Scrivere programmi per far fronte a errori I / O che causano scritture perse su Linux

TL; DR: se il kernel Linux perde una scrittura I / O bufferizzata , c'è modo che l'applicazione lo scopra?

So che devi conservare fsync()il file (e la sua directory principale) per durare nel tempo . La domanda è se il kernel perde buffer sporchi in attesa di scrittura a causa di un errore I / O, come può l'applicazione rilevarlo e ripristinarlo o interromperlo?

Pensa alle applicazioni di database, ecc., Dove l'ordine di scrittura e la durata della scrittura possono essere cruciali.

Scritte perse? Come?

Il layer di blocchi del kernel Linux in alcune circostanze può perdere richieste di I / O bufferizzate che sono state inviate correttamente da write(), pwrite()ecc., Con un errore come:

Buffer I/O error on device dm-0, logical block 12345
lost page write due to I/O error on dm-0

(Vedi end_buffer_write_sync(...)e end_buffer_async_write(...)dentrofs/buffer.c ).

Nei kernel più recenti l'errore conterrà invece "scrittura asincrona persa della pagina" , come:

Buffer I/O error on dev dm-0, logical block 12345, lost async page write

Dato che l'applicazione write()sarà già tornata senza errori, non sembra esserci modo di riportare un errore all'applicazione.

Li stai rilevando?

Non ho molta familiarità con i sorgenti del kernel, ma penso che sia impostato AS_EIOsul buffer che non è stato scritto se sta eseguendo una scrittura asincrona:

    set_bit(AS_EIO, &page->mapping->flags);
    set_buffer_write_io_error(bh);
    clear_buffer_uptodate(bh);
    SetPageError(page);

ma non mi è chiaro se o come l'applicazione possa scoprirlo quando in seguito fsync()è il file per confermare che è sul disco.

Sembra che wait_on_page_writeback_range(...)inmm/filemap.c potenza per mezzo do_sync_mapping_range(...)infs/sync.c cui è il turno chiamato da sys_sync_file_range(...). Restituisce -EIOse non è possibile scrivere uno o più buffer.

Se, come suppongo, questo si propaga al fsync()risultato, allora se l'app va in panico e si blocca se riceve un errore I / O fsync()e sa come fare di nuovo il suo lavoro al riavvio, dovrebbe essere una protezione sufficiente?

Presumibilmente non c'è modo per l'app di sapere quale offset di byte in un file corrisponde alle pagine perse, quindi può riscriverle se sa come, ma se l'app ripete tutto il suo lavoro in sospeso dall'ultimo successo fsync()del file e che riscrive eventuali buffer del kernel sporchi corrispondenti a scritture perse sul file, che dovrebbero cancellare eventuali flag di errore I / O sulle pagine perse e consentire il fsync()completamento del successivo - giusto?

Vi sono quindi altre circostanze, innocue, in cui fsync()potrebbe tornare -EIOdove salvare e rifare il lavoro sarebbe troppo drastico?

Perché?

Naturalmente tali errori non dovrebbero accadere. In questo caso l'errore è nato da una sfortunata interazione tra ildm-multipath impostazioni predefinite del driver e il codice di rilevamento utilizzato dalla SAN per segnalare un errore nell'allocazione dell'archiviazione con thin provisioning. Ma questa non è l'unica circostanza in cui possono accadere: ne ho anche visto delle notizie da LVM con thin provisioning, come quelle usate da libvirt, Docker e altro. Un'applicazione critica come un database dovrebbe cercare di far fronte a tali errori, piuttosto che continuare ciecamente come se tutto andasse bene.

Se la kernel pensa che sia OK perdere scritture senza morire con il panico del kernel, le applicazioni devono trovare un modo per far fronte.

L'impatto pratico è che ho trovato un caso in cui un problema multipath con una SAN ha causato scritture perse che si sono verificate causando la corruzione del database perché il DBMS non sapeva che le sue scritture erano fallite. Non è divertente.

fsync()ritorna -EIOse il kernel ha perso una scrittura

(Nota: la prima parte fa riferimento ai kernel più vecchi; aggiornata di seguito per riflettere i kernel moderni)

Sembra che la scrittura del buffer asincrono negli end_buffer_async_write(...)errori abbia impostato un -EIOflag sulla pagina del buffer sporco non riuscita per il file :

set_bit(AS_EIO, &page->mapping->flags);
set_buffer_write_io_error(bh);
clear_buffer_uptodate(bh);
SetPageError(page);

che viene poi rilevata da wait_on_page_writeback_range(...)come richiesto dalla do_sync_mapping_range(...)chiamati da sys_sync_file_range(...)come richiesto dalla sys_sync_file_range2(...)per attuare la chiamata di libreria C fsync().

Ma solo una volta!

Questo commento su sys_sync_file_range

168  * SYNC_FILE_RANGE_WAIT_BEFORE and SYNC_FILE_RANGE_WAIT_AFTER will detect any
169  * I/O errors or ENOSPC conditions and will return those to the caller, after
170  * clearing the EIO and ENOSPC flags in the address_space.

suggerisce che quando fsync()ritorna -EIOo (non documentato nella manpage) -ENOSPC, cancella lo stato di errore in modo che un successivo fsync()riporti il ​​successo anche se le pagine non sono mai state scritte.

Abbastanza sicuro wait_on_page_writeback_range(...) cancella i bit di errore quando li verifica :

301         /* Check for outstanding write errors */
302         if (test_and_clear_bit(AS_ENOSPC, &mapping->flags))
303                 ret = -ENOSPC;
304         if (test_and_clear_bit(AS_EIO, &mapping->flags))
305                 ret = -EIO;

Quindi, se l'applicazione si aspetta che possa riprovare fsync()fino a quando non riesce e si fida che i dati siano su disco, è terribilmente sbagliato.

Sono abbastanza sicuro che questa sia la fonte della corruzione dei dati che ho trovato nel DBMS. Riprovafsync() e pensa che tutto andrà bene quando avrà successo.

È permesso?

I documenti POSIX / SuS sufsync() non specificano in realtà in entrambi i casi:

Se la funzione fsync () ha esito negativo, non è garantito che le operazioni di I / O in sospeso siano state completate.

La pagina man di Linux perfsync() non dice nulla su ciò che accade in caso di fallimento.

Quindi sembra che il significato degli fsync()errori sia "non so cosa sia successo alle tue scritture, potrebbe aver funzionato o meno, meglio riprovare per esserne sicuro".

Kernel più recenti

Su 4.9 end_buffer_async_writeimposta -EIOsulla pagina, semplicemente via mapping_set_error.

    buffer_io_error(bh, ", lost async page write");
    mapping_set_error(page->mapping, -EIO);
    set_buffer_write_io_error(bh);
    clear_buffer_uptodate(bh);
    SetPageError(page);

Per quanto riguarda la sincronizzazione, penso che sia simile, anche se ora la struttura è piuttosto complessa da seguire. filemap_check_errorsin mm/filemap.cora fa:

    if (test_bit(AS_EIO, &mapping->flags) &&
        test_and_clear_bit(AS_EIO, &mapping->flags))
            ret = -EIO;

che ha più o meno lo stesso effetto. Sembra che tutti i controlli degli errori passino attraverso filemap_check_errorsun test-and-clear:

    if (test_bit(AS_EIO, &mapping->flags) &&
        test_and_clear_bit(AS_EIO, &mapping->flags))
            ret = -EIO;
    return ret;

Sto usando btrfssul mio laptop, ma quando creo un ext4loopback per testare /mnt/tmpe impostare una sonda perf su di esso:

sudo dd if=/dev/zero of=/tmp/ext bs=1M count=100
sudo mke2fs -j -T ext4 /tmp/ext
sudo mount -o loop /tmp/ext /mnt/tmp

sudo perf probe filemap_check_errors

sudo perf record -g -e probe:end_buffer_async_write -e probe:filemap_check_errors dd if=/dev/zero of=/mnt/tmp/test bs=4k count=1 conv=fsync

Trovo il seguente stack di chiamate in perf report -T:

        ---__GI___libc_fsync
           entry_SYSCALL_64_fastpath
           sys_fsync
           do_fsync
           vfs_fsync_range
           ext4_sync_file
           filemap_write_and_wait_range
           filemap_check_errors

Un read-through suggerisce che sì, i kernel moderni si comportano allo stesso modo.

Questo sembra significare che se fsync()(o presumibilmente write()o close()) ritorna -EIO, il file è in uno stato indefinito tra ultima volta che hai con successo fsync()D o close()D e il suo più recente write()stato di dieci.

Test

Ho implementato un test case per dimostrare questo comportamento .

implicazioni

Un DBMS può far fronte inserendo il ripristino di arresto anomalo. Come mai una normale applicazione utente dovrebbe farcela? La fsync()pagina man non avvisa che significa "fsync-if-you-like-it-it" e mi aspetto che molte app non riescano a gestire bene questo comportamento.

Segnalazioni di bug

• https://bugzilla.kernel.org/show_bug.cgi?id=194755
• https://bugzilla.kernel.org/show_bug.cgi?id=194757

Ulteriori letture

lwn.net lo ha toccato nell'articolo "Gestione degli errori a livello di blocco migliorata" .

postgresql.org thread della mailing list .

Poiché write () dell'applicazione sarà già tornato senza errori, non sembra esserci modo di riportare un errore all'applicazione.

Non sono d'accordo. writepuò restituire senza errori se la scrittura viene semplicemente messa in coda, ma l'errore verrà segnalato all'operazione successiva che richiederà la scrittura effettiva sul disco, ovvero alla successiva fsync, possibilmente su una scrittura successiva se il sistema decide di svuotare la cache e at almeno sull'ultima chiusura del file.

Questo è il motivo per cui è essenziale che l'applicazione verifichi il valore di ritorno di close per rilevare possibili errori di scrittura.

Se hai davvero bisogno di essere in grado di eseguire un'elaborazione intelligente degli errori, devi presumere che tutto ciò che è stato scritto dall'ultimo successo fsync potrebbe non essere riuscito e che in tutto ciò almeno qualcosa non è riuscito.

write(2) fornisce meno di quanto ti aspetti. La pagina man è molto aperta sulla semantica di una write()chiamata riuscita :

Un ritorno riuscito da write()non garantisce che i dati siano stati impegnati su disco. In effetti, su alcune implementazioni errate, non garantisce nemmeno che lo spazio sia stato riservato con successo per i dati. L'unico modo per essere sicuri è chiamare fsync(2) dopo aver finito di scrivere tutti i tuoi dati.

Possiamo concludere che un successo write()significa semplicemente che i dati hanno raggiunto le strutture di buffering del kernel. Se il persistere del buffer ha esito negativo, un successivo accesso al descrittore di file restituirà il codice di errore. Come ultima risorsa che potrebbe essere close(). La pagina man della close(2) chiamata di sistema contiene la seguente frase:

È del tutto possibile che gli errori di un'operazione precedente write(2) vengano segnalati per la prima volta in finale close().

Se la tua applicazione deve persistere nella scrittura dei dati, deve utilizzare fsync/ fsyncdatasu base regolare:

fsync()trasferisce ("svuota") tutti i dati in-core modificati di (ovvero pagine cache buffer modificate per) il file a cui fa riferimento il descrittore di file fd sul dispositivo disco (o altro dispositivo di archiviazione permanente) in modo che tutte le informazioni modificate possano essere recuperate anche dopo il crash del sistema o il riavvio. Ciò include la scrittura o lo svuotamento di una cache del disco, se presente. La chiamata si blocca fino a quando il dispositivo segnala che il trasferimento è stato completato.

Utilizzare il flag O_SYNC quando si apre il file. Assicura che i dati vengano scritti sul disco.

Se questo non ti soddisfa, non ci sarà nulla.

Controlla il valore di ritorno di close. la chiusura può fallire mentre le scritture bufferizzate sembrano avere successo.