На собеседовании: Почему не пишут ядро ОС на C++? Немного про Fuchsia и Zircon / forpes.ru

Главная
На собеседовании: Почему не пишут ядро ОС на C++? Немного про Fuchsia и Zircon

На собеседовании: Почему не пишут ядро ОС на C++? Немного про Fuchsia и Zircon -7

26.05.2021 06:18

Tuxman 33 6600 Источник

Если ты программист на C/C++, то наверняка тебя на собеседовании спрашивали, или даже может быть ты спрашивал других - чем может быть плохо писать ядро ОС или ядерные модули на C++? Сегодня я хотел бы немного подискутировать на эту тему, особенно в свете новостей о выпуске Fuchsia OS на устройствах Google Nest Hub.

Всё началось в далёком 2016, когда на GitHub появился загадочный репозиторий, из кода которого следовало, что Google работает над разработкой новой ОС под названием Fuchsia. Впервые официально Google заговорил о Fuchsia на конференции Google I/O 2019, представив официальный сайт. Код отличался от Android и Chrome OS тем, что не был основан на ядре Linux, а на собственном ядре, которое сначала называлось Magenta, а потом Zircon. Ядро специально проектировалось, чтобы охватить весь спектр платформ, от встроенных RTOS систем, и мобильных платформ, до настольных ПК, тем самым порождало слухи о возможной замене в будущем Android и Chrome OS. Графический пользовательский интерфейс и приложения пишутся на фреймворке Flutter с использованием языка программирования Dart.

Ядро Zircon родилось из проекта ядра реального времени для встроенных устройств Little Kernel (LK). С одной стороны, Zircon можно назвать микроядерной архитектурой, в той степени, что там реализована концепция коммуникаций между компонентами, на основе отправки сообщений. С другой стороны, минималистическим ядро также сложно назвать, например, там реализовано более 170 системных вызовов, почти как в монолитном ядре. Что ещё примечательно, авторы черпали вдохновения из UNIX-систем, при этом концепцию сигналов они полностью игнорировали, но поддержали паттерн событийно-ориентированного программирования. Системные вызовы организованы таким образом, что не переводят процесс в сон, и вместо работы с файловыми дескрипторами, всё сводится к манипуляции с разными объектами.

Меня заинтересовало то, что ОС Fuchsia, и само ядро Zircon, почти полностью, написано на современном C++17, с ассемблерными вставками, когда надо работать напрямую с “железом”. Вообще, использование C++ для разработки встроенных систем и игр, не такая уж и редкость. Применяя C++ в таких ограниченных системах, приходится полностью отказываются от исключений, динамического определения и приведения типов, также часто нельзя позволить себе автоматическое динамическое выделение памяти, вместо этого пишутся вручную оптимизированные решения. Это похоже на то, с чем сталкиваются разработчики ОС Fuchsia, но последние пошли дальше и стали использовать C++ в коде ядра, ~~если очень хочется, то можно~~. Для этого им пришлось составить список фич, которые нельзя использовать из C++, а также в режиме ядра полностью запретили использовать стандартную библиотеку из пространства std. Взамен, предлагается оптимизированная библиотека Fuchsia Base Library (FBL), которую можно использовать как в ядре, так и в пользовательском пространстве. Да, часть драйверов может работать в пользовательском пространстве, что немного снимает ограничения на использование библиотек, но это уже на усмотрение разработчика, например, код инициализации и чтения конфигурационных файлов выполняется не часто, поэтому можно позволить себе излишества.

Добавить немного герметика (Hermetic C++). Разработчики ОС Fuchsia приняли решение, использовать чистый C API, а не C++, внутри ядерных модулей, в системных вызовах, в динамически подгружаемых модулях ядра, во всех официально экспортируемых библиотечных API. Сделано это с целью предотвращения “съезжания” ABI, а также для возможности связки с другими языками (language binding), опять же с C++, или Dart/Go/Python/Rust.

Возвращаясь к вопросу на собеседовании, почему не пишут ядра на C++? Ой, я вас обманул, кажется, и не ответил напрямую. В качестве домашнего задания предлагаю подтянуть матчасть про API/ABI и ответить по списку, что вынудило разработчиков Fuchsia отказаться от следующих C++ фич?

Exceptions
RTTI and dynamic_cast
Operator overloading
Virtual inheritance
Statically constructed objects
Trailing return type syntax
Exception: when necessary for lambdas with otherwise unutterable return types
Initializer lists
thread_local in kernel code

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Я считаю, что писать ядро ОС на C++ это…

40,1%В ногу со временем (стильно, модно, молодёжно)65
29,6%После всех наложенных ограничений теряются все плюсы использования C++48
17,3%Нет, только C28
37,6%Rust же! Redox тому пример.61

Комментарии (33)

masai
26.05.2021 09:38
#23079148
+6
Строго говоря, так как C++ является надмножеством языка C, т.е. все программы на C можно собрать компилятором C++
Если позанудствовать, то это не совсем так. Есть программы на C, которые невалидны в C++. Но с практической точки зрения да, это подмножество.
1. sergio_nsk
  26.05.2021 10:00
  #23079238
  +1
  Строго говоря, так как C++ является надмножеством языка C, т.е. все программы на C можно собрать компилятором C++
  Вот сходу программа на C https://ideone.com/8Wsje5, которая не компилируется как C++ https://ideone.com/FNr9e9. Это совершенно разные языки программирования с наследованием удачного синтаксиса С. Никто же не употребляет C/Java. Точно так же не надо писать C/C++.
  1. Woodroof
    27.05.2021 18:45
    #23085934
    А причём тут C/Java? Эти-то языки сильно различаются, а в примере выше если убрать неиспользуемое, то останется валидная программа на C++.
1. Tuxman Автор
  26.05.2021 10:08
  #23079288
  +1
  Несколько человек указали на неточность и я убрал это из текста.
  Я поверил книжке от 2012 года Object Oriented Programming with C++, Second Edition by Richard Johnsonbaugh
  
  1.4 C++ AS A SUPERSET OF C PROGRAMMING LANGUAGE
  C++ has inherited all the strong points of C. It has tried to remove certain weaknesses. Object orientation has added a totally new dimension to the language. You can make use of code and reuse it to the hilt. C++ is a superset of C. All your C programs will work without any modification in this environment. However, we recommend that you get accustomed to new styles and techniques of C++ from day one.
  Сейчас я нашёл интересную статью с примерами C++ is not a superset of C.
  1. SinsI
    26.05.2021 11:06
    #23079594
    C++ — это надмножество некоторой старой версии C.
    Не все дальнейшие нововведения C были приняты для C++.
    
    Woodroof
    27.05.2021 18:47
    #23085950
    Это тоже неверно. С самого начала были несовместимости, например, не поддержан int по умолчанию.
    Ну а самые вкусные вещи из новых стандартов C в новые стандарты C++ вошли.

Goron_Dekar
26.05.2021 09:38
#23079154
Наличие современных компил-тайм плюшек и зачатки годного контракта, плюс поддержка огромного количества архитектур приводит нас к тому, что новое переносимое высокопроизводительное ядро отлично можно и нужно писать на плюсах.
Но развитие микроэлектроники делает ненужным высокопроизводительные ядра, а экономические факторы не в пользу написания новых. Дешевле для конечного потребителя заплатить за огромный арм и Линукс, чем за новое ядро, пусть и гораздо более энергоэффективное и подходящее. В медицине, военке и аэроспейсе также нужнее софт, которых хуже работает, но реже ломается.

El_Kraken_Feliz
26.05.2021 10:01
#23079244
+1
Я не эксперт в области, но хочу спросить - а в чём собственно преимущество в использовании С++, если из него приходится выкидывать почти всё, кто и составляет эти самые "++". Почему не писать на чистом С?
Для меня решения на подобную тему выглядят или как набор подпорок или как развлечение для ума, что конечно же интересно, но в чём практическая часть заключается?
1. sergio_nsk
  26.05.2021 10:08
  #23079290
  +1
  Что выкидывают? Есть примеры? Standard C++ library? Так и Standard C library тоже выкидывают из C в таких задачах. C выбирают, потому что его компилятор можно написать/портировать на любую железку без труда.
1. gudvinr
  26.05.2021 10:18
  #23079346
  Классы позволяют использовать деструкторы для автоматического освобождения ресурсов.
  
  move-семантика позволяет перемещать ресурсы без ручных манипуляций.
  
  Шаблоны позволяют во время компиляции генерировать эффективные по размеру бинарники, для которых в C пришлось бы писать макросы. Думаю, не нужно пояснять, что шаблоны, в отличие от макросов, во время компиляции проверяются на корректность.
  
  Возможности компилятора как раз не выкидываются (кроме RTTI, который не очень-то полезен внутри ядра ОС и добавляет лишний оверхед). А std в C++ — это не "почти всё", а набор батареек, который позволяет писать программы, а не операционные системы.
  
  Практическая часть заключается в том, что стандартная библиотека — это не готовый код, а набор стандартов. То есть, описаний, как должен работать код, который реализует стандартную библиотеку.
  Соответственно, заявляя поддержку std, вы обязаны обеспечить работу всего в том виде, в котором это описано в стандарте.
  
  А вот если вы предоставляете вместо этого libel_kraken_feliz, в котором есть, к примеру, ekf::string, то всё, что вы в эту библиотеку включаете, не обязано полностью быть согласовано с тем, что описано в стандарте. И даже не обязано включать всё, что в стандарте есть.
  1. El_Kraken_Feliz
    26.05.2021 12:48
    #23080090
    Всем спасибо за ответы.
    Налицо моё концептуальное непонимание проблемы, я конечно думал, что это как-то связано с ООП, но не так и не по той причине. Ну и конечно же это оказалось только одной стороной дела.
  1. 0xd34df00d
    26.05.2021 19:36
    #23081848
    Думаю, не нужно пояснять, что шаблоны, в отличие от макросов, во время компиляции проверяются на корректность.
    Нужно. Поясните, пожалуйста. А то я всю жизнь думал, что результаты раскрытия макросов тоже проверяются компилятором, равно как и обратно, шаблоны до подстановки конкретных типов не проверяются (с точностью до two-phase lookup, но это несерьёзно).
    
    Прелесть шаблонов в том, что там есть SFINAE, возможность паттерн-матчинга по типам, и тому подобные вещи.
    
    gudvinr
    27.05.2021 05:03
    #23082974
    Макросы - это инструмент препроцессора, а не компилятора. До того, как препроцессор раскроет макрос, компилятор не узнает, корректный ли в макросе код, и код ли там вообще. Поэтому, строго говоря, сказать о том, что именно макросы проверяются во время компиляции, нельзя.
    Шаблонный код, в свою очередь, ограничен определенными синтаксическими конструкциями самого языка.
    
    0xd34df00d
    27.05.2021 09:42
    #23083436
    Синтаксиса совершенно недостаточно (несмотря на то, что синтаксический анализ в C++ — неразрешимая в смысле Тьюринга задача, но неважно). Смотрите:
    
    template<typename T> T foo(T t) { if constexpr (std::is_same_v<T, int>) return t + std::string { "42" }; else if constexpr (std::is_same_v<T, std::string>) return t + 42; else static_assert(std::is_same_v<T, struct Dummy>, "Only strings and ints are supported"); }
    
    Эта функция не тайпчекается ни для какого T, но вы узнаете об этом только в момент инстанциирования (вернее, узнаете вы не совсем об этом, но тоже неважно).
    
    gudvinr
    27.05.2021 12:46
    #23084224
    Вы на какое-то противоречие хотите указать или что вы хотели этим сказать?
    То, что шаблон надо инстанцировать, для того чтобы он был включён в компилятор? Ну, да. Это по большому счёту часть определения шаблонов в документации.
    
    Точно так же, как и макрос, который просто так где-то определён, не будет оказывать влияния на остальной код, если нигде не использован. Поэтому в этом плане разница не слишком большая.
    
    0xd34df00d
    27.05.2021 18:20
    #23085850
    Я хотел сказать вот то, что сказал в первом комментарии — что проверка шаблонов на корректность очень сильно ограничена.
1. TargetSan
  26.05.2021 10:22
  #23079372
  На самом деле, в С++ есть ещё масса удобнейших фич. Навскидку:
  
  RAII
  
  Виртуальные методы, которые не надо реализовывать руками
  
  Вывод типов
  
  Шаблоны в их простой форме, без компайл-тайм вычислений и тому подобных извращений
  1. Ingulf
    26.05.2021 10:47
    #23079506
    собственно виртуальные методы в купе с виртуальным наследованием и вырезали для написания ОС
    
    TargetSan
    26.05.2021 10:51
    #23079530
    Виртуальное наследование — туда ему и дорога. Ужасающий костыль, призванный разрулить изначально негодное решение.
    Виртуальные методы в списке "на кладбище" не увидел. Да и не вижу, что в них плохого.
    
    vamireh
    26.05.2021 12:08
    #23079908
    Виртуальные методы никто не вырезал, прочитайте внимательнее список.

gudvinr
26.05.2021 10:05
#23079276
+2
если из языка C++ не использовать все его “фишки”, то мы “деградируем” до нашего доброго C
Все "фишки" нужны не всем, и нужно не забывать, что не все "фишки" — это std и rtti. При наличии move-семантики, constexpr и шаблонов можно писать что угодно, причём, возможно, даже более эффективно и поддерживаемо чем на C.

Если посмотреть на разные ОС, то даже на C практически все пишут свои аллокаторы, свои примитивы для динамических строк, интерфейсы плагинов и многие другие вещи без включения стандартной библиотеки C.
Несколько наивно полагать, что C++ (или даже Rust) чем-то будут отличаться в этом плане.

По большому счёту, даже проблемы с ABI — это скорее не проблемы, а следствие того, что ABI C-библиотек — это де-факто стандарт для FFI во всех возможных языках.
Если библиотеку на C вы можете использовать практически где угодно, то C++ всё-таки содержит некоторые вещи, недоступные в тривиальном виде в других языках.

usrsse2
26.05.2021 10:09
#23079292
+1
Как это не пишут? Ядро и драйверы macOS написаны на C++.

pda0
26.05.2021 12:01
#23079888
Уже пишут, на C++17 написано ядро Zircon, ОС Fuchsia.
Уже? Задолго до фуксии на C++ были написаны BeOS и гайка.

Tsvetik
26.05.2021 13:34
#23080294
Зачем исключили initialize lists и staticaly constructed onjects?
1. sergegers
  26.05.2021 14:19
  #23080526
  Статические объекты исключили, потому что требуются функции atenter() и atexit() из CRT.
  1. Tsvetik
    26.05.2021 16:50
    #23081160
    А что в них плохого, в этих функциях?
    
    vamireh
    26.05.2021 17:03
    #23081224
    Регистрация функции с помощью atexit требует выделения динамической памяти, что не всегда желательно при разработке ядра.
    Ну, и вообще с инициализацией статических переменных при исполнении есть проблемы - порядок инициализации не определён, можно вполне обратиться к ещё неинициализированной или уже разрушенной переменной.
    Уверен, что статические переменные, инициализируемые во время компиляции, разрешены.
    
    Siemargl
    26.05.2021 22:33
    #23082428
    Регистрация функции с помощью atexit требует выделения динамической памяти,
    необязательно
    
    vamireh
    27.05.2021 00:04
    #23082622
    Ну, а как иначе? Только если память уже предвыделена заранее. Но это тоже может быть нежелательно.
    Да и претензии к run-time инициализации не снимаются.
    
    sergegers
    26.05.2021 18:38
    #23081626
    Как не использовать исключения, глобальные new и delete? Моя версия — не подключать CRT.
1. 0xd34df00d
  26.05.2021 19:39
  #23081856
  Мне больше интересно про trailing return type. Тем более, что с хорошей точностью любой такой тип можно переписать в префиксной форме, заменив упоминание параметра на соответствующий declval.
1. Woodroof
  27.05.2021 18:51
  #23085966
  Плюсую про список инициализации, непонятное ограничение.

Revertis
26.05.2021 15:04
#23080744
Надеюсь, у них там строки в UTF-8 сразу, без терминирующего нуля и т.п.

На собеседовании: Почему не пишут ядро ОС на C++? Немного про Fuchsia и Zircon -7

Я считаю, что писать ядро ОС на C++ это…

Комментарии (33)

Tuxman Автор