关注了就能看到更多这么棒的文章哦~
Smart pointers for the kernel
By Daroc Alden
October 4, 2024
Kangrejos 2024
Gemini-1.5-flash translation
https://lwn.net/Articles/992055/
Rust 拥有众多智能指针类型,包括引用计数指针,它们在编译器中享有特殊支持,使其更易于使用。Rust-for-Linux 项目希望为其智能指针获取相同优势,这些指针需要手动编写以符合 Linux 内核内存模型。Ding Xiangfei 在 Kangrejos 会议上介绍了使自定义智能指针像内置智能指针一样运作的工作。
Ding 在其幻灯片中展示了内置智能指针所具有的特定“超能力”: 大小无关 (unsizing)和 动态分派 (dynamic dispatch)。unsizing 允许程序员从指针类型中移除数组长度,将 Ptr<[T; N]> (在编译时进行边界检查)转换为 Ptr<[T]>(在运行时进行边界检查)。这需要特殊支持,因为切片(slices, 类型为 [T] 的值)在编译时没有已知大小;因此,编译器需要在运行时将大小存储在某个地方。编译器可以将大小存储在指向的分配区域中,但这将需要重新分配数组的内存,这将带来非常大的开销。相反,编译器将大小与指针本身一起存储,作为 胖指针 (fat pointer)。在 nightly Rust 编译器上,用户可以启用一个实验性功能,然后让其指针类型实现 CoerceUnsized
来表明它支持此功能。
第二种超能力称为 DispatchFromDyn
,它允许将 Ptr<T>
转换为 Ptr<dyn Trait>
,其中 T
实现 Trait。这与 Rust 实现动态分派的方式有关——类型为 Ptr<dyn Trait>
的值使用一个分派表在运行时查找被调用的方法的实现。该方法期望接收一个 self
指针。因此,将智能指针转换为使用动态分派仅在智能指针可以用作 self
指针时才有效。
这两个功能都是实验性的,因为 Rust 项目仍在研究它们的设计。Ding 解释说,有一个 RFC 期望能稳定到足以让 Linux 内核使用,从而不会阻碍这些功能的开发。该 RFC 将添加一个新的宏,使满足某些要求的智能指针实现必要的特性变得非常轻松,无论这些特性的最终形式是什么。这将使内核能够更快地在稳定的 Rust 上开始使用其自定义智能指针。
这里有一个问题——为具有恶意或损坏 Deref
(允许程序员取消引用值的特性)实现的智能指针类型实现这些功能可能会破坏 Rust 为确定何时可以移动对象在内存中的保证。这对 Pin
尤为重要, Pin
是一个包装类型,用于标记无法移动的分配。编写不会造成问题的智能指针类型并不难,但为了保持 Rust 对确保安全代码不会造成内存安全问题的承诺,RFC 还要求程序员使用 unsafe(具体而言,实现一个 unsafe 标记特性),作为承诺他们已阅读相关文档并且不会破坏 Pin
。有了这个功能之后,智能指针类型的代码将如下所示:
// Use Ding's macro ...
#[derive(SmartPointer)]
// On a struct that is just a wrapper around a pointer
#[repr(transparent)]
struct MySmartPointer<T: ?Sized>(Box<T>);
// Implement Deref, with whatever custom logic is needed
impl<T: ?Sized> Deref for MySmartPointer<T> {
type Target = T;
fn deref(&self) -> &T {
...
}
}
// And then promise the compiler that the Deref implementation is okay to
// use in conjunction with Pin:
unsafe impl<T: ?Sized> PinCoerceUnsized for MySmartPointer<T> {}
Andreas Hindborg 要求对为什么需要标记特性(marker trait)进行一些澄清。Ding 解释说, Deref
应该很简单。通常,编写智能指针类型的程序员会在其类型中存储一个普通的指针;在实现 Deref
时,他们只需使用普通的指针即可。但从技术上讲,可以实现比这更复杂的东西。在这种情况下,你可以拥有一个 Deref
实现,它实际上会将数据从指向的对象中移动出来,并在那里存储其他东西。这通常不会有问题,除非智能指针包含在 Pin
中, Pin
应该阻止该值被移动。如果 Deref
实现无论如何都移动了该值,那么这将是未定义的行为。unsafe 标记特性是对编译器的承诺,即程序员没有这样做。
这个新的宏在 nightly Rust 上可用,尽管 Ding 说它还需要进行一些测试才能稳定,还需要一些他正在编写的附加文档。Miguel Ojeda 询问了该宏可能何时稳定;Ding 回答说很快就会。他将很快发布一个稳定性报告,然后就只需检查要求即可。
全文完
LWN 文章遵循 CC BY-SA 4.0 许可协议。
欢迎分享、转载及基于现有协议再创作~
长按下面二维码关注,关注 LWN 深度文章以及开源社区的各种新近言论~