LWN：内核智能指针！

关注了就能看到更多这么棒的文章哦～

Smart pointers for the kernel

By Daroc Alden
October 4, 2024
Kangrejos 2024
Gemini-1.5-flash translation
https://lwn.net/Articles/992055/

Rust 拥有众多智能指针类型，包括引用计数指针，它们在编译器中享有特殊支持，使其更易于使用。Rust-for-Linux 项目希望为其智能指针获取相同优势，这些指针需要手动编写以符合 Linux 内核内存模型。Ding Xiangfei 在 Kangrejos 会议上介绍了使自定义智能指针像内置智能指针一样运作的工作。

Ding 在其幻灯片中展示了内置智能指针所具有的特定“超能力”： 大小无关 （unsizing）和 动态分派 （dynamic dispatch）。unsizing 允许程序员从指针类型中移除数组长度，将 Ptr<[T; N]> （在编译时进行边界检查）转换为 Ptr<[T]>（在运行时进行边界检查）。这需要特殊支持，因为切片（slices, 类型为 [T] 的值）在编译时没有已知大小；因此，编译器需要在运行时将大小存储在某个地方。编译器可以将大小存储在指向的分配区域中，但这将需要重新分配数组的内存，这将带来非常大的开销。相反，编译器将大小与指针本身一起存储，作为 胖指针 （fat pointer）。在 nightly Rust 编译器上，用户可以启用一个实验性功能，然后让其指针类型实现 CoerceUnsized 来表明它支持此功能。

第二种超能力称为 DispatchFromDyn ，它允许将 Ptr<T> 转换为 Ptr<dyn Trait>，其中 T 实现 Trait。这与 Rust 实现动态分派的方式有关——类型为 Ptr<dyn Trait> 的值使用一个分派表在运行时查找被调用的方法的实现。该方法期望接收一个 self 指针。因此，将智能指针转换为使用动态分派仅在智能指针可以用作 self 指针时才有效。

这两个功能都是实验性的，因为 Rust 项目仍在研究它们的设计。Ding 解释说，有一个 RFC 期望能稳定到足以让 Linux 内核使用，从而不会阻碍这些功能的开发。该 RFC 将添加一个新的宏，使满足某些要求的智能指针实现必要的特性变得非常轻松，无论这些特性的最终形式是什么。这将使内核能够更快地在稳定的 Rust 上开始使用其自定义智能指针。

这里有一个问题——为具有恶意或损坏 Deref （允许程序员取消引用值的特性）实现的智能指针类型实现这些功能可能会破坏 Rust 为确定何时可以移动对象在内存中的保证。这对 Pin 尤为重要， Pin 是一个包装类型，用于标记无法移动的分配。编写不会造成问题的智能指针类型并不难，但为了保持 Rust 对确保安全代码不会造成内存安全问题的承诺，RFC 还要求程序员使用 unsafe（具体而言，实现一个 unsafe 标记特性），作为承诺他们已阅读相关文档并且不会破坏 Pin 。有了这个功能之后，智能指针类型的代码将如下所示：

// Use Ding's macro ...
#[derive(SmartPointer)]
// On a struct that is just a wrapper around a pointer
#[repr(transparent)]
struct MySmartPointer<T: ?Sized>(Box<T>);

// Implement Deref, with whatever custom logic is needed
impl<T: ?Sized> Deref for MySmartPointer<T> {
    type Target = T;
    fn deref(&self) -> &T {
        ...
    }
}

// And then promise the compiler that the Deref implementation is okay to
// use in conjunction with Pin:
unsafe impl<T: ?Sized> PinCoerceUnsized for MySmartPointer<T> {}

Andreas Hindborg 要求对为什么需要标记特性（marker trait）进行一些澄清。Ding 解释说， Deref 应该很简单。通常，编写智能指针类型的程序员会在其类型中存储一个普通的指针；在实现 Deref 时，他们只需使用普通的指针即可。但从技术上讲，可以实现比这更复杂的东西。在这种情况下，你可以拥有一个 Deref 实现，它实际上会将数据从指向的对象中移动出来，并在那里存储其他东西。这通常不会有问题，除非智能指针包含在 Pin 中， Pin 应该阻止该值被移动。如果 Deref 实现无论如何都移动了该值，那么这将是未定义的行为。unsafe 标记特性是对编译器的承诺，即程序员没有这样做。

这个新的宏在 nightly Rust 上可用，尽管 Ding 说它还需要进行一些测试才能稳定，还需要一些他正在编写的附加文档。Miguel Ojeda 询问了该宏可能何时稳定；Ding 回答说很快就会。他将很快发布一个稳定性报告，然后就只需检查要求即可。

全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。

欢迎分享、转载及基于现有协议再创作～

长按下面二维码关注，关注 LWN 深度文章以及开源社区的各种新近言论～