Linux 从 lsof 开始,深入理解 Linux 虚拟文件系统!

背景

有时会出现这样的情况,磁盘空间显示已经被占满,但是在查看磁盘的具体文件占用情况时,发现磁盘仍然有很大的空余空间。

1. 执行df命令查看磁盘使用情况,发现磁盘已经满了。

-bash-4.2$ df -Th
Filesystem     Type      Size  Used Avail Use% Mounted on
/dev/vda1      ext4       30G    30G 0      100% /
devtmpfs       devtmpfs  489M     0  489M   0% /dev
tmpfs          tmpfs     497M     0  497M   0% /dev/shm
tmpfs          tmpfs     497M   50M  447M  11% /run
tmpfs          tmpfs     497M     0  497M   0% /sys/fs/cgroup

2. 执行du命令查看各个目录的磁盘占用情况,把各个目录文件的大小相加,发现并没有占满磁盘,有10多G空间莫名失踪。

-bash-4.2$ du -h --max-depth=1 /home
16M /home/logs
11G /home/serverdog
11G /home

3. 为何会出现这样的情况呢?

因为虽然文件已被删除,但是一些进程仍然打开这些文件,因此其占用的磁盘空间并没有被释放。执行 lsof 命令显示打开已删除的文件。将有问题的进程重启(或,清空),磁盘空间就会得到释放。

-bash-4.2# lsof | grep delete
mysqld     2470         mysql    4u      REG              253,1           0     523577 /var/tmp/ibfTeQFn (deleted)
mysqld     2470         mysql    5u      REG              253,1           0     523579 /var/tmp/ibaHcIdW (deleted)
mysqld     2470         mysql    6u      REG              253,1           0     523581 /var/tmp/ibLjiALu (deleted)
mysqld     2470         mysql    7u      REG              253,1           0     523585 /var/tmp/ibCFnzTB (deleted)
mysqld     2470         mysql   11u      REG              253,1           0     523587 /var/tmp/ibCjuqva (deleted)

那么,Linux的文件系统,到底为什么这么设计呢?要了解这些,就要先弄清楚并不容易,下面将从一些基本概念入手,一步步将这些梳理清楚:

什么是虚拟文件系统(VFS:virtual filesystem)?


下图显示了Linux操作系统中负责文件管理的基本组件。上半区域为用户模式,下半区域为内核模式。应用程序使用标准库libc来访问文件,库将请求映射到系统调用,以便进入内核模式。

Linux 从 lsof 开始,深入理解 Linux 虚拟文件系统!

所有与文件相关的操作的入口都是虚拟文件系统(VFS),而非特定的额文件系统(如Ext3、ReiserFS和NFS)。VFS 提供了系统库和特定文件系统之间的接口。因此,VFS 不仅充当抽象层,而且实际上它提供了一个文件系统的基本实现,可以由不同的实现来使用和扩展。因此,要了解文件系统是如何工作的,就要先了解VFS 。

通用文件模型


VFS 的主要思想在于引入了一个通用文件模型(common file model)。通用文件模型由以下对象类型组成:

  • 超级块对象(superblock object)内存:文件系统安装时创建,存放文件系统的有关信息磁盘:对应于存放在磁盘上的文件系统控制块(filesystem control block)
  • 索引节点对象(inode object)内存:访问时创建,存放关于具体文件的一般信息(inode 结构)磁盘:对应于存放在磁盘上的文件控制块(file control block)每个索引节点对象都有一个索引节点号,唯一地标识文件系统的文件
  • 文件对象(file object)内存:打开文件时创建,存放 打开文件 与进程之间进行交互的有关信息(file 结构)打开文件信息,仅当进程访问文件期间存在于内核内存中。
  • 目录项对象(dentry object)内存:目录项一旦被读入内存,VFS就会将其转换成 dentry 结构 的目录项对象磁盘:特定文件系统以特定的方式存储在磁盘上存放目录项(即,文件名称)与对应文件进行链接的有关信息

 

目录树


综合来说,Linux 的 根文件系统(system's root filessystem) 是内核启动mount的第一个文件系统。内核代码映像文件保存在根文件系统中,而系统引导启动程序会在根文件系统挂载之后,从中把一些基本的初始化脚本和服务等加载到内存中去运行(文件系统和内核是完全独立的两个部分)。其他文件系统,则后续通过脚本或命令作为子文件系统安装在已安装文件系统的目录上,最终形成整个目录树。

start_kernel 
  vfs_caches_init 
    mnt_init 
      init_rootfs     // 注册rootfs文件系统
      init_mount_tree // 挂载rootfs文件系统 
  … 
  rest_init 
  kernel_thread(kernel_init, NULL, CLONE_FS);

就单个文件系统而言,在文件系统安装时,创建超级块对象;沿树查找文件时,总是首先从初识目录的中查找匹配的目录项,以便获取相应的索引节点,然后读取索引节点的目录文件,转化为dentry对象,再检查匹配的目录项,反复执行以上过程,直至找到对应的文件的索引节点,并创建索引节点对象。

软链接 vs 硬链接


软链接是一个普通的文件,其中存放的是另外一个文件的路径名。硬链接则指向同一个索引节点,硬链接数记录在索引节点对象的 i_nlink 字段。当 i_nlink字段为零时,说明没有硬链接指向该文件。

文件 & 进程管理


下图是一个简单示例,说明进程是怎样与文件进行交互。三个不同进程打开同一个文件,每个进程都有自己的文件对象,其中两个进程使用同一个硬链接(每个硬链接对应一个目录对象),两个目录项对象都指向同一个 索引节点对象。

Linux 从 lsof 开始,深入理解 Linux 虚拟文件系统!

索引节点的数据又由两部分组成:内存数据和磁盘数据。Linux 使用 Write back 作为索引节点的数据一致性策略。对于索引节点的数据,当文件被打开时,才会加载索引节点到内存;当不再被进程使用,则从内存踢出;如果中间有更新,则需要把数据写回磁盘。

*  "in_use" - valid inode, i_count > 0, i_nlink > 0
*  "dirty"  - as "in_use" but also dirty
*  "unused" - valid inode, i_count = 0

索引节点是否仍在使用,是通过 open() 和 close() 操作建立和销毁文件对象,文件对象通过索引节点提供的 iget 和 iput 更新索引节点的i_count字段,以完成使用计数。open 操作使得 i_count 加一, close 操作使得 i_count 减一。在 close 操作时判断索引节点是否释放,如果 i_count = 0,则意味着不再有进程引用,将会从内存释放。

 

文件 & 磁盘管理


文件与磁盘管理联系最紧密的操作,莫过于 touch 和 rm 操作,而尤以后者最为关键。通过strace(或 dtruss),查看 rm 的实际的系统调用


# dtruss rm tmp
...
geteuid(0x0, 0x0, 0x0)       = 0 0
ioctl(0x0, 0x4004667A, 0x7FFEE06F09C4)       = 0 0
lstat64("tmp\0", 0x7FFEE06F0968, 0x0)        = 0 0
access("tmp\0", 0x2, 0x0)        = 0 0
unlink("tmp\0", 0x0, 0x0)        = 0 0

可以发现 rm 实际是通过 unlink 完成的。 unlink代表删除目录项,以及减少其索引节点的计数。由通用文件模型可知,父目录本身同样是一个文件,也就意味着目录项是其文件数据的一部分。删除目录项等价于从父目录的文件中删除数据,也就意味着首先要打开父目录的文件。那么,删除操作即可理解为:

  1. 删除命令(一个进程)使用 open 操作获得父目录文件对象
  2. 通过 iget 增加 目录文件的索引节点对象计数
  3. 读取目录文件数据
    1. 将目录文件数据转化为目录项对象
    2. 由于目录项包含文件的索引节点,类似的,需要通过 iget 增加文件的索引节点对象计数
  4. 删除目录的目录项
  5. 减少文件索引节点对象的硬链接计数i_nlink
  6. 通过 iput 结束对文件索引节点对象的操作,使用计数 i_count 减一
    1. 判断i_count是否为零,如果为零,则释放内存
    2. 然后,判断i_nlink是否为零,如果为零,则释放磁盘空间
  7. 通过 iput 结束对目录索引节点对象的操作。

 

总结


回头来看遇到的问题,其实可以从两个角度来理解:

索引与数据

文件系统与文件、磁盘管理与文件、进程管理与文件,最核心的都是文件的索引,而不是文件的数据。把数据和索引分开是理解文件系统的关键。

Linux 从 lsof 开始,深入理解 Linux 虚拟文件系统!

一个数据构建了各式各样的索引,只有索引全部失效,此时数据才失去意义,此时才能释放

缓存策略

由于操作系统使用 Write back 的策略,意味着只有先释放内存,才有可能释放磁盘。

Why lsof ?

从上面的模型可以很清楚的理解,因为目录已经没有索引到文件了,但是打开文件还有索引到文件,所以不能立刻释放磁盘空间。

为什么 lsof 可以找到已删除未释放的文件呢?
lsof,顾名思义:list open files,该命令的原理就是查找打开文件的列表,因此可以找到已删除未释放的文件。

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/11314

(0)
凯影的头像凯影
上一篇 2024年2月19日 下午4:12
下一篇 2024年2月21日 下午4:12

相关推荐

  • Centos7上安装Zabbix6.0

    1、先安装依赖,mysql,nginx,php mysql安装,mysql版本要8.0及以上 Nginx安装 PHP 部署 启动后即可在浏览器通过ip访问到测试页,如果访问失败,检查ip80端口是否开放 2、zabbix安装 选择版本 看别人的资料说6.0在centos7系统只能通过source安装,所以到官网选择source安装,选择TLS长久维护版 安装…

    2023年5月31日
    69300
  • 服务器bash进程占用cpu过多疑似中挖矿病毒记录

    发现过程因为我有使用conky的习惯,也就是在桌面上会显示cpu和内存的占用情况,由于服务器不止我一个人使用,最近发现好几次我同学的账户下的bash进程占用特别多,问了他之后,他也说他几次都是没有使用过bash相关服务,之前一直以为可能是某个软件bug之类的,这次想着好好查一下 排查过程 使用top可以看出zhy用户的bash进程cpu和内存占用都非常多,这…

    2024年3月22日
    59100
  • Homebrew安装教程

    Homebrew是什么? Homebrew是一款MacOS平台下的软件包管理工具,拥有安装、卸载、更新、查看、搜索等很多实用的功能。简单的一条指令,就可以实现包管理,而不用你关心各种依赖和文件路径的情况,十分方便快捷。 通常用于Mac系统,也可以安装在Linux系统 注意M1处理器的安装位置(与intel有所区别): brew的安装位置:/opt/homeb…

    2023年6月19日
    68700
  • redis 集群 CLUSTERDOWN Hash slot not served 报错解决思路

    背景:  因机房故障,导致redis-cluster 集群中 有个节点 down 了 ,再从新拉起节点加入集群后,就没在意 过来小许,服务器磁盘告警来了,我看了下 应用服务器上的tomcat 的日志,不停的刷,日志内容 报redis 错误, CLUSTERDOWN Hash slot not served 吓得我 立马 去 redis 集群上去 检…

    2023年5月16日
    82500
  • Linux缓冲区的理解

    一、FIFE 可以看到对过程重定向后结果发生了改变,C接口的函数printf,fprintf,fputs都被打印了两次;而系统接口write前后只被打印了一次,为什么呢?肯定和fork有关! fork会创建子进程。在创建子进程的时候,数据会被处理成两份,父子进程发生写时拷贝,我们进行printf调用数据的时候,数据写到显示器外设上,就不属于父进程了,数据没被…

    2023年4月10日
    67700

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信