《Operating Systems: Three Easy Pieces》学习笔记(三十四) 崩溃一致性:FSCK和日志
文件系统面临的一个主要挑战在于,如何在出现断电(power loss)或系统崩溃(system crash)的情况下,更新持久数据结构。称为崩溃一致性
问题(crash-consistency problem)。
一个详细的例子
假定磁盘上使用标准的简单文件系统结构,包括一个 inode 位图
(inode bitmap,只有 8 位,每个 inode 一个),一个数据位图
(data bitmap,也是 8 位,每个数据块一个),inode
(总共 8 个,编号为 0 到 7,分布在 4 个块上),以及数据块
(总共 8 个,编号为 0 ~ 7)。
查看图中的结构,可以看到分配了一个 inode(inode 号为 2),它在 inode 位图中标记, 单个分配的数据块(数据块 4)也在数据中标记位图。inode 表示为 I[v1]
,因为它是此 inode 的第一个版本
。inode 结构如下(省略):
1
2
3
4
5
6
7
owner : remzi
permissions : read-write
size : 1
pointer : 4
pointer : null
pointer : null
pointer : null
上述 inode 结构只使用了一个直接指针,并指向数据库块 4,大小为 1
向文件追加内容
时,要向它添加一个新数据块,因此必须更新 3 个磁盘上的结构:inode I[v1]
(必须指向新块,并且由于追加而具有更大的大小),新数据块 Db
和新版本的数据位图
(称之为 B[v2]
)表示新数据块已被分配。因此,在系统的内存中,有 3 个块
必须写入磁盘。更新的 inode(inode 版本 2,或简称为 I[v2]
)现在看起来像这样:
1
2
3
4
5
6
7
owner : remzi
permissions : read-write
size : 2
pointer : 4
pointer : 5
pointer : null
pointer : null
要实现这种转变,文件系统必须对磁盘执行 3 次单独写入,分别针对 inode(I[v2]
),位图(B[v2])
和数据块(Db)
。请注意,当用户发出 write()系统调用时,这些写操作通常不会立即发生。脏的 inode、位图和新数据先在内存(页面缓存
,page cache,或缓冲区缓存,buffer cache)中存在一段时间。然后,当文件系统最终决定将它们写入磁盘时(比如说 5s 或 30s),文件系统将向磁盘发出必要的写入请求。遗憾的是,可能会发生崩溃,从而干扰磁盘的这些更新。特别是,如果这些写入中的一个或两个完成后发生崩溃,而不是全部 3 个,则会导致不一致问题。
崩溃场景
假设上述三步写入的顺序随机
只将数据块(Db)写入磁盘。
在这种情况下,数据在磁盘上,但是没有指向它的inode,也没有表示块已分配的位图。因此,就好像写入从未发生过一样。从文件系统崩溃一致性的角度来看,这种情况根本不是问题。
只有更新的 inode(I[v2])写入了磁盘。
在这种情况下,inode 指向磁盘地址(5),其中 Db 即将写入,但 Db 尚未写入。因此,如果我们信任该指针,我们将从磁盘读取
垃圾数据
(磁盘地址 5 的旧内容)。此外,遇到了一个新问题,我们将它称为文件系统不一致(file-system inconsistency)。磁盘上的位图告诉我们数据块 5 尚未分配,但是 inode 说它已经分配了。文件系统数据结构中的这种不同意见,是文件系统的数据结构不一致。要使用文件系统,我们必须以某种方式解决这个问题。inode(I[v2])和位图(B[v2])写入了磁盘,但没有写入数据(Db)。
在这种情况下,文件系统元数据是完全一致的:inode 有一个指向块 5 的指针,位图指示 5 正在使用,因此从文件系统的元数据的角度来看,一切看起来都很正常。但是有一个问题:5 中又是垃圾。
写入了 inode(I[v2])和数据块(Db),但没有写入位图(B[v2])。
在这种情况下,inode 指向了磁盘上的正确数据,但同样在 inode 和位图(B1)的旧版本之间存在不一致。因此,我们在使用文件系统之前,又需要解决问题。
只有更新后的位图(B[v2])写入了磁盘。
在这种情况下,位图指示已分配块 5,但没有指向它的 inode。因此文件系统再次不一致。如果不解决,这种写入将导致空间泄露(space leak),因为文件系统永远不会使用块 5。在这个向磁盘写入 3 次的尝试中,还有 3 种崩溃场景。在这些情况下,两次写入成功,最后一次失败。
写入了位图(B[v2])和数据块(Db),但没有写入 inode(I[v2])。
和上一种情况一样,存在空间泄露。在这种情况下,inode 和数据位图之间再次存在不一致。但是,即使写入块并且位图指示其使用,我们也不知道它属于哪个文件,因为没有 inode 指向该块。
崩溃一致性问题
理想的做法是将文件系统从一个一致
状态(在文件被追加
之前),原子地
(atomically)移动到另一个状态(在 inode、位图和新数据块被写入磁盘之后)。遗憾的是,做到这一点不容易,因为磁盘一次只提交一次写入,而这些更新之间可能会发生崩溃或断电。我们将这个一般问题称为崩溃一致性
问题(crash-consistency problem,也可以称为一致性更新问题,consistent-update problem)。
解决方案 1:文件系统检查程序
决定让不一致的事情发生
,然后再修复
它们(重启时)。
fsck
是一个 UNIX 工具,用于查找这些不一致
并修复
它们
以下是 fsck 的基本总结:
- 超级块:fsck 首先检查超级块是否合理,主要是进行健全性检查,例如确保文件系统大小大于分配的块数。通常,这些健全性检查的目的是找到一个可疑的(冲突的)超级块。在这种情况下,系统(或管理员)可以决定使用超级块的备用副本。
- 空闲块:接下来,fsck 扫描 inode、间接块、双重间接块等,以了解当前在文件系统中分配的块。它利用这些知识生成正确版本的分配位图。因此,如果位图和 inode 之间存在任何不一致,则通过信任 inode 内的信息来解决它。对所有 inode 执行相同类型的检查,确保所有看起来像在用的 inode,都在 inode 位图中有标记。
- inode 状态:检查每个 inode 是否存在损坏或其他问题。例如,fsck 确保每个分配的 inode 具有有效的类型字段(即常规文件、目录、符号链接等)。如果 inode 字段存在问题,不易修复,则 inode 被认为是可疑的,并被 fsck 清除,inode 位图相应地更新。
- inode 链接:fsck 还会验证每个已分配的 inode 的链接数。你可能还记得,链接计数表示包含此特定文件的引用(即链接)的不同目录的数量。为了验证链接计数,fsck 从根目录开始扫描整个目录树,并为文件系统中的每个文件和目录构建自己的链接计数。如果新计算的计数与 inode 中找到的计数不匹配,则必须采取纠正措施,通常是修复 inode 中的计数。如果发现已分配的 inode 但没有目录引用它,则会将其移动到 lost + found 目录。
- 重复:fsck 还检查重复指针,即两个不同的 inode 引用同一个块的情况。如果一个 inode 明显不好,可能会被清除。或者,可以复制指向的块,从而根据需要为每个 inode 提供其自己的副本。
- 坏块:在扫描所有指针列表时,还会检查坏块指针。如果指针显然指向超出其有效范围的某个指针,则该指针被认为是“坏的”,例如,它的地址指向大于分区大小的块。在这种情况下,fsck 不能做任何太聪明的事情。它只是从 inode 或间接块中删除(清除)该指针。
- 目录检查:fsck 不了解用户文件的内容。但是,目录包含由文件系统本身创建的特定格式的信息。因此,fsck 对每个目录的内容执行额外的完整性检查,确保“.”和“..”是前面的条目,目录条目中引用的每个 inode 都已分配,并确保整个层次结构中没有目录的引用超过一次。
解决方案 2:日志(或预写日志)
对于一致更新问题,最流行的解决方案可能是从数据库
管理系统的世界中借鉴的一个想法(应该就是数据库中的事务
)。这种名为预写日志
(write-ahead logging)的想法,是为了解决这类问题而发明的。
我们通常将预写日志称为日志(journaling
)。
基本思路如下。更新磁盘时,在覆写结构
之前,首先写下一点小注记
(在磁盘上的其他地方
,在一个众所周知的位置),描述你将要做的事情。写下这个注记就是“预写”部分, 我们把它写入一个结构,并组织成“日志”。因此,就有了预写日志。
通过将注释写入磁盘,可以保证在更新(覆写)
正在更新的结构期间发生崩溃
时,能够返回并查看
你所做的注记
,然后重试
。因此,你会在崩溃后准确知道要修复的内容
(以及如何修复它),而不必扫描整个磁盘。
ext2 文件系统(没有日志):
ext3 文件系统:
日志写入
:将事务(包括事务开始块,所有即将写入的数据和元数据更新以及事务 结束块)写入日志,等待这些写入完成。加检查点
:将待处理的元数据和数据更新写入文件系统中的最终位置
写入日志期间发生崩溃
在写入日志期间发生崩溃时,事情变得有点棘手。在这里,我们试图将事务中的这些块(即 TxB、I[v2]、B[v2]、Db、TxE)写入磁盘。
一种简单的方法是一次
发出 1 个块
写入,等待每个完成,然后发出下一个。但是,这很慢。
我们希望一次
发出所有 5 个块
写入,因为这会将 5 个写入转换为单个顺序写入(连续写入
),因此更快。然而,由于以下原因,这是不安全
的:给定如此大的写入,磁盘内部
可以执行调度
并以任何顺序
完成大批写入的小块(无法预知写入顺序)。
比如,事务开始结束块TxB/TxE
都已经写入,但中间的TxB
却没写入:
为避免该问题,文件系统分两步发出事务写入。首先,它将除 TxE 块之外
的所有块写入日志,同时
发出这些写入
。当这些写入完成时,日志将看起来像这样(假设又是文件追加的工作负载):
当这些写入完成时,文件系统会发出 TxE
块的写入,从而使日志处于最终的安全状态
:
此过程的一个重要方面是磁盘
提供的原子性保证
。事实证明,磁盘保证任何 512 字节写入
都会发生或不发生(永远不会半写
)。因此,为了确保 TxE 的写入是原子的
,应该使它成为一个 512 字节的块
。因此,我们当前更新文件系统的协议如下,3 个阶段中的每一个都标上了名称。
优化后的写入步骤
日志写入
:将事务的内容(包括TxB、元数据和数据
)写入日志,等待这些写入完成。日志提交
:将事务提交块
(包括TxE
)写入日志,等待写完成,事务被认为已提交(committed)。加检查点
:将更新内容(元数据和数据)写入其最终的磁盘位置。
恢复
利用日志内容从崩溃中恢复(recover)
如果崩溃发生在事务被安全地写入日志之前
(在上面的步骤 2
完成之前),那么我们的工作很简单:简单地跳过
待执行的更新
。
如果在事务已提交到日志
之后但在加检查点完成之前发生崩溃,则文件系统可以按如下方式恢复(recover)更新: 系统引导时,文件系统恢复过程将扫描日志
,并查找
已提交到磁盘的事务
。然后,这些事务被重放
(replayed,按顺序),文件系统再次尝试将事务中的块写入它们最终的磁盘位置。称为重做日志
(redo logging)
批处理日志更新
基本协议可能会增加大量额外的磁盘流量
。
例如,假设我们在同一目录中连续创建两个文件
,称为 file1 和 file2。要创建一个文件,必须更新许多磁盘上的结构,至少包括:inode 位图(分配新的 inode),新创建的文件 inode,包含新文件目录条目的父目录的数据块,以及父目录的 inode(现在有一个新的修改时间)。通过日志,我们将所有这些信息逻辑地提交给我们的两个文件创建的日志。因为文件在同一个目录中,我们假设在同一个 inode 块中都有 inode,这意味着如果不小心,我们最终会反复写入
这些相同的块
。(多个事务要写入相同的块,就会重复)
为了解决这个问题,一些文件系统不会一次一个地向磁盘提交每个更新(例如,Linuxext3)。与此不同,可以将所有更新缓冲到全局事务
中。在上面的示例中,当创建两个文件时,文件系统只将内存中的 inode 位图、文件的 inode、目录数据和目录 inode 标记为脏
,并将它们添加到块列表中,形成当前的事务。当最后应该将这些块写入磁盘时(例如,在超时 5s
之后),会提交包含上述所有更新的单个全局事务
。因此,通过缓冲更新,文件系统在许多情况下可以避免对磁盘的过多
的写入流量。
使日志有限
日志的大小有限。如果不断向它添加事务(如下所示),它将很快填满。
第一个问题比较简单:日志越大
,恢复时间越长
,因为恢复过程必须重放日志中的所有事务(按顺序)才能恢复。
第二个问题更重要:当日志已满
(或接近满)时,不能
向磁盘提交
进一步的事务,从而使文件系统“不太有用” (即无用)。
日志文件系统将日志视为循环数据结构,一遍又一遍地重复使用。 这就是为什么日志有时被称为循环日志
(circular log)。一旦事务被加检查点,文件系统应释放
它在日志中占用的空间
,允许重用日志空间。
在日志超级块
(journal superblock)中标记日志中最旧
和最新
的事务:
在日志超级块中(不要与主文件系统的超级块混淆),日志系统记录了足够的信息,以了解哪些事务尚未加检查点,从而减少了恢复时间,并允许以循环的方式
重新使用日志。 因此,我们在基本协议中添加了另一个步骤:
日志写入
:将事务的内容(包括 TxB 和更新内容)写入日志,等待这些写入完成。日志提交
:将事务提交块(包括 TxE)写入日志,等待写完成,事务被认为已提交(committed)。加检查点
:将更新内容写入其最终的磁盘位置。释放
:一段时间后,通过更新日志超级块,在日志中标记该事务为空闲。
元数据日志
对于每次写入磁盘,我们现在也要先写入日志
,从而使写入流量加倍
。
在写入日志和写入主文件系统之间,存在代价高昂的寻道
,这为某些工作负载增加了显著的开销。
我们上面描述的日志模式通常称为数据日志
(data journaling,如在 Linux ext3 中),因为它记录了所有用户数据(除了文件系统的元数据之外)。一种更简单(也更常见)的日志形式有时称为有序日志
(ordered journaling,或称为元数据日志
,metadata journaling):
先前写入日志的数据块 Db
将改为直接写入
文件系统,避免额外写入。
修改确实提出了一个有趣的问题:我们何时
应该将数据块写入
磁盘?
在将相关元数据写入磁盘之前,一些文件系统(例如,Linux ext3)先将数据块
(常规文件)写入磁盘
。(先写磁盘再写日志,防止元数据指向空数据)
数据写入
:将数据写入最终位置,等待完成(等待是可选的,详见下文)。日志元数据写入
:将开始块和元数据写入日志,等待写入完成。日志提交
:将事务提交块(包括 TxE)写入日志,等待写完成,现在认为事务(包括数据)已提交(committed)。加检查点元数据
:将元数据更新的内容写入文件系统中的最终位置。释放
:稍后,在日志超级块中将事务标记为空闲。
棘手的情况:块复用
块被删除
然后重新分配
会有问题
假设你有一个名为 foo 的目录
。用户向 foo 添加一个条目
(一个条目,不是添加一个文件,类似一个文件名的字符串加上 inode 号),因此 foo 的内容(因为目录被认为是元数据,所以 D[foo]这个数据也写入日志区的元数据了)被写入日志。假设 foo 目录数据的位置是块 1000。因此日志包含如下内容
此时,用户删除目录
中的所有内容以及目录本身
,从而释放块 1000
以供复用。最后,用户创建
了一个新文件
(比如 foobar
),结果复用
了过去属于 foo
的相同块(1000)
。foobar 的 inode 提交给磁盘,其数据也是如此。但是,请注意,因为正在使用元数据日志,所以只有 foobar 的 inode
被提交给日志,文件 foobar 中块 1000 中新写入的数据没有写入日志:
现在假设发生了崩溃,所有这些信息仍然在日志中。在重放期间,恢复过程简单地重放
日志中的所有内容,包括在块 1000 中写入目录数据。因此,重放会用旧目录内容覆盖
当前文件 foobar 的用户数据
这个问题有一些解决方案
。例如,可以永远不再重复使用块
,直到所述块的删除加上检查点,从日志中清除。Linux ext3 的做法是将新类型的记录添加到日志中,称为撤销
(revoke) 记录。在上面的情况中,删除目录
将导致撤销记录
被写入日志。在重放日志时,系统首先扫描这样的重新记录。任何此类被撤销的数据
都不会被重放
,从而避免了上述问题。
总结日志:时间线
数据日志,就是先写日志区
的元数据和数据
,写完写 TxE 表示日志写完,再写入文件系统区的元数据和数据
元数据日志就是同步写日志区的元数据
和文件系统区的数据
,都完成后写 TxE 表示日志写入结束,再写文件系统元数据
,不用
再写数据
了
解决方案 3:其他方法
软更新
仔细地对文件系统的所有写入排序
,以确保磁盘上的结构永远不会处于不一致的状态。例如,通过先写入指向的数据块,再写入指向它的 inode,可以确保 inode 永远不会指向垃圾。
写时复制(Copy-On-Write,COW)
这种技术永远不会覆写
文件或目录。相反,它会对磁盘上以前未使用的位置进行新的更新。在完成许多更新后,COW 文件系统会翻转文件系统的根结构,以包含指向刚更新
结构的指针
。
这种技术名为基于反向指针的一致性(Backpointer-Based Consistency,BBC)
为了实现一致性,系统中的每个块都会添加一个额外的反向指针
。例如,每个数据块都引用它所属的 inode。访问文件时,文件系统可以检查正向指针(inode 或直接块中的地址)是否指向引用它的块,从而确定文件是否一致。
两个指针双向校验
乐观崩溃一致性(optimistic crash consistency)
尽可能多
地向磁盘发出写入
,并利用事务校验和
(transaction checksum)的一般形式,以及其他一些技术来检测不一致。
对于某些工作负载,这些乐观技术可以将性能提高一个数量级。
小结
我们介绍了崩溃一致性的问题,并讨论了处理这个问题的各种方法。