【操作系统百科】机密计算
OS 如何在不信任 hypervisor 的世界里自处?AMD SEV-SNP、Intel TDX、ARM CCA、远程认证(attestation)、COCONUT-SVSM、Guest Firmware、I/O 加密。
阅读视图
【操作系统百科】Rust for Linux
Rust for Linux 真的在解决问题还是在搬问题?合入时间线、抽象 crate、Pin/unsafe 边界、Asahi GPU 驱动、维护成本、ABI 兼容、工具链依赖。
【操作系统百科】Unikernel
Unikernel 在云上为什么没成主流?MirageOS、IncludeOS、Unikraft、OSv 的设计取舍——库操作系统、启动时间、工具链、调试困难、POSIX 兼容。
【操作系统百科】Windows 内核与 Linux 的关键差异
NT 内核与 Linux 的根本差异——Executive/Kernel 分层、object manager、IRP I/O 模型、Job object、IOCP、Registry、WSL2 的选择。
【操作系统百科】KVM 架构
KVM 在 Linux 中如何做到最小的 hypervisor?/dev/kvm ioctl、QEMU 用户态设备模型、vhost-net/vhost-user、virtio、eventfd/irqfd、IOMMU、SEV/TDX 集成。
【操作系统百科】IMA、EVM 与 dm-verity
从引导到运行时的完整性保证链如何闭环?measured boot → IMA measurement/appraisal → EVM → dm-verity / fs-verity → TPM PCR——本文讲 Linux 的完整性子系统。
【操作系统百科】SELinux 与 AppArmor
SELinux 与 AppArmor 的模型差异如何影响运维?LSM hooks、类型强制策略、AppArmor profile、permissive/enforce 模式、容器标签——本文讲 Linux 强制访问控制。
【操作系统百科】seccomp-bpf 与 Landlock
进程自限如何实现最小权限?seccomp strict mode、filter mode(BPF 过滤器)、user notify、Landlock 文件访问控制、syscall user dispatch——本文讲 Linux 的系统调用过滤。
【操作系统百科】eBPF 核心
BPF 为什么能成为 Linux 的第二用户态?verifier、JIT、map 家族、BTF、CO-RE、BPF_LSM、sched_ext——本文讲 eBPF 的内核侧机制。
【操作系统百科】原子 RMW 操作
x86 LOCK 前缀、ARM LL/SC、ARMv8.1 LSE、RISC-V A 扩展——四种硬件原子原语的工程差异。本文讲 fetch_add/CAS/swap 成本、cache line bouncing、tearing 与内核 atomic API。
【操作系统百科】io_uring 内核内部
io_uring 用共享内存 ring buffer 实现零 syscall 异步 I/O——SQ/CQ、SQPOLL、IOPOLL、注册 fd/buffer、multishot、安全模型演化。本文深入内核实现与工程实践。
【操作系统百科】用户态分配器
glibc malloc、tcmalloc、jemalloc、mimalloc 各有哲学。本文讲 arena、thread cache、size class、madvise 返还策略、碎片与 RSS 膨胀、如何根据负载选分配器。
【操作系统百科】Slab/SLUB 分配器
buddy 只管页粒度(4K+),内核大多数对象只有几十到几百字节。slab/SLUB 在 buddy 之上做对象级缓存。本文讲 slab 历史、SLUB 接手、SLOB 退场、kmem_cache、per-CPU cache、KASAN 集成。
【操作系统百科】交换
swap 还值得开吗?本文讲 swap area 基础、swap cache、zram 压缩内存、zswap 前端压缩池、swappiness 的真实含义、容器里的 swap 策略,以及为什么现代 Android 全靠 zram 不靠磁盘。
【Linux 网络子系统深度拆解】多队列与流量分发:RSS/RPS/RFS/XPS
单队列网卡的时代早已过去,但多队列本身只是起点——如何把包分到正确的 CPU 上,才是性能的关键。本文从 Linux 6.6 内核源码拆解多队列网络的完整流量分发体系:RSS 硬件哈希与 Toeplitz 算法、RPS 软件多队列模拟与 get_rps_cpu() 路径、RFS 应用感知的 rps_sock_flow_table 机制、XPS 发送端 CPU/队列亲和、aRFS 硬件流表加速,以及 netdev_pick_tx() 发送队列选择逻辑。
【操作系统百科】内存回收
Linux 内存回收是 VM 最复杂的子系统之一。本文讲 active/inactive LRU、kswapd 与 direct reclaim、watermark 三线、swappiness 的真实含义、MGLRU 改造、memcg 回收与 PSI。
【Linux 网络子系统深度拆解】隧道协议内核实现:VXLAN、IPIP、GRE 与 WireGuard
隧道是 overlay 网络的基础设施。本文从 Linux 6.6 内核源码拆解四类隧道协议的实现:ip_tunnel 通用框架与 struct ip_tunnel_key 元数据、IPIP 最小开销封装、GRE 可选头部与 ERSPAN 集成、VXLAN 的 UDP 封装路径与 FDB 转发表、metadata mode 流式隧道与 OVS/Cilium 集成、WireGuard 的 Noise 协议与加密路由模型,以及各协议的封装开销与硬件卸载能力对比。
【Linux 网络子系统深度拆解】虚拟网络设备内核实现:veth、bridge 与 macvlan
容器网络不能没有虚拟设备。本文从 Linux 6.6 内核源码拆解四类核心虚拟网络设备的实现:veth pair 的 veth_xmit 零拷贝转发与 XDP native 模式、Linux bridge 的 br_handle_frame 转发路径与 FDB 学习/老化机制、macvlan 五种模式的内核实现差异、tun/tap 的内核态与用户态数据交换路径,以及各类设备的性能特征对比。
【Linux 网络子系统深度拆解】网络命名空间:内核级网络隔离的实现
容器网络的一切隔离能力,都建立在网络命名空间之上。本文从 Linux 6.6 内核源码拆解 struct net 的完整布局、possible_net_t 与 RCU 访问模式、pernet_operations 子系统注册与生命周期回调、copy_net_ns() 命名空间创建路径、per-netns 路由表/netfilter/socket 隔离机制,以及 veth pair 跨命名空间数据转发的 skb->dev 切换原理。
