詳解 Linux 中的虛擬文件系統

什麼是文件系統？根據早期的 Linux 貢獻者和作家 Robert Love 所說，「文件系統是一個遵循特定結構的數據的分層存儲。」 不過，這種描述也同樣適用於 VFAT（ 虛擬文件分配表 Virtual File Allocation Table ）、Git 和Cassandra（一種 NoSQL 資料庫）。那麼如何區別文件系統呢？

文件系統基礎概念

Linux 內核要求文件系統必須是實體，它還必須在持久對象上實現 open()、read() 和 write() 方法，並且這些實體需要有與之關聯的名字。從 面向對象編程 的角度來看，內核將通用文件系統視為一個抽象介面，這三大函數是「虛擬」的，沒有默認定義。因此，內核的默認文件系統實現被稱為虛擬文件系統（VFS）。


如果我們能夠 open()、read() 和 write()，它就是一個文件，如這個主控台會話所示。

VFS 是著名的類 Unix 系統中 「一切皆文件」 概念的基礎。讓我們看一下它有多奇怪，上面的小小演示體現了字元設備 /dev/console 實際的工作。該圖顯示了一個在虛擬電傳打字控制台（tty）上的互動式 Bash 會話。將一個字元串發送到虛擬控制台設備會使其顯示在虛擬屏幕上。而 VFS 甚至還有其它更奇怪的屬性。例如，它可以在其中定址。

我們熟悉的文件系統如 ext4、NFS 和 /proc 都在名為 file_operations 的 C 語言數據結構中提供了三大函數的定義。此外，個別的文件系統會以熟悉的面向對象的方式擴展和覆蓋了 VFS 功能。正如 Robert Love 指出的那樣，VFS 的抽象使 Linux 用戶可以輕鬆地將文件複製到（或複製自）外部操作系統或抽象實體（如管道），而無需擔心其內部數據格式。在用戶空間這一側，通過系統調用，進程可以使用文件系統方法之一 read() 從文件複製到內核的數據結構中，然後使用另一種文件系統的方法 write() 輸出數據。

屬於 VFS 基本類型的函數定義本身可以在內核源代碼的 fs/*.c 文件 中找到，而 fs/ 的子目錄中包含了特定的文件系統。內核還包含了類似文件系統的實體，例如 cgroup、/dev 和 tmpfs，在引導過程的早期需要它們，因此定義在內核的 init/ 子目錄中。請注意，cgroup、/dev 和 tmpfs 不會調用 file_operations 的三大函數，而是直接讀取和寫入內存。

下圖大致說明了用戶空間如何訪問通常掛載在 Linux 系統上的各種類型文件系統。像管道、dmesg 和 POSIX 時鐘這樣的結構在此圖中未顯示，它們也實現了 struct file_operations，而且其訪問也要通過 VFS 層。


VFS 是個「墊片層」，位於系統調用和特定 file_operations 的實現（如 ext4 和 procfs）之間。然後，file_operations 函數可以與特定於設備的驅動程序或內存訪問器進行通信。tmpfs、devtmpfs 和 cgroup 不使用 file_operations 而是直接訪問內存。

VFS 的存在促進了代碼重用，因為與文件系統相關的基本方法不需要由每種文件系統類型重新實現。代碼重用是一種被廣泛接受的軟體工程最佳實踐！唉，但是如果重用的代碼引入了嚴重的錯誤，那麼繼承常用方法的所有實現都會受到影響。

/tmp：一個小提示

找出系統中存在的 VFS 的簡單方法是鍵入 mount | grep -v sd | grep -v :/，在大多數計算機上，它將列出所有未駐留在磁碟上，同時也不是 NFS 的已掛載文件系統。其中一個列出的 VFS 掛載肯定是 /tmp，對吧？


誰都知道把 /tmp 放在物理存儲設備上簡直是瘋了！圖片：https://tinyurl.com/ybomxyfo

為什麼把 /tmp 留在存儲設備上是不可取的？因為 /tmp 中的文件是臨時的（！），並且存儲設備比內存慢，所以創建了 tmpfs 這種文件系統。此外，比起內存，物理設備頻繁寫入更容易磨損。最後，/tmp 中的文件可能包含敏感信息，因此在每次重新啟動時讓它們消失是一項功能。

不幸的是，默認情況下，某些 Linux 發行版的安裝腳本仍會在存儲設備上創建 /tmp。如果你的系統出現這種情況，請不要絕望。按照一直優秀的 Arch Wiki 上的簡單說明來解決問題就行，記住分配給 tmpfs 的內存就不能用於其他目的了。換句話說，包含了大文件的龐大的 tmpfs 可能會讓系統耗盡內存並崩潰。

另一個提示：編輯 /etc/fstab 文件時，請務必以換行符結束，否則系統將無法啟動。（猜猜我怎麼知道。）

/proc 和 /sys

除了 /tmp 之外，大多數 Linux 用戶最熟悉的 VFS 是 /proc 和 /sys。（/dev 依賴於共享內存，而沒有 file_operations 結構）。為什麼有兩種呢？讓我們來看看更多細節。

procfs 為用戶空間提供了內核及其控制的進程的瞬時狀態的快照。在 /proc 中，內核發布有關其提供的設施的信息，如中斷、虛擬內存和調度程序。此外，/proc/sys 是存放可以通過 sysctl 命令配置的設置的地方，可供用戶空間訪問。單個進程的狀態和統計信息在 /proc/<PID> 目錄中報告。


/proc/meminfo 是一個空文件，但仍包含有價值的信息。

/proc 文件的行為說明了 VFS 可以與磁碟上的文件系統不同。一方面，/proc/meminfo 包含了可由命令 free 展現出來的信息。另一方面，它還是空的！怎麼會這樣？這種情況讓人聯想起康奈爾大學物理學家 N. David Mermin 在 1985 年寫的一篇名為《沒有人看見月亮的情況嗎？現實和量子理論》。事實是當進程從 /proc 請求數據時內核再收集有關內存的統計信息，而且當沒有人查看它時，/proc 中的文件實際上沒有任何內容。正如 Mermin 所說，「這是一個基本的量子學說，一般來說，測量不會揭示被測屬性的預先存在的價值。」（關於月球的問題的答案留作練習。）


當沒有進程訪問它們時，/proc 中的文件為空。（來源）

procfs 的空文件是有道理的，因為那裡可用的信息是動態的。sysfs 的情況則不同。讓我們比較一下 /proc 與 /sys 中不為空的文件數量。

procfs 只有一個不為空的文件，即導出的內核配置，這是一個例外，因為每次啟動只需要生成一次。另一方面，/sys 有許多更大一些的文件，其中大多數由一頁內存組成。通常，sysfs 文件只包含一個數字或字元串，與通過讀取 /proc/meminfo 等文件生成的信息表格形成鮮明對比。

sysfs 的目的是將內核稱為 「kobject」 的可讀寫屬性公開給用戶空間。kobject 的唯一目的是引用計數：當刪除對 kobject 的最後一個引用時，系統將回收與之關聯的資源。然而，/sys 構成了內核著名的「到用戶空間的穩定 ABI」，它的大部分內容在任何情況下都沒有人能「破壞」。但這並不意味著 sysfs 中的文件是靜態，這與易失性對象的引用計數相反。

內核的穩定 ABI 限制了 /sys 中可能出現的內容，而不是任何給定時刻實際存在的內容。列出 sysfs 中文件的許可權可以了解如何設置或讀取設備、模塊、文件系統等的可配置、可調參數。邏輯上強調 procfs 也是內核穩定 ABI 的一部分的結論，儘管內核的文檔沒有明確說明。


sysfs 中的文件確切地描述了實體的每個屬性，並且可以是可讀的、可寫的，或兩者兼而有之。文件中的「0」表示 SSD 不可移動的存儲設備。

用 eBPF 和 bcc 工具一窺 VFS 內部

了解內核如何管理 sysfs 文件的最簡單方法是觀察它的運行情況，在 ARM64 或 x86_64 上觀看的最簡單方法是使用 eBPF。eBPF（ 擴展的伯克利數據包過濾器 extended Berkeley Packet Filter ）由在內核中運行的虛擬機組成，特權用戶可以從命令行進行查詢。內核源代碼告訴讀者內核可以做什麼；而在一個啟動的系統上運行 eBPF 工具會顯示內核實際上做了什麼。

令人高興的是，通過 bcc 工具入門使用 eBPF 非常容易，這些工具在主要 Linux 發行版的軟體包 中都有，並且已經由 Brendan Gregg 給出了充分的文檔說明。bcc 工具是帶有小段嵌入式 C 語言片段的 Python 腳本，這意味著任何對這兩種語言熟悉的人都可以輕鬆修改它們。據當前統計，bcc/tools 中有 80 個 Python 腳本，使得系統管理員或開發人員很有可能能夠找到與她/他的需求相關的已有腳本。

要了解 VFS 在正在運行中的系統上的工作情況，請嘗試使用簡單的 vfscount 或 vfsstat 腳本，這可以看到每秒都會發生數十次對 vfs_open() 及其相關的調用。


vfsstat.py 是一個帶有嵌入式 C 片段的 Python 腳本，它只是計數 VFS 函數調用。

作為一個不太重要的例子，讓我們看一下在運行的系統上插入 USB 記憶棒時 sysfs 中會發生什麼。


用 eBPF 觀察插入 USB 記憶棒時 /sys 中會發生什麼，簡單的和複雜的例子。

在上面的第一個簡單示例中，只要 sysfs_create_files() 命令運行，trace.py bcc 工具腳本就會列印出一條消息。我們看到 sysfs_create_files() 由一個 kworker 線程啟動，以響應 USB 棒的插入事件，但是它創建了什麼文件？第二個例子說明了 eBPF 的強大能力。這裡，trace.py 正在列印內核回溯（-K 選項）以及 sysfs_create_files() 創建的文件的名稱。單引號內的代碼段是一些 C 源代碼，包括一個易於識別的格式字元串，所提供的 Python 腳本引入 LLVM 即時編譯器（JIT） 來在內核虛擬機內編譯和執行它。必須在第二個命令中重現完整的 sysfs_create_files() 函數簽名，以便格式字元串可以引用其中一個參數。在此 C 片段中出錯會導致可識別的 C 編譯器錯誤。例如，如果省略 -I 參數，則結果為「無法編譯 BPF 文本」。熟悉 C 或 Python 的開發人員會發現 bcc 工具易於擴展和修改。

插入 USB 記憶棒後，內核回溯顯示 PID 7711 是一個 kworker 線程，它在 sysfs 中創建了一個名為 events 的文件。使用 sysfs_remove_files() 進行相應的調用表明，刪除 USB 記憶棒會導致刪除該 events 文件，這與引用計數的想法保持一致。在 USB 棒插入期間（未顯示）在 eBPF 中觀察 sysfs_create_link() 表明創建了不少於 48 個符號鏈接。

無論如何，events 文件的目的是什麼？使用 cscope 查找函數 __device_add_disk() 顯示它調用 disk_add_events()，並且可以將 「mediachange」 或 「ejectrequest」 寫入到該文件。這裡，內核的塊層通知用戶空間該 「磁碟」 的出現和消失。考慮一下這種檢查 USB 棒的插入的工作原理的方法與試圖僅從源頭中找出該過程的速度有多快。

只讀根文件系統使得嵌入式設備成為可能

確實，沒有人通過拔出電源插頭來關閉伺服器或桌面系統。為什麼？因為物理存儲設備上掛載的文件系統可能有掛起的（未完成的）寫入，並且記錄其狀態的數據結構可能與寫入存儲器的內容不同步。當發生這種情況時，系統所有者將不得不在下次啟動時等待 fsck 文件系統恢復工具 運行完成，在最壞的情況下，實際上會丟失數據。

然而，狂熱愛好者會聽說許多物聯網和嵌入式設備，如路由器、恆溫器和汽車現在都運行著 Linux。許多這些設備幾乎完全沒有用戶界面，並且沒有辦法乾淨地讓它們「解除啟動」。想一想啟動電池耗盡的汽車，其中運行 Linux 的主機設備 的電源會不斷加電斷電。當引擎最終開始運行時，系統如何在沒有長時間 fsck 的情況下啟動呢？答案是嵌入式設備依賴於只讀根文件系統（簡稱 ro-rootfs）。


ro-rootfs 是嵌入式系統不經常需要 fsck 的原因。 來源：https://tinyurl.com/yxoauoub

ro-rootfs 提供了許多優點，雖然這些優點不如耐用性那麼顯然。一個是，如果 Linux 進程不可以寫入，那麼惡意軟體也無法寫入 /usr 或 /lib。另一個是，基本上不可變的文件系統對於遠程設備的現場支持至關重要，因為支持人員擁有理論上與現場相同的本地系統。也許最重要（但也是最微妙）的優勢是 ro-rootfs 迫使開發人員在項目的設計階段就決定好哪些系統對象是不可變的。處理 ro-rootfs 可能經常是不方便甚至是痛苦的，編程語言中的常量變數經常就是這樣，但帶來的好處很容易償還這種額外的開銷。

對於嵌入式開發人員，創建只讀根文件系統確實需要做一些額外的工作，而這正是 VFS 的用武之地。Linux 需要 /var 中的文件可寫，此外，嵌入式系統運行的許多流行應用程序會嘗試在 $HOME 中創建配置的點文件。放在家目錄中的配置文件的一種解決方案通常是預生成它們並將它們構建到 rootfs 中。對於 /var，一種方法是將其掛載在單獨的可寫分區上，而 / 本身以只讀方式掛載。使用綁定或疊加掛載是另一種流行的替代方案。

綁定和疊加掛載以及在容器中的使用

運行 man mount 是了解 綁定掛載 bind mount 和 疊加掛載 overlay mount 的最好辦法，這種方法使得嵌入式開發人員和系統管理員能夠在一個路徑位置創建文件系統，然後以另外一個路徑將其提供給應用程序。對於嵌入式系統，這代表著可以將文件存儲在 /var 中的不可寫快閃記憶體設備上，但是在啟動時將 tmpfs 中的路徑疊加掛載或綁定掛載到 /var 路徑上，這樣應用程序就可以在那裡隨意寫它們的內容了。下次加電時，/var 中的變化將會消失。疊加掛載為 tmpfs 和底層文件系統提供了聯合，允許對 ro-rootfs 中的現有文件進行直接修改，而綁定掛載可以使新的空 tmpfs 目錄在 ro-rootfs 路徑中顯示為可寫。雖然疊加文件系統是一種適當的文件系統類型，而綁定掛載由 VFS 命名空間工具 實現的。

根據疊加掛載和綁定掛載的描述，沒有人會對 Linux 容器 中大量使用它們感到驚訝。讓我們通過運行 bcc 的 mountsnoop 工具監視當使用 systemd-nspawn 啟動容器時會發生什麼：


在 mountsnoop.py 運行的同時，system-nspawn 調用啟動容器。

讓我們看看發生了什麼：


在容器 「啟動」 期間運行 mountsnoop 可以看到容器運行時很大程度上依賴於綁定掛載。（僅顯示冗長輸出的開頭）

這裡，systemd-nspawn 將主機的 procfs 和 sysfs 中的選定文件按其 rootfs 中的路徑提供給容器。除了設置綁定掛載時的 MS_BIND 標誌之外，mount 系統調用的一些其它標誌用於確定主機命名空間和容器中的更改之間的關係。例如，綁定掛載可以將 /proc 和 /sys 中的更改傳播到容器，也可以隱藏它們，具體取決於調用。

總結

理解 Linux 內部結構看似是一項不可能完成的任務，因為除了 Linux 用戶空間應用程序和 glibc 這樣的 C 庫中的系統調用介面，內核本身也包含大量代碼。取得進展的一種方法是閱讀一個內核子系統的源代碼，重點是理解面向用戶空間的系統調用和頭文件以及主要的內核內部介面，這裡以 file_operations 表為例。file_operations 使得「一切都是文件」得以可以實際工作，因此掌握它們收穫特別大。頂級 fs/ 目錄中的內核 C 源文件構成了虛擬文件系統的實現，虛擬文件​​系統是支持流行的文件系統和存儲設備的廣泛且相對簡單的互操作性的墊片層。通過 Linux 命名空間進行綁定掛載和覆蓋掛載是 VFS 魔術，它使容器和只讀根文件系統成為可能。結合對源代碼的研究，eBPF 內核工具及其 bcc 介面使得探測內核比以往任何時候都更簡單。

非常感謝 Akkana Peck 和 Michael Eager 的評論和指正。

Alison Chaiken 也於 3 月 7 日至 10 日在加利福尼亞州帕薩迪納舉行的第 17 屆南加州 Linux 博覽會（SCaLE 17x）上演講了本主題。

via: https://opensource.com/article/19/3/virtual-filesystems-linux

作者：Alison Chariken 選題：lujun9972 譯者：wxy 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive