2024.12.19
システムの穴を運用でカバーしようとしてミス多発… バグが大量発生、決算が合わない状態から業務効率化を実現するまで
RustはOS界の銀の弾丸となりうるか(全1記事)
リンクをコピー
記事をブックマーク
garasubo氏:よろしくお願いします。「RustはOS界の銀の弾丸になりうるか 論文で見るRustで変わるOS設計」というタイトルでgarasuboが発表します。内容を詰め込みすぎちゃったので、けっこう駆け足の発表になると思いますが、ご了承ください。
Rustは、OSを書くにあたってC言語の代わりになるんじゃないかといろいろと注目されてきていて、今回は3つの論文を紹介します。論文はRustを使って新しいOSの設計を模索するというものです。
1つ目がSOSP2017(Symposium on Operating Systems Principles 2017)で発表された「Tock」というOSで、残り2つは2020年のOSDI(Operating Systems Design and Implementation)で発表された「ReadLeaf」と「Theseus」というOSを作った論文です。これらの内容を全部紹介するのは無理なので、Rustの性質をうまく活かせているところをピックアップして紹介していきたいと思います。
最初がTockというOSです。何度か私もブログで紹介しているんですが、これは省メモリなマイクロコントローラ用のとして設計されたもので、ArmのCortex-Mみたいな、すごくメモリ領域が限られたものを想定したOSです。
Tockの目的の1つがアプリケーション間の独立性を保ちつつ、アプリケーション内の柔軟性がほしいというもので、具体的には例えば1つのプロセスがたくさんメモリを使っても他のプロセスは無事にさせたいということです。従来だとメモリを確保するときは静的に何個か配列を作っておいて、各プロセスに割り当ててしまうことがけっこうあります。
そうすると定数で確保しちゃうので、最大値の制約の付け方が難しくなります。そこでmallocみたいに動的に確保しようとすると、あるプロセスがたくさんメモリを使ってしまって他のプロセスが足りなくなって、プロセス間の独立性が損なわれてしまう危険性がありました。
それを解決するためにTockにはGrantsという仕組みがあります。プロセスがシステムコールを呼び出すときに、動的にメモリを確保する必要があるケースで使うものです。例えばタイマードライバがあって、新しいイベントを登録したい。そのイベントのメタデータをメモリ上に置いておきたいというときにメモリを確保する必要があります。
Grantsには、プロセスごとにメモリ領域があって、そのメモリ領域の一部をOS側に貸し出します。その貸し出した仕組みをGrant型としてRustで実装して、カーネルはGrant型を利用してそのメモリ領域を触ります。
メモリ領域を自分から貸し出すので、メモリをたくさん使って困るのはプロセスだけになります。Grantのインターフェイスによってコンパイラがこの領域の安全性を保証するという仕組みです。
これが実際の実装で、ライフタイム制約によってOwned型なので、カーネル側はメモリ内部を触るんですが、ライフタイム制約が付いているので他のプロセスには渡せません。Result型でCopy型のRなので、エラーコードなどは返せるようになっています。
次のReadLeafですが、これはx86ベースのアーキテクチャ用で、Rustを使って実装されたマイクロカーネルベースのOSです。基本的なコンセプトはハードウェアのアドレススペースではなくて、Rustの言語機能を使ってfault isolationを実現しようというものです。
最終的にはPOSIXのサブセットまで実装して、ネットワークドライバで実際に実装して比較実験をしています。今回見るのはドメイン間通信のところです。ドメインごとの独立性を担保しつつ、ドメイン間通信を実現するためにRustの言語機能を使っているのを見ていきます。
ドメイン間通信は効率良くやりたいので、共有のヒープ領域を利用するんですが、例えばあるドメインが共有のヒープ領域から確保されたオブジェクトを抱えたままクラッシュすると、抱え落ち状態になって困るという問題があります。これをどうしたかというと、共有ヒープの領域をRRef
この型は、「どのドメインがこのオブジェクトを持っている」という情報をきちんともっているので、クラッシュしたときはそのRRef
抱え落ちするオブジェクトが生まれるインターフェイスが作れないように各ドメインを設定しています。
最後にTheseusというOSです。これが一番アーキテクチャとして尖っているなと個人的に思っています。これもx86を対象にして作られていて、OSのコンポーネント間でのステートスピル、状態が他のコンポーネントに漏れ出すというのがOSのバグの原因としてよくあるらしくて、それをいかに少なくするかということに焦点を当てて設計したRust製のOSです。
どうやって実現したかというと、OSの実行モデルと言語の実行モデルをできるだけ近づけてコンパイル時の静的チェックを最大限利用しています。
言語を実行モデルと一致させるのは、すべてのコンポーネントをシングルアドレススペースで、同じ権限上で動かしています。
タスク管理を見てみます。Theseusでは標準ライブラリのスレッドではなくて、独自のタスク抽象化をしていて、型制約を利用することで、ライフタイムやスレッド安全性をコンパイラレベルで保証しています。
いろいろと工夫があるんですが、タスク生成の部分だけ詳しく見ていきたいと思います。コードはこんな感じになっていて、funcというもので渡されるのがエントリの関数なんですが、FnOnceという型制約を付けることで、この中で複数回呼ばれないことを保証しています。TArgが引数でTRetが返り値ですが、Sendが制約として付いているのでタスクが終了しても引数や返り値が解放されないことを、static制約で保証しています。
まとめです。Rustを使って新しいOS設計を試みる論文を紹介しました。OSの満たすべき性質をRustの言語制約に紐づけて、コンパイラで静的に検証することにより、従来の言語や設計で難しかったOSの構築ができる可能性が見えてきたんじゃないかなと思いました。
関連タグ:
2024.12.12
会議で発言しやすくなる「心理的安全性」を高めるには ファシリテーションがうまい人の3つの条件
2024.12.19
12万通りの「資格の組み合わせ」の中で厳選された60の項目 532の資格を持つ林雄次氏の新刊『資格のかけ算』の見所
2024.12.16
32歳で成績最下位から1年でトップ営業になれた理由 売るテクニックよりも大事な「あり方」
2023.03.21
民間宇宙開発で高まる「飛行機とロケットの衝突」の危機...どうやって回避する?
2024.12.10
メールのラリー回数でわかる「評価されない人」の特徴 職場での評価を下げる行動5選
2024.12.13
ファシリテーターは「しゃべらないほうがいい」理由 入山章栄氏が語る、心理的安全性の高い場を作るポイント
PR | 2024.12.20
モンスター化したExcelが、ある日突然崩壊 昭和のガス工事会社を生まれ変わらせた、起死回生のノーコード活用術
2024.12.18
「社長以外みんな儲かる給与設計」にした理由 経営者たちが語る、優秀な人材集め・会社を発展させるためのヒント
2024.12.12
今までとこれからで、エンジニアに求められる「スキル」の違い AI時代のエンジニアの未来と生存戦略のカギとは
PR | 2024.11.26
なぜ電話営業はなくならない?その要因は「属人化」 通話内容をデータ化するZoomのクラウドサービス活用術
Climbers Startup JAPAN EXPO 2024 - 秋 -
2024.11.20 - 2024.11.21
『主体的なキャリア形成』を考える~資格のかけ算について〜
2024.12.07 - 2024.12.07
Startup CTO of the year 2024
2024.11.19 - 2024.11.19
社員の力を引き出す経営戦略〜ひとり一人が自ら成長する組織づくり〜
2024.11.20 - 2024.11.20
「確率思考」で未来を見通す 事業を成功に導く意思決定 ~エビデンス・ベースド・マーケティング思考の調査分析で事業に有効な予測手法とは~
2024.11.05 - 2024.11.05