? Tento proces může jednou zavolat starou verzi funkce a krátce na to zavolat novou verzi; v závislosti na tom, co se mezitím změnilo, by to mohlo vést ke zmatení a k výpadkům, kterým se právě takto snažíme předejít. Při pohledu na tento problém dospěli vývojáři kGraftu k tomu závěru, že se dá problémům předejít, pokud žádný proces neuvidí dvě verze té samé funkce při jediném průchodu do jaderného prostoru a zpátky.

Proto patch přidává do struktury thread_info v každém procesu příznak, zda tento proces opustil nebo se vrátil do uživatelského prostoru od začátku aplikování patche. Jakmile je zachyceno volání staré funkce, „pomalý pahýl“ zkontroluje zmiňovaný příznak pro běžící proces; pokud proces vstoupil do prostoru jádra nebo jej opustil, tak se má za to, že běží ve „starém světě“ a dostane starou verzi této funkce. Jinak se řízení předává nové verzi. Jakmile každý proces v systému přešel do nového světa, pak může být pomalý pahýl odstraněn a nová funkce může být volána nepodmínečně.

A co s procesy, které tento přechod neprovedou v rozumném čase? Například proces zaseklý při čekání na I/O na síťovém socketu by mohl v jádře zůstat velmi dlouho a bránil by tak pročištění po operaci graft. Když Vojtěch Pavlík hovořil o této práci na březnovém Linux Foundation Collaboration Summitu, zmínil mechanismus, který by pomalým procesům poslal signál, aby byl přechod vynucen. Tento mechanismus ale není v zaslaném patchi přítomen. Na druhou stranu je pod /proc k dispozici příznak umožňující administrátorům identifikovat procesy, které brání dokončení operace.

Další otázka: co s jadernými vlákny, která nejsou spuštěna z uživatelského prostoru? Většina jaderných vláken, jakmile doběhnou do vhodného místa, zavolá kthread_should_stop(), aby zjistila, jestli se mají ukončit. Kód kgraft upravuje kthread_should_stop() tak, aby resetovalo příznak „starého světa“. Pro vlákna, která taková volání nedělají, vložili vývojáři kGraftu volání kgr_task_safe(), která na vhodných místech značí přechod do nového světa.

Nakonec tu máme otázku přerušení. Kód kgraftu může blokovat přerušení na lokálním CPU, zatímco provádí změny, ale nemůže je zablokovat globálně. Aby si kGraft byl jistý, že při běhu obsluhy přerušení nedojde k žádným překvapením, tak přidává pole specifické pro každé CPU, aby bylo možné sledovat, zda každý procesor běžel v kontextu procesu (mimo přerušení). Tento příznak je ze začátku nastavený na false a následně je zavoláno schedule_on_each_cpu(), aby došlo ke spuštění funkce kGraftu v kontextu procesu na každém z procesorů. Tato funkce, která nemůže být spuštěna, dokud jsou obsluhována přerušení na daném CPU, nastaví pro dané CPU příznak. Pahýl umístěný při nahrazování funkce mezitím vynutí to, aby kód z obsluhy přerušení používal kód ze starého světa, dokud nemá dané CPU nastavení příznak pro „nový svět“.

Tento článek byl napsán jen krátce po zaslání patche kGraft, proto doposud není moc co psát o reakcích, jaké vyvolal. Zatím se ale neobjevily žádné námitky k tomu, jak vývojáři celou věc pojali. Tato funkčnost má zjevný přínos, takže můžeme očekávat, že něco někdy bude začleněno. Nejistotu do rovnice vnáší další soupěřící patche, jež čekají na svou příležitost. V jádře není místo pro dva nebo více mechanismů pro patchování za běhu, takže tyto patche buď budou muset být sjednoceny, nebo bude někdo muset učinit rozhodnutí.

Nástroje: Tisk bez diskuse