Siri patch RFC baharu yang mencadangkan sokongan seni bina multikernel untuk Linux telah mencetuskan perbincangan sengit dalam komuniti pembangun mengenai kebolehlaksanaan dan implikasi keselamatannya. Cadangan ini, yang akan membenarkan berbilang contoh kernel bebas berjalan serentak pada teras CPU yang berbeza sambil berkongsi sumber perkakasan, menjanjikan faedah seperti pengasingan kerosakan yang lebih baik dan penggunaan sumber yang lebih berkesan berbanding dengan virtualisasi tradisional.
Komponen Utama Seni Bina Multikernel
- Subsistem kexec yang dipertingkatkan: Penjejakan dan pengurusan imej kernel secara dinamik
- Rangka kerja IPI generik: Komunikasi antara kernel dan pemesejan
- Mekanisme bootstrap CPU: Sokongan khusus seni bina ( x86 sahaja pada masa ini)
- Antara muka Proc:
/proc/multikerneluntuk memantau kejadian yang dimuatkan - Vektor komunikasi: MULTIKERNEL_VECTOR khusus untuk komunikasi antara kernel x86
Kebimbangan Perkongsian Sumber Perkakasan Mendominasi Perbincangan
Aspek paling kontroversial dalam cadangan ini tertumpu pada bagaimana berbilang kernel akan berkongsi sumber perkakasan tanpa konflik. Ahli komuniti telah membangkitkan kebimbangan ketara mengenai peranti yang bergantung pada penyimpanan keadaan dan pensirialan dalam pemacu mereka. Cabaran ini menjadi lebih akut dengan peranti periferal yang kompleks seperti peranti USB dan Bluetooth , di mana vendor biasanya tidak menguji berbilang urutan arahan berselang-seli daripada contoh kernel yang berbeza.
Sesetengah pembangun mencadangkan pendekatan hierarki di mana kernel utama akan memiliki perkakasan kritikal manakala kernel lain berkomunikasi melalui saluran khusus. Walau bagaimanapun, ini mewujudkan satu titik kegagalan yang melemahkan beberapa faedah yang dijanjikan, terutamanya untuk pengasingan kerosakan dan kemas kini kernel tanpa masa henti.
Nota: Penyimpanan keadaan merujuk kepada perkakasan yang mengekalkan maklumat status dalaman, manakala pensirialan bermaksud memproses arahan satu demi satu dalam susunan tertentu.
Model Keselamatan Menimbulkan Persoalan Mengenai Pengasingan
Implikasi keselamatan pendekatan multikernel telah mencetuskan perdebatan yang besar. Tidak seperti virtualisasi tradisional yang bergantung pada pengasingan berbantu perkakasan, model koperatif ini menganggap semua kernel yang dimuatkan adalah dipercayai. Pengkritik menunjukkan bahawa kernel yang terjejas pada satu teras berpotensi merampas teras lain, mempersoalkan sama ada ini memberikan sempadan keselamatan yang bermakna.
Penyokong berhujah bahawa walaupun seni bina ini tidak menghalang serangan pelaksanaan kod, ia boleh mengehadkan skop eksploit biasa seperti kelemahan syscall atau serangan pemetaan memori. Pengasingan ini lebih kepada membendung rasuah tidak sengaja dan mengehadkan impak eksploit berbanding memberikan jaminan keselamatan peringkat VM .
Faedah Yang Didakwa berbanding Kebimbangan Komuniti
| Faedah Yang Didakwa | Kebimbangan Komuniti |
|---|---|
| Pengasingan kerosakan yang lebih baik | Konflik keadaan perkakasan dengan peranti berkongsi |
| Keselamatan yang dipertingkat melalui pemisahan | Sempadan keselamatan yang lemah berbanding dengan VM |
| Penggunaan sumber yang lebih baik daripada VM | Titik kegagalan tunggal dengan kernel "utama" |
| Kemaskini kernel tanpa masa henti ( KHO ) | Ujian terhad pada perkakasan yang pelbagai |
| Kewujudan bersama kernel masa nyata + tujuan umum | Keperluan penyelarasan pemacu yang kompleks |
Perbandingan dengan Pendekatan Bersejarah dan Alternatif
Cadangan ini telah menarik perbandingan dengan beberapa sistem bersejarah dan projek penyelidikan. Ahli komuniti menyatakan persamaan dengan OpenVMS Galaxy pada sistem DEC Alpha , partition mainframe IBM , dan sistem pengendalian penyelidikan Barrelfish . Perbandingan ini menyerlahkan bahawa walaupun konsep ini tidak sepenuhnya baharu, melaksanakannya dengan jayanya dalam kernel pengeluaran seperti Linux memberikan cabaran unik.
Tidak mungkin contohnya vendor usb atau bluetooth biasa mempunyai 'berbilang urutan arahan berselang-seli' dalam persediaan ujian mereka.
Perbincangan juga menyentuh sama ada pendekatan ini menawarkan kelebihan berbanding teknologi kontainerisasi sedia ada atau virtualisasi perkakasan. Walaupun seni bina multikernel boleh memberikan prestasi yang lebih baik daripada VM dengan menghapuskan overhed hypervisor, ia mengorbankan jaminan pengasingan yang kuat yang menjadikan virtualisasi menarik untuk beban kerja sensitif keselamatan.
Cabaran Pelaksanaan dan Prospek Masa Depan
Sifat RFC siri patch ini mengakui bahawa kerja yang ketara masih diperlukan sebelum teknologi ini boleh sedia untuk pengeluaran. Pelaksanaan semasa hanya menyokong seni bina x86 dan telah diuji pada konfigurasi perkakasan yang terhad. Ahli komuniti menekankan bahawa ujian meluas merentasi platform yang berbeza akan menjadi penting untuk mengenal pasti isu yang berpotensi.
Latar belakang pengarang di Bytedance dan penglibatan dalam teknologi kernel lain seperti kernelscript telah menjana optimisme berhati-hati mengenai potensi projek ini. Walau bagaimanapun, ramai pembangun kekal skeptikal mengenai sama ada faedah membenarkan kerumitan dan isu kebolehpercayaan yang berpotensi, terutamanya memandangkan kematangan penyelesaian virtualisasi sedia ada.
Seni bina multikernel mewakili titik tengah yang menarik antara prestasi bare-metal dan pengasingan tervirtual, tetapi kejayaannya akhirnya bergantung pada menyelesaikan cabaran asas perkongsian perkakasan koperatif dan mengekalkan kestabilan sistem merentasi berbilang contoh kernel.
Rujukan: [RFC Patch 0/7] kernel: Introduce multikernel architecture support