Rust内存模型中read_once/write_once原语的缺失：并发安全与编译器优化的工程权衡

在并发编程的世界中，内存模型是确保多线程程序正确性的基石。Rust 作为一门系统编程语言，其内存模型在很大程度上继承了 C++20 的原子模型，但在实际系统编程场景中，特别是与 Linux 内核交互时，Rust 标准库中缺失的read_once/write_once原语暴露了语言抽象与底层硬件需求之间的鸿沟。

Rust 内存模型的 C++ 遗产

Rust 的原子类型和内存排序规则直接借鉴了 C++20 标准。根据 Rust 官方文档，std::sync::atomic模块中的原子操作遵循与 C++20 原子相同的规则，但有一个重要区别：Rust 省略了 C++ 中的 "consume" 内存排序。这种继承关系是务实的妥协 —— 原子操作的内存建模对任何语言来说都极其复杂，直接采用成熟的 C++ 模型可以避免重复造轮子。

Rust 提供了三种主要的内存排序：

• 顺序一致性（SeqCst）：最强的排序保证，操作不能相对于其他 SeqCst 操作重新排序
• 获取 - 释放（Acquire-Release）：专为锁等同步原语设计
• 宽松（Relaxed）：最弱的排序，仅保证原子性，不建立 happens-before 关系

然而，这种基于 C++ 的模型在系统编程的某些关键场景中显得力不从心。

Linux 内核的 READ_ONCE/WRITE_ONCE：编译器优化的边界

在 Linux 内核开发中，READ_ONCE和WRITE_ONCE宏扮演着至关重要的角色。这些宏的定义位于include/asm-generic/rwonce.h中，其核心目的是防止编译器对内存访问进行过度优化。

READ_ONCE和WRITE_ONCE的主要功能：

1. 防止读取合并：编译器可能将多次读取合并为单次读取，这在并发场景中可能导致数据不一致
2. 防止写入合并：类似地，多次写入可能被合并，破坏其他线程对中间状态的观察
3. 禁止重排序：编译器不能跨这些宏重新排序访问操作
4. 支持聚合类型：这些宏可以处理结构体和联合体等复杂数据类型

实现上，这些宏主要依赖volatile关键字来强制编译器生成确切的内存访问指令。例如，READ_ONCE(x)本质上展开为*(const volatile typeof(x) *)&x，确保编译器不会假设该值在两次访问之间保持不变。

LKMM 与 Rust 内存模型的根本差异

当 Rust 代码被引入 Linux 内核时，一个根本性问题浮现出来：Rust 必须遵循 Linux 内核内存模型（LKMM），而不是其原生的内存模型。这一决定在 LWN 的文章《A memory model for Rust code in the kernel》中有详细讨论。

LKMM 的关键特性：

1. 所有原子变量都是 volatile 的：LKMM 假设原子访问具有 volatile 语义，而标准 Rust 原子没有这一保证
2. 完全有序的原子操作：LKMM 提供 "fully ordered" 原子排序，作为完整的内存屏障
3. 地址、数据和控制的依赖性：LKMM 考虑控制流依赖对内存排序的影响
4. 混合大小访问的支持：LKMM 处理对同一变量的不同大小访问，这是标准内存模型未涵盖的

这些差异意味着标准 Rust 的原子操作在内核环境中可能不足。例如，Rust 的Relaxed排序允许编译器进行大量优化，而这些优化可能违反 LKMM 的假设。

缺失原语的实际影响

read_once/write_once原语的缺失在以下场景中尤为关键：

1. 中断处理程序与进程级代码的通信

在 Linux 内核中，中断处理程序与普通进程代码可能访问相同的数据。如果没有READ_ONCE/WRITE_ONCE，编译器可能：

• 将中断处理程序中的多次读取合并，错过进程代码的中间更新
• 将进程代码的多次写入合并，使中断处理程序无法观察到中间状态

2. 无锁数据结构的实现

无锁算法通常依赖精确的内存访问语义。编译器优化可能：

• 重新排序看似独立的访问，破坏算法的正确性
• 消除 "不必要" 的读取，破坏基于读取值的控制流

3. 与显式内存屏障的交互

当代码使用显式内存屏障（如mfence、sfence、lfence）时，编译器需要知道哪些访问应该与这些屏障交互。READ_ONCE/WRITE_ONCE标记了这些关键访问点。

工程权衡：安全性与性能

Rust 设计哲学强调 "零成本抽象"，但read_once/write_once的缺失暴露了抽象与实际硬件行为之间的张力。

安全性的代价

添加read_once/write_once原语会增加：

• 代码复杂性：开发者需要理解何时使用这些原语
• 性能开销：阻止编译器优化可能带来性能损失
• 可移植性挑战：不同架构可能需要不同的实现

性能的诱惑

允许编译器自由优化可以：

• 减少内存访问次数
• 提高指令级并行性
• 生成更紧凑的代码

然而，在并发环境中，这些优化可能引入微妙的数据竞争和未定义行为。

Rust 在内核中的解决方案

对于 Linux 内核中的 Rust 代码，解决方案是明确的：必须实现 LKMM 兼容的原子原语。这意味着：

1. 创建内核专用的原子类型：这些类型提供 LKMM 所需的保证
2. 避免使用标准 Rust 原子：在内核代码中，标准原子可能不安全
3. 教育开发者：内核 Rust 开发者需要学习 LKMM，而不仅仅是 Rust 内存模型

这种方法的代价是破坏了 Rust 代码的可移植性 —— 内核 Rust 代码无法直接移植到用户空间，反之亦然。但这是系统编程的现实：底层细节常常突破高级抽象的边界。

可落地的参数与监控要点

对于需要在 Rust 中实现类似read_once/write_once功能的开发者，以下参数和监控点至关重要：

编译器屏障参数

// 伪代码示例：Rust中的编译器屏障
#[inline(never)]
fn compiler_barrier() {
    // 使用内联汇编或特定于编译器的内部函数
    core::sync::atomic::compiler_fence(core::sync::atomic::Ordering::SeqCst);
}

监控要点

1. 代码生成检查：定期检查生成的汇编代码，确保关键访问没有被优化掉
2. 并发测试：在弱内存模型架构（如 ARM）上进行严格的并发测试
3. 性能分析：监控添加内存屏障后的性能影响，寻找优化机会

架构特定考虑

• x86/x86-64：相对较强的内存模型，某些优化可能安全
• ARM/POWER：弱内存模型，需要更谨慎的屏障使用
• RISC-V：灵活的内存模型，需要明确的屏障指令

结论

Rust 内存模型中read_once/write_once原语的缺失不是设计缺陷，而是语言抽象层次与系统编程现实需求之间的自然张力。在用户空间应用程序中，标准 Rust 原子通常足够；但在操作系统内核等底层环境中，需要更精细的控制。

这一情况提醒我们，即使是最精心设计的语言抽象，在面对硬件现实时也可能需要让步。对于系统程序员而言，理解底层内存模型和编译器行为与掌握高级语言特性同等重要。Rust 在 Linux 内核中的旅程刚刚开始，而内存模型的适配将是这一旅程中的关键里程碑。

随着 Rust 在系统编程领域的不断深入，我们可能会看到标准库中增加更多底层原语，或者出现专门针对系统编程的扩展。无论哪种方式，read_once/write_once的讨论都凸显了系统编程中一个永恒的主题：在安全抽象与硬件控制之间寻找平衡点。

资料来源

1. LWN 文章《A memory model for Rust code in the kernel》（2024 年 4 月）
2. Linux 内核源码中的include/asm-generic/rwonce.h文件
3. Rust 官方文档中关于原子操作和内存模型的部分