Проблема флага O_DIRECT

so, zfs, bcachefs and btrfs seem to do right now and survive that «invalid O_DIRECT test cases»

Даже пользователь без прав администратора

Кого? CAP_SYS_ADMIN что ли? Давайте будем более точными в терминологии, всё таки не про Виндоус тема.

Несмотря на то, что за годы ниразу на такой баг не попадал, новость печалит. :(

Любой пользователь может использовать O_DIRECT флаг.

вангую что синхронизация устройств может быть отложена в случае малых нагрузок и ее просто не дождались иначе с чего бы вообще быть разнице, с чего бы вообще писать на какое то устройство и не писать на другое, с чего бы выбрать именно это устройство в массиве?

linux soft raid лет 15 и куча народу его используют, просто не верю что такой кейс был не протестирован изначально при разработке

Очередная новость с картинкой ради картинки.

Из всех файловых систем Linux, известны только две, не подверженные этому дефекту при использовании с программным RAID – это OpenZFS и Bcachefs.

В репорте пишут, что и btrfs тоже не подвержена.

so, zfs, bcachefs and btrfs seem to do right now and survive that «invalid O_DIRECT test cases»

Похоже просто потому что вся CoW тройка запрещает писать произвольный мусор «мимо кассы» напрямую в диск из-за необходимости вычисления контрольных сумм записанных данных.

Ну красиво, чо... Я чот не понял, если дрпйвера независимо читают пользовательский буфер, то для пользователя операция заканчивается, емти прочитали все. А тогда, данные валидны и неизменны до окончания операции. Чот я не понял, как оно оаботает тогда, если каждый иожет прочесть разное?

Пользователь вызвал write и передал буфер. Драйвер блочного устройства взял этот буфер и переписал с него данные прямо на диск. Это без рейда.

В рейде драйвер рейда берёт этот буфер и переписывает данные с буфера на два диска, каждая операция записи независимо работает. В норме приложение не меняет буфер между вызовом write и его окончанием. Но если приложение запустило второй поток, который меняет буфер во время работы write, то в ядре на рейд могут записаться разные данные на разные устройства, если возникает ситуация гонки.

Как я понял - по сути это оптимизация для того, чтобы избежать копирований между буферами. Данные через DMA сразу передаются из пользовательской памяти в диск. Чтобы исправить этот баг, придётся копировать данные в промежуточный буфер, а это ухудшит производительность.

Когда используется файловая система с флагом O_DIRECT по сути управление передаётся сразу драйверу блочного устройства, для простых файловых систем, поэтому получается этот баг эксплуатировать без рута. Более сложные файловые системы с контрольными суммами работают сложней (но и, конечно, медленней) и в них O_DIRECT работает уже не так примитивно.

Так это тогда баг приложения, если оно меняет данные в буфере до окончания write

Интерестно, а в случае RAID5/6 как это работает?

И, тут вобще интерестно, что считать ошибкой RAID1, ведь, в общем случае SSD может быть с Non-deterministic TRIM. То есть те блоки RAID, которые тримнуты, могут давать разное содержимое для разных накопителей зеркала. RAID-устройство не знает, какие блоки тримнуты, то есть на определённых исправных накопителях RAID1 может быть всегда не синхронизированым...

Видимо, для виртуальных машин или их миграции — это норма.

лет 15

Да побольше, mdctl появился году в 2001. И не факт, что на тот момент O_DIRECT был вобще, или работал так, как сейчас.

Я так понимаю, что пользователь, пишущий данные на raid в режиме O_DIRECT, может повредить данные в своём этом файле.

Технически это баг, согласен, но он же ссзб.

Ах, вот, что за говно мне на ровном месте рейд развалило! Я еще жаловался тогда, что с какого-то хрена у меня на сервере без даунтаймов файлы разъехались в зеркале MD-raid. Потом решил переехать на ZFS.

Меня тогда mx__, в приступе острой дистрофобии, обвинял в том, что это всё потому, что я использую арч, и развал был совершенно точно из-за этого (на LTS-ядре почти без патчей, ага-ага). Ну чо, дружок, как самочувствие?

Только ведь абсолютно любая программа может это сделать без твоего ведома. И даже никакие слои изоляции и контейнеризации не помогут, потому что фундаментальная дырка в ядре.

ссзб один пользователь, а рейд развалится у всех, если система найдёт рассинхрон.

На сколько я понимаю, она его не находит, в этом трюк.

Можно список программ, использующих этот режим?

фундаментальная дырка в ядре.

Понимаешь, как-то за десять лет эксплуатации зеркальных программных рейдов в приличном количестве мы ни разу не столкнулись с этой фундаментальной проблемой.

Пытаюсь понять, то ли проблема недостаточно фундаментальна, то ли условия для неё слишком специфические нужны.

Пока не сделать echo check > /sys/block/md0/md/sync_action (или аналог) не найдёт, да.

Так это тогда баг приложения, если оно меняет данные в буфере до окончания write

Баг приложения не должен разваливать рейд. Ну интуитивно так кажется.

Можно список программ, использующих этот режим?

dd oflag=direct

А если серьёзно, то это может быть субд. Впрочем, взрослые субд типа постгреса используют всякие трюки типа собственного журнала, кольцевого буфера и т.п. чтобы их файлы остались в каком-то вменяемом состоянии даже при жёстком выключении машины. Как побочный эффект, они не изменяют одни и те же участки файлов часто и не подпадают под сабжевый баг.

Возможно, какие-то пионерские СУБД подвержены.

Можно список программ, использующих этот режим?

Любой рандомный скрипт вызывающий dd с oflag=direct?

Понимаешь, как-то за десять лет эксплуатации зеркальных программных рейдов в приличном количестве мы ни разу не столкнулись с этой фундаментальной проблемой.

«У меня за окном такая же девятиэтажка и она не горит.»

Ещё в qemu для производительности часто используют этот флаг (например в proxmox это по дефолту, насколько я знаю). А что там внутри виртуалки происходит - одному богу известно.

Ну то есть бег по потолку отменяется )

И за десять лет ни у кого не горела.

Пусть тушат, чо.

«Пользовательские программы», как правило, не имеют прав на доступ к блочному устройству минуя ФС, даже для чтения.

взрослые субд типа постгреса

Недавно в 18 версии кстати как раз данный режим завезли, лол.

https://pganalyze.com/blog/postgres-18-async-io:

Allow the use of Direct I/0 (DIO). Direct I/O refers to bypassing the OS kernel’s page cache and performing I/O operations straight between the application and storage device.

Пам-пам-пам.

Только ведь абсолютно любая программа может это сделать без твоего ведома.

не может. а тем, которые могут (есть права на запись в блочное устройство) абсолютно насрать на флаги, они и так могут сделать что угодно.

Речь об обычном файле.

linux soft raid лет 15 и куча народу его используют, просто не верю что такой кейс был не протестирован изначально при разработке

Год назад решил детально разобраться с работой mdraid, протестировать его стабильность и выносливость, понять слабые стороны и прочее.

Взял три USB-флешки, создал на них raid10, вынул-вставил:

md/raid10:md127: not enough operational mirrors.
BUG: kernel NULL pointer dereference, address: 0000000000000050

Первая опробованная мной конфигурация развалила ядро.

Этот баг эксплуатируется через обычную ФС с флагом O_DIRECT, внимательней читай.

По умолчанию в проксмоксе режим компания none, это так. Но любая гостевая ос тоже кеширует, поэтому проблемы быть не должно. Иначе багтрекер проксмокса был бы завален отчётами о пропадании данных.

В случае если оно работает на одиночном диске или аппаратном рейде - это не баг, это крутая оптимизация.

Для эксплуатации не нужен доступ в блочное устройство. В том и суть проблемы, что для прострела не нужны рут права и прочее. Достаточно записать любой файл в режиме O_DIRECT.

В тикете по ссылке человек развалил массив хоста из гостя

Вообще нередко такое. Вроде берёшь что-то такое, что кажется железобетонным, а там чижика съели. Всё же железный рейд от бренда выглядит безальтернативным для серьёзных нагрузок, а линуксовый только от бедности.

Раньше я не понимал почему. А тут такое...

dd использует режим, но обычно не подвержен багу, т.к. пишет по каждому смещению только один раз. В теории два последовательных вызова dd могут вызвать баг, если будут писать в один дескриптор с перемоткой на начало.

ПО идее вот это должно воспроизводить баг, но это не точно:

for i in {1..100}; do
dd if=/dev/urandom count=128 oflag=direct >&3
perl -e 'open(FD,">&3"); seek(FD,0,0);'
done 3> testfile

я пользовался mdraid ещё лет 25 назад. и он уже не был новостью.
и вот доказательство из mdadm.c:

• mdadm - manage Linux «md» devices aka RAID arrays.
• Copyright (C) 2001-2013 Neil Brown neilb@suse.de

Всё же железный рейд от бренда выглядит безальтернативным для серьёзных нагрузок, а линуксовый только от бедности.

Я вам больше скажу: линуксовый raid1 не поддерживает параллельное чтение нескольких блоков с разных дисков! Т.е. скорость чтения в raid1 не увеличивается!

Я когда узнал, не поверил, что такой нонсенс вообще возможен.

багтрекер проксмокса был бы завален отчётами о пропадании данных

Proxmox не оказывают поддержку при использовании mdraid - https://pve.proxmox.com/wiki/Software_RAID#mdraid

В lvm увеличивается :) в т.ч. и на флешках, и даже не падает.

Это факт, никто в серьезных датацентрах софтварные рейды не использует. По множеству причин на самом деле, не только из-за стабильности. В частности потому что при внезапной необходимости смены софтварного стека не нужно будет все это дело мигрировать.

LVM использует тот же mdraid, так что не увеличивается.

Речь идёт о «разделении» чтения одного блока на несколько дисков, т.е. если блочному устройству отправили запрос «прочти мне 1 МБ по вот такому смещению», mdraid не может разделить этот запрос на два «прочти по 500 КБ» на оба диска.

Скорость обычного чтения может быть выше из-за readahead, который отправляет несколько запросов, но это не то.

при внезапной необходимости смены софтварного стека

Внезапная смена линукса на макось?

пример в тикете:

2. Write data with O_DIRECT

./a.out /dev/md0

хрен ты его так запишешь в /dev/vg/home какой-нибудь. прав у тебя на это нет.

Там было две какие-то конфигурации, которые очень похожи, но отличались именно в скорости. Я забыл подробности.

Эта проблема должна быть глубже. Хотя бы потому что я смотрел код куда ходит этот самый директ. Не может там быть таких багов - и raid тут ни причем