再探Linux内核write系统调用操作的原子性

很多人都在问Linux系统的write调用到底是不是原子的。网上能搜出一大堆文章，基本上要么是翻译一些文献，要么就是胡扯，本文中我来结合实例来试着做一个稍微好一点的回答。

  先摆出结论吧。结论包含两点，即write调用不能保证什么以及write调用能保证什么。

  首先，write调用不能保证你要求的调用是原子的，以下面的调用为例：

ret = write(fd, buff, 512);

Linux无法保证将512字节的buff写入文件这件事是原子的，因为：

1. 即便你写了512字节那也只是最大512字节，buff不一定有512字节这么大；
2. write操作有可能被信号中途打断，进而使得ret实际上小于512；
3. 实现根据不同的系统而不同，且几乎都是分层，作为接口无法确保所有层资源预留。磁盘的缓冲区可能空间不足，导致底层操作失败。

如果不考虑以上这些因素，write调用为什么不设计成直接返回True或者False呢？要么成功写入512字节，要么一点都不写入，这样岂不更好？之所以不这么设计，正是基于上述不可回避的因素来考虑的。

  在系统调用设计的意义上，不信任的价值大于信任，最坏的考虑优先于乐观地盲进。

  其次，write调用能保证的是，不管它实际写入了多少数据，比如写入了n字节数据，在写入这n字节数据的时候，在所有共享文件描述符的线程或者进程之间，每一个write调用是原子的，不可打断的。举一个例子，比如线程1写入了3个字符’a’，线程2写入了3个字符’b’，结果一定是‘aaabbb’或者是‘bbbaaa’，不可能是类似‘abaabb’这类交错的情况。

  也许你自然而然会问一个问题，如果两个进程没有共享文件描述符呢？比如进程A和进程B分别独立地打开了一个文件，进程A写入3个字符’a’，进程B写入了3个字符’b’，结果怎样呢？

  答案是，这种情况下没有任何保证，最终的结果可能是‘aaabbb’或者是‘bbbaaa’，也可能是‘abaabb’这种交错的情况。如果你希望不交错，那么怎么办呢？答案也是有的，那就是在所有写进程打开文件的时候，采用O_APPEND方式打开即可。

  作为一个和用户态交互的典型系统调用，write无法保证用户要求的事情是原子的，但它在共享文件的范围内能保证它实际完成的事情是原子的，在非共享文件的情况下，虽然它甚至无法保证它完成的事情是原子的，但是却提供了一种机制可以做到这种保证。可见，write系统调用设计的非常之好，边界十分清晰！

  关于以上的这些保证是如何做到的，下面简要地解释下。我本来是不想解释的，但是看了下面的解释后，对于理解上述的保证很有帮助，所以就不得不追加了。解释归于下图所示：

总结一下套路：

1. APPEND模式通过锁inode，保证每次写操作均在inode中获取的文件size后追加数据，写完后释放锁；
2. 非APPEND模式通过锁file结构体后获取file结构体的pos字段，并将数据追加到pos后，写完更新pos字段后释放锁。

由此可见，APPEND模式提供了文件层面的全局写安全，而非APPEND模式则提供了针对共享file结构体的进程/线程之间的写安全。

  值得一再重申的是，由于write调用只是在inode或者file层面上保证一次写操作的原子性，但无法保证用户需要写入的数据的一次肯定被写完，所以在多线程多进程文件共享情况下就需要用户态程序自己来应对short write问题，比如设计一个锁保护一个循环，直到写完成或者写出错，不然循环不退出(详见《UNIX网络编程》)，锁不释放…

  此外，我们知道，apache，nginx以及另外一些服务器写日志都是通过APPEND来保证独立原子写入的，要知道这些日志对于这类服务器而言是极端重要的。

本文写到这里貌似应该可以结束了吧。

  如果是这样，我是不会写这篇文章的，要不是发生了点什么事情，我绝不会写这种总结性的文章，这不是我的风格。既然写了这篇，说明下面才是重头戏！

  从一个悲哀的故事说起。

  我自己写了一个分析TCP数据包的程序，通过不断打日志的方式把数据包的信息记录在文件里，程序是个多线程程序，大概10多个线程同时写一个内存文件系统的文件，最后我发现少了一条日志！程序本身不是重点，我可以通过以下的小程序代之解释：

#include <stdio.h>
#include <stdlib.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <sys/prctl.h>
#include <string.h>
#include <unistd.h>

char a[512];
char b[16];

int main()
{
        int fd;

        memset(a, 'a', 512);
        memset(b, '-', 16);

        fd = open("/usr/src/probe/test.txt", O_RDWR|O_CREAT|O_TRUNC, 0660);

        if (fork() == 0) {
                prctl(PR_SET_NAME, (unsigned long)"child");
                write(fd, b, 16);
                exit(0);
        }
        write(fd, a, 512);
        exit(0);
}

编译为parent并运行，你猜猜最后test.txt里面是什么内容？

  由于父子进程是共享fd指示的file结构体的，按照上面的解释，最终的文件内容肯定是下面两种中的一种：

----------------aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

或者：

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa----------------

可是，事实并不是这样！事实上，在很小的概率下，文件中只有512个字符‘a’，没有看到任何字符‘-‘(当然还会有别的情况)！Why？

  你能理解，当事实和理论分析不符的时候是多么痛苦，标准上明明就是说要保证共享file结构体的进程/线程一次写操作的原子性，然而事实证明有部分内容确实是被覆盖了，这显然并不合理。

  再者说了，系统调用在设计之初就要做出某种级别的保证，比如一次操作的原子性等等，这样的系统API才更友好，我相信标准是对的，所以我就觉得这是代码的BUG所致。是这么个思路吗？

  不！上面的这段话是事后诸葛亮的言辞，本文其实是一篇倒叙，是我先发现了写操作被覆盖，进而去逐步排查，最终才找到本文最开始的那段理论的，而不是反过来。所以，在我看到这个莫名其妙的错误后，我并不知道这是否合理，我只是隐约记得我曾经写过的一篇文章：
关于O_APPEND模式write的原子性：http://blog.csdn.net/dog250/article/details/29185821
这篇文章的写作背景我早就忘记了，我记得当时也是费了一番功夫，所以我只是依靠信仰觉得这次又是内核的BUG！然而我如何来证明呢？

  首先我要想到一个写操作被覆盖的场景，然后试着去重现这个场景，最终去修复它。首先第一步还是看代码，出问题的内核是3.10社区版内核，于是我找到源码：

SYSCALL_DEFINE3(write, unsigned int, fd, const char __user *, buf,
        size_t, count)
{
    struct fd f = fdget(fd);
    ssize_t ret = -EBADF;

    if (f.file) {
        loff_t pos = file_pos_read(f.file);
        ret = vfs_write(f.file, buf, count, &pos);
        file_pos_write(f.file, pos);
        fdput(f);
    }

    return ret;
}

说实话，这段代码我是分析了足足10分钟才发现一个race的，而且是参考了我之前的那篇文章。简单讲，我把这个系统调用分解为了三部分：

1. get pos
2. vfs_write
3. update pos

race发生在1和2或者2和3之间。以下图示之：

既然找到了就容易重现了，方法有两类，一类是拼命那个写啊写，碰运气重现，但这不是我的方式，另一种方法我比较喜欢，即故意放大race的条件！

  对于本文的场景，我使用jprobe机制故意在1和2之间插入了一个schedule。试着加载包含下面代码的模块：

ssize_t jvfs_write(struct file *file, const char __user *buf, size_t count, loff_t *pos)
{
        if (!strcmp(current->comm, "parent")) {
                msleep(2000);
        }

        jprobe_return();
        return 0;
}

static struct jprobe delay_stub = {
        .kp = {
                .symbol_name    = "vfs_write",
        },
        .entry  = jvfs_write,
};

我是HZ1000的机器，上述代码即在1和2之间睡眠2秒钟，这样几乎可以100%重现问题。

  试着跑了一遍，真的就重现了！文件中有512个字符‘a’，没有看到任何字符‘-‘！

  看起来这问题在多CPU机器上是如此地容易重现，以至于任何人都会觉得这问题不可能会留到3.10内核还不被修补啊！但是内核源码摆在那里，确实是有问题啊！这个时候，我才想起去看一些文档，看看这到底是一个问题呢还是说这本身是合理的，只是需要用户态程序采用某种手段去规避(比如《UNIX环境高级编程》就特别爱用这种方式)。曲折之路就不多赘述了，直接man 2 write，看BUGS section：

BUGS
       According to POSIX.1-2008/SUSv4 Section XSI 2.9.7 ("Thread Interactions with Regular File Operations"):

           All of the following functions shall be atomic with respect to each other in the effects specified in POSIX.1-2008 when they operate on regular files or
           symbolic links: ...

       Among the APIs subsequently listed are write() and writev(2).  And among the effects that should be atomic across threads (and processes) are updates of the
       file offset.  However, on Linux before version 3.14, this was not the case: if two processes that share an open file description  (see  open(2))  perform  a
       write()  (or  writev(2)) at the same time, then the I/O operations were not atomic with respect updating the file offset, with the result that the blocks of
       data output by the two processes might (incorrectly) overlap.  This problem was fixed in Linux 3.14.

嗯，说明3.10的内核真的是BUG，3.14以后的内核解决了，非常OK！看了4.14的内核，问题没有了，这问题早就在3.14社区内核中解决：

SYSCALL_DEFINE3(write, unsigned int, fd, const char __user *, buf,
        size_t, count)
{
    struct fd f = fdget_pos(fd);  // 这里会锁file的pos锁
    ssize_t ret = -EBADF;

    if (f.file) {
        loff_t pos = file_pos_read(f.file);
        ret = vfs_write(f.file, buf, count, &pos);
        if (ret >= 0)
            file_pos_write(f.file, pos);
        fdput_pos(f);
    }

    return ret;
}

针对该问题的patch说明在：https://lkml.org/lkml/2014/3/3/533

From: Linus Torvalds <torvalds@linux-foundation.org>
Date: Mon, 3 Mar 2014 09:36:58 -0800
Subject: [PATCH 1/2] vfs: atomic f_pos accesses as per POSIX

Our write() system call has always been atomic in the sense that you get
the expected thread-safe contiguous write, but we haven't actually
guaranteed that concurrent writes are serialized wrt f_pos accesses, so
threads (or processes) that share a file descriptor and use "write()"
concurrently would quite likely overwrite each others data.

This violates POSIX.1-2008/SUSv4 Section XSI 2.9.7 that says:

 "2.9.7 Thread Interactions with Regular File Operations

  All of the following functions shall be atomic with respect to each
  other in the effects specified in POSIX.1-2008 when they operate on
  regular files or symbolic links: [...]"

and one of the effects is the file position update.

This unprotected file position behavior is not new behavior, and nobody
has ever cared.  Until now.  Yongzhi Pan reported unexpected behavior to
Michael Kerrisk that was due to this.

This resolves the issue with a f_pos-specific lock that is taken by
read/write/lseek on file descriptors that may be shared across threads
or processes.

一波三折的事情貌似结束了，总结一下收获就是，碰到问题直接看文档而不是代码估计可能会更快速解决问题。

我禁不住把这份收获分享给了温州皮鞋老板和王姐姐，为了防止他们较真儿挑战，我准备整理一下我的环境，然后把重现方法也告诉他们，我重启了我的机器，问题发生了…

这绝对是本文的最后一部分，如果再发生故事，我保证会放弃！因为这个问题本来就是碰到了顺便拿来玩玩的。

  当我把机器重启到Centos 2.6.32内核(我认为低版本内核更容易重现，更容易说明问题)时，依然载入我那个jprobe内核模块，运行我那个parent程序，然而并没有重现问题，相反地，当parent被那个msleep阻塞后，child同样也被阻塞了，看样子是修复bug后的行为啊。

  第一感觉这可能性不大，毕竟3.10内核都有的问题，2.6.32怎么可能避开？！然而事后仔细一想，不对，3.10的问题内核是社区内核，2.6.32的是Centos内核，后者会拉取很多的上游patch来解决一些显然的问题的，对于衍生自Redhat公司的稳定版内核，这并不稀奇。

  最后，我在以下的地址：
https://oss.oracle.com/git/gitweb.cgi?p=redpatch.git;a=blob;f=fs/read_write.c;h=2e01b41be52b0a313a10fac1a6ebd7161901434a;hb=rhel-2.6.32-642.13.2.el6
找到了write的实现：

SYSCALL_DEFINE3(write, unsigned int, fd, const char __user *, buf,
                 size_t, count)
{
        struct file *file;
        ssize_t ret = -EBADF;
        int fput_needed;

        file = fget_light_pos(fd, &fput_needed);  // 这里是关键
        if (file) {
                loff_t pos = file_pos_read(file);
                ret = vfs_write(file, buf, count, &pos);
                file_pos_write(file, pos);
                fput_light_pos(file, fput_needed);
        }

        return ret;
}

请注意fget_light_pos是一个新的实现：

struct file *fget_light_pos(unsigned int fd, int *fput_needed)
{
        struct file *file = fget_light(fd, fput_needed);

        if (file && (file->f_mode & FMODE_ATOMIC_POS)) {
                if (file_count(file) > 1) {
                        *fput_needed |= FDPUT_POS_UNLOCK;
                        // 如果有超过一个进程/线程在操作同一个file，则先lock它！
                        mutex_lock(&file->f_pos_lock);
                }
        }
        return file;
}

事情就是在这里起了变化！Centos早就拉取了修复该问题的patch，解决了问题便无法重现问题。

  所以，社区版内核和发行版内核是完全不同的，侧重点不同吧，社区版内核可能更在意内核本身的子系统以及性能因素，而发行版内核则更看重稳定性以及系统调用，毕竟系统就是用来跑应用的，系统调用作为一个接口，一定要稳定无BUG！

事情结束！

  以下是一点关于这次问题排查的补遗。

  这问题事后跟温州老板以及王姐姐讨论过，我关注的点在于，write一次写(不管实际上写了多少)到底能不能被打断，并不是写多少不会被打断，对于后者，说实话系统保证不了，比如说万一你要求写100T的数据，写着写着你Ctrl-C了或者机器断电了，你能咋滴，谁来负责？但是系统能保证的是，不管你写多少的数据，在你退出write调用前，都不可能被其它的写操作所打断。这是正确的系统调用行为，至于别的，系统并不保证！

  这就好比你去服务大厅排队办事，业务员完全有理由在受理你的业务期间由于你的疏忽或者她自己的疏忽让你仅仅办了一部分事或者说甚至无功而返，但决不会在正在受理你的业务同时又接待了别人，这样你就可以投诉她了吧。write调用的行为也是完全一模一样。

  有人说当文件类型是PIPE时，系统要求至少原子写入PIPE_BUF字节，对于普通文件，也差不多是这么多。这简直太牵强，之所以说是PIPE_BUF而不是硬写成是4096就是因为写操作的具体实现是系统实现相关的，取决于你拿什么作为载体作为到达磁盘的媒介，一般而言就是页面，一次申请的最小单位就是页面，因此刷入4096字节这么一个页面的大小的块是必须的。然而，如果一个页面是1字节呢？或者是1T呢？所以说，这并不是作为用户接口的系统调用所能承诺写入的理由。

  还是那句话，能写多少，系统决然无法保证(业务员无法阻止你忘记带身份证从而业务只能办理一半)，但它能保证在它写的时候，不会被其它的写操作打断！

标准规定的都是正确的，至少比代码更正确，先有的标准再有的代码。但这并不意味着实现就一定符合标准，实现是可以有bug的，比如Linux 3.14版本前社区版内核实现就有bug。所以写完本文后最大的收获就是先看标准和文档再看代码。其实，我是倾向于能不看代码就不看代码的，代码仅仅是一种实现方式而已，我认识的一些Cisco这种公司的网络技术大牛告诉过我，看手册，看Paper，看标准，跑测试case对于理解和玩转一个技术要比单纯的源码分析有效很多很多。

  嗯，我就是那个送煤气罐的人。

————— 平安夜补遗 —————

文档比代码重要吗？

Linus说过“Talk is cheap. Show me the code”，但Document价值几何呢？Linus并没有说。

  我的意思是说，在排查问题的时候，首先要了解事情应该是什么样子的，而不是事情做成了什么样子。coding的过程是充满乐趣的，但是一段有bug的code总是令人乏味的！以冒泡排序为例，如果你发现你的代码并没有完成一次正确的排序，首先你要确保你对冒泡排序真的已经理解了，其次才是去debug那段令人沮丧的代码。

  又扯到TCP了。我想很多人在学习Linux内核网络协议栈的时候都避开了TCP的实现，不光是我们这些凡人，就连基本讲Linux网络的经典的书都不包括TCP的内容。这是为什么呢？

  实话实说，Linux的TCP实现太复杂太庞大了，任何初学者看到Linux的TCP实现几乎都会望而却步，仅仅tcp_ack函数就够你喝一壶的了…我本人曾经看了大半年的这部分代码都没有搞明白TCP是怎么回事。后来我是怎么突然就懂了呢？

  我相信量变会引起质变，当我坚持死磕Linux TCP实现的代码，总有一天会看懂的，但是我觉得时间并不是决定性的因素。在我看了很久都没有看懂的时候，我其实不会死磕，我会放弃，我想很多人都会放弃。是的，我放弃了，我想如果给我时间，我能写出一个TCP实现，并且这将是一个我肯定能看懂的TCP实现。

  转而我开始看TCP相关的各种RFC标准，后面我就不说了，反正结果就是看了半个月RFC(上班路上看，上班看，下班路上看，晚上看，周末看，梦里还看…)，然后再看Linux内核TCP实现的代码，就秒懂了，这是真事儿。闲着没事儿的时候，还自己试着写了一个用户态的TCP实现版本，用Tap虚拟网卡来通信，后来发现这个跟uIP，lwIP这些有点重复，就没有继续下去…既然知道了事情应该做成什么样子，那么如何去做就不重要了。

  如果程序符合预期，你很好奇这是怎么做到的，那么代码里面没有秘密。
  如果程序不符合预期，第一要务是搞清楚正确的做法，而不是直接去看有bug的代码。

关于write原子性的讨论

昨天把这篇文章发到了朋友圈，有位朋友马上就回复了，以下是回复内容，作为本文的补充：

A：原子写一般只保证512字节，一个sector的大小。
B：这个确实是实现相关的，现在很多实现基于Page cache，就成了一个Page的大小。按照物理实现，当前的SSD可能又有不同。。。
A：固件不支持，内核再怎么变也没用。所以才有mysql的double write buffer，就是因为hdd原子写是一个扇区。

很不错的视角。

  这里要补充的是，一个写操作从发起到磁盘，经过了太多的层，其中每一个层都有该层的最小操作单位，在VFS到磁盘缓冲的层，Page就是最小单位，再往下到磁盘的时候，扇区就成了最小单位，也许某种新的磁盘操作的并不是扇区，也许最终的文件就是个内存块，也可能是NFS的网络对端…总之，内核是无法对应用程序做出原子保证的，很简单，在系统调用这个层次，太高了，系统在这里对底层并不知情，当然无法获知底层所做出的任何承诺。

  对于某些实现，可以通过ioctl这类带外控制通道的调用获取底层的元数据，这样至少可以让应用程序可以对自己的行为行使更多的策略，拥有更多的选择。

平安夜礼物

2002年平安夜，我和几个屌丝在哈尔滨中央大街看橱窗里穿着白色礼服的俄罗斯美女，不用买礼物，带着眼就行，足足在一家婚纱店外面抽了5根烟才离去。
  后面几年跟这个差不多，只不过换了地方换了几个不同的屌丝而已。我记得2004年圣诞节前我是从河南工学院一路滑着冰到郑州火车站的，然后逃票到了新乡去找女朋友(现在成了小小的妈)。
  2007年平安夜，吉林长春，欧亚商都，巴黎春天。我本来是想给女朋友买件大衣的，然而价格均在800块以上，沮丧地离开商场在门外买了一串气球回家，买不起衣服，吃不起东方肉馆…
  后来到了上海，终于能买得起了，女朋友也成了老婆，然而也胖了不再买衣服了，也不再把肉食作为奢侈品了，这是多么的幸福，没钱的时候，买不起，有钱的时候，不用买了。
  然而事情在起变化。
  躲了老婆，躲不了情人。我想送小小一件圣诞节礼物，是的，我想了很久了。然而不知道怎么回事，平安夜就在眼前了…中午的时候，我出去晃悠了一下，想看看能不能找点灵感，然而还是令人痛苦地失败了。我买了一个超大的健达蛋回家，突然感受到了2007年平安夜买那串气球的感觉。
  刚进门，就被小小堵截了，我被迫把礼物给了她，她非常之高兴，我感到很惭愧，一个23块钱的礼物在她眼里有如此昂贵。唉，温州老板说我空手套白狼，我想温州老板是对的。都说女儿是老爸上辈子的情人，上辈子没能给她幸福，这辈子呢？作为父亲的我和女儿其实没有任何关系，一切都是因为缘分，不管是良缘还是孽缘，让她选择了做我的女儿，所以一定要对她好，毕竟她本来可能是有选择父亲的权利的。
  圣诞节是基督教的节日，我也是基督教的信徒，我本该多说点，但还是选择保持缄默，闭上眼睛，心里祷告。眼里有工作，心中有上帝，四海共见美好。

  愿圣诞节的清晨，使我们做为您的孩子，幸福快乐，愿圣诞节的夜晚引领我们来到床前，用感恩的心为你述说，赦免我的过去，赦免我的现在，因着耶稣基督的缘故，赦免我，这样的祷告，是奉我主耶稣基督的名！阿门！

———- 2017/12/24 22:13 作文———-