M´emoire - Structure et impl´ ementation des services

3.5 Structure et impl´ ementation des services

3.5.2 M´emoire

Nous divisons la présentation de la gestion de la mémoire selon qu’elle est propre ou prêtée. La Figure 3.11 fournit un schéma récapitulatif des types de données, avec leur types de mémoire et de la manière dont ces données sont partagées.

Cette différenciation des types de données et de mémoire est en pratique très simple à implémenter, et est fondamentale pour empêcher l’utilisation de mémoire propre pour répondre à des requêtes du client.

3.5.2.1 M´emoire propre

Le service dispose de mémoire propre, qui sert par exemple à stocker son code et des variables globales (que nous appelons données globales). L’utilisation de cette

donn´ees globales

mémoire doit faire l’objet de la plus grande attention pour éviter les déni de services.

Données par client ou connexion et statelessness La mémoire propre ne peut pas être utilisée pour stocker des informations relatives à un client ou une « connexion » : comme le nombre de clients est non borné26, cela serait une opportu-

nité de déni de service. Toutes ces informations sont stockées dans de la mémoire

En effet, rien n’empêche un grand nombre de clients d’utiliser simultanément la même ressource : un client peut librement copier sa capacité à beaucoup d’autres clients.

3.5.2. M ´emoire Domaine du service Thread A Stack A Thread B Stack B Thread C Stack C 0 1 2 3 4 5 6 7 A,B C

A,B,C Donn´ees globales

Donn´ees par ressource

Données locales Type de donnée Type de mémoire Mémoire propre Transitoire Semi- permanente Mémoire prêtée

Selon leur type, les données peuvent être stockées dans des mémoires d’origines différentes, et peuvent être partagées par différents clients.

• Les données locales (i.e. par client ou par “connection” ) ne sont ni partagées ni stockées dans le service, car elles sont placées dans de la mémoire transitoire. Elles ne sont accessibles que par le client. Comme il n’y a pas de données par client non-transitoire, le service est stateless.

• Les données par ressources peuvent être soit stockées dans de la mémoire propre (tableau des ressources), soit dans de la mémoire prêtée semi-permanente (essentiellement pour des gros buffers de données utilisés de manière asynchrone par les services). Elles peuvent être accédées seulement par les clients de cette ressource.

• Les données globales sont stockées dans de la mémoire propre au service, et peut être accédée par tous les clients. Fig. 3.11 – Organisation de la mémoire dans un service. Chaque bloc de donnée est colorié et étiqueté en fonction des threads qui

prêtée ; en pratique uniquement dans de la mémoire prêtée de manière transitive27

. Le service est donc stateless : aucune information relative `a une connexion ne peut

stateless

être retenue entre deux appels. Les données associées à une connexion dans les systèmes classiques seront soit placées dans le client (§ 5.3.1), soit associées à la ressource sur laquelle agit le client.

Notons que cela ne concerne que les données par connexion qui restent entre plusieurs appels : durant une connexion, l’état de la connexion est stocké dans la pile, qui est stockée dans de la mémoire prêtée de manière transitoire (§ 3.4.2).

Les file descriptors UNIX sont un exemple typique de données associées à une connexion. Dedans sont stockées différentes données ; dans Linux [BC05] on trouve les flags passé à open, l’offset courant, l’UID et GID du processus... Dans Anaxagoros, les seules données relatives à une connexion qui restent sont stockées dans la capacité du service (qui est immutable), et permettent seulement de pointer vers une ressource en indiquant les droits qui y sont associés.

Cette contrainte de statelessness va dans la mˆeme direction que le principe de minimisation des donn´ees que l’on verra en section 5.3.1, qui offre en fait un certain nombre d’avantages.

Données par ressource Contrairement aux données par connexion, il est possible de stocker entre appels les informations relatives à une ressource, dont le nombre est borné (quand le service ne fournit pas de ressources à proprement parler, comme le service réseau, on peut créer des ressources artificielles “connexion au service réseau” dont le nombre est borné, voir Section 3.5.3). Ainsi le problème de déni de service est évité : au maximum, la mémoire consommée sera de “nombre de ressources” fois “taille des données associées à chaque ressource”.

Nous faisons le choix d’allouer cette mémoire associée aux ressources de manière statique. Ainsi on peut structurer les données associées à chaque ressource sous la forme d’un tableau : c’est le tableau des ressources. Cela permet un accès rapide

tableau des

ressources _{à ces données, et simplifie la conception (structure de données, relations avec les}

politiques d’allocation) par rapport au choix d’une allocation dynamique. Afin de limiter le gâchis de mémoire, qui se produit lorsque toutes les ressources ne sont pas utilisées, la taille des entrées de ce tableau est minimisée.

Allocation statique La mémoire propre d’un service peut toujours être divisée comme présenté, en données “par ressource” ou “globale” (e.g. code et variables globales). La taille des données globales étant généralement fixe28

, le service n’a le plus souvent pas besoin de demander d’augmentation de la taille de sa mémoire propre (allocation mémoire entièrement statique). Cela simplifie drastiquement l’implémentation du service, et permet de facilement contrôler qu’on a pas d’allocation de mémoire (e.g. en interdisant l’utilisation de malloc, on s’assure qu’il n’y a pas d’utilisation implicite de FCFS sur la mémoire).

On pourrait utiliser de la mémoire prêtée de manière semi-permanente pour stocker des informations relatives à une connexion. Mais cela consomme de l’espace d’adressage (qui est une ressource propre), cela ne fait que reporter le problème ailleurs.

3.5.2. M´emoire

L’allocation statique de la mémoire dans le service semble être un gâchis mémoire, en particulier pour le tableau des ressources, où l’on pourrait préférer allouer de la mémoire au fur et à mesure que différentes ressources sont utilisées. Il y a néanmoins beaucoup d’arguments en faveur de ce choix :

• ce sont les buffers de données qui occupent le plus de place mémoire, et ceux ci sont prêtés (§ 3.4.4), ainsi seule la place pour les « données de gestion », bien plus petites, est perdue. Le design des services demande par ailleurs de minimiser ces données de gestion (§ 5.3.1) pour perdre un minimum de place ; • le service doit faire l’association entre une ressource et les données qui lui sont associées. Le tableau est la structure la plus efficace en terme de temps CPU pour faire cette association, et cela sans compter le temps passé à faire les allocations mémoires. Les autres structures implémenteraient un « tableau peu dense », par exemple avec une table de hachage. Il y a un surcoût en temps CPU pour calculer ces hash et faire les allocation dynamiques de mémoire ; • de plus, quand quasiment toutes les ressources sont utilisées, alors cette

structure plus complexe représente également un gâchis mémoire, à cause des pointeurs additionnels etc. Le tableau est la structure la plus économe en mémoire quand presque toutes les ressources sont utilisées ;

• le tableau des ressources est une structure simple. La structure statique facilite la compréhension fine du code, ainsi que la preuve de programme (par exemple, on n’a pas de problème d’aliasing). De plus, on évite quantité d’erreurs de programmation (e.g. problème de double free, utilisation de mémoire après free, etc.), ce qui rend le service plus sûr. La garantie que la mémoire ne « s’en va pas » est utile dans beaucoup de situations. Cela permet par exemple de simplifier certaines synchronisations, comme le notent également Greenwald et al. [GC96]. Cela permet aussi d’utiliser des pointeurs estampillés (§3.3.3.1) ; • l’allocation statique de la mémoire aide à identifier toute allocation dynamique

d’une autre ressource. En général, quand une ressource est allouée dynamiquement (e.g. place dans la c-list), on utilise de la mémoire pour conserver des opérations sur cette ressource (e.g. à quoi sert la capacité placée dans la c-list), qui est également allouée dynamiquement. Si la mémoire est allouée statiquement, on minimise les chances de faire une telle allocation par erreur ; • l’allocation dynamique risque de transformer un déni de service local (sur la mémoire d’un service) en un déni de service global (sur la mémoire de tous les services). L’allocation statique permet donc de confiner les erreurs ;

• enfin, l’allocation dynamique de mémoire pose différents problèmes : l’allocation mémoire est rarement faite en temps constant et potentiellement long ; que faire s’il n’y a plus beaucoup de mémoire dans le système, sachant qu’on ne peut pas facilement attribuer ces allocations à petite granularité (en dessous de la taille d’une page) aux clients ; le service de politique mémoire fait dorénavant partie du TCB du service...

Ainsi l’allocation statique résulte en un petit gâchis mémoire (quelques kilo- octets) par service lorsque toutes les ressources ne sont pas utilisées, mais offre un grand nombre d’avantages.

3.5.2.2 Mémoire prêtée

Nous avons vu comment est prêtée la mémoire, et comment est fournie l’assurance que certains mappings ne sont pas partagés. Nous expliquons seulement l’usage de cette mémoire prêtée, et la gestion de sa révocation.

Usage de la mémoire transitoire La mémoire passée de manière transitoire est à emplacement fixe de l’espace d’adressage dans notre implémentation, et est facilement accessible. Elle est utilisée pour les données locales, i.e. la pile et les

donn´ees locales

arguments pass´es.

Usage de la mémoire semi-permanente Comme on utilise de la mémoire transitoire pour les données locales, et de la mémoire propre pour les données globales, la mémoire prêtée de manière semi-permanente ne sert que pour des grosses données par ressource. On l’utilise typiquement pour des données à communiquer avec le client, et que le service utilise de manière asynchrone (e.g. données envoyées ou re¸cues sur disque dur ou sur le réseau). Mis à part la problématique de gestion de l’espace d’adressage, qui est une denrée finie (et est abordée en section 3.5.3), la mémoire semi-permanente ne pose pas de problème de gestion.

Gestion de la révocation La principale difficulté concerne la tentative d’accès par le service à de la mémoire qui a été révoquée.

Si la pile est révoquée, l’exécution du service va devenir très rapidement impossible. Ce cas est donc similaire à celui de la révocation de temps CPU. C’est pourquoi, dans l’implémentation, pile et temps CPU sont tous deux liés au thread, et on ne peut révoquer la pile sans détruire le thread. De même, tous les thread-local mappings ne peuvent être révoqués sans détruire le thread. Le problème de révocation est donc réduit à la mémoire semi-permanente.

Pour la mémoire semi-permanente, on voudrait que le code puisse gérer le fait que la mémoire aie été révoquée. On va pour cela s’aider du fait qu’un emplacement mémoire (mis à part la pile) est toujours accédé de manière explicite dans le code (du moins en C). On ne peut pas tester une adresse pour savoir si la mémoire a été révoquée : ce serait lent, pénible, et sujet à race conditions. On va faire cela par un mécanisme similaire aux exceptions.

La première contrainte est de détecter que la mémoire accédée à été révoquée. Cela se fait par le mécanisme d’autopagination [Han99, EKJO95], i.e. en faisant en sorte que les services soient notifiés lorsqu’ils font un défaut de page (nous avons vu que les exceptions étaient paramétrables (§ 3.1.3.1) ; les services sont paramétrés pour recevoir eux même leurs défauts de page, i.e. leur défaut de page changent leur program counter à une adresse fixée). Et en s’assurant par le noyau que lorsque la mémoire est révoquée, cela crée effectivement un défaut de page. Une technique similaire est utilisée dans le système de fenêtrage d’EROS [SVNC04, § 5].

3.5.3. Capacit´e et autres ressources

Dans le document Intégration de systèmes hétérogènes en termes de niveaux de sécurité (Page 131-136)