Prepojili sme jednovláknové C++ s viacvláknovou hrdzou

Prepojenie jednovláknového kódu C++ s viacvláknovým kódom Rust je nielen možné – je to jeden z najpraktickejších spôsobov modernizácie starších systémov bez úplného prepisovania. V spoločnosti Mewayz sme riešili presne túto výzvu pri škálovaní nášho 207-modulového podnikového operačného systému tak, aby slúžil 138 000 používateľom, a výsledky zásadne zmenili náš názor na interoperabilitu systémov.

Prečo by ste spájali jednovláknové C++ s viacvláknovou hrdzou?

Väčšina produkčných systémov obsahuje roky testovaný kód C++. Prepisovanie všetkého v Ruste znie na papieri príťažlivo, no prináša obrovské riziko a mesiace inžinierskeho času. Pragmatickým prístupom je postupné osvojenie – zabalenie existujúcej logiky C++ a zároveň presunutie súbežne náročného pracovného zaťaženia na Rustov model vlastníctva.

V našom prípade moduly základnej obchodnej logiky roky spoľahlivo fungovali v jednovláknovom C++. Poradili si so sekvenčným spracovaním úloh, generovaním dokumentov a finančnými kalkuláciami. Keď však naša používateľská základňa presiahla 100 000, potrebovali sme paralelné spracovanie údajov, súbežné spracovanie API a bezpečnú správu zdieľaného stavu. Vlastnosti Rust Send a Sync nám poskytli záruky súbežnosti v čase kompilácie, ktoré C++ jednoducho nemôže ponúknuť bez rozsiahleho manuálneho auditu.

Kľúčovou motiváciou je zníženie rizika. Ponecháte si to, čo funguje, a pridáte to, čo sa bude meniť – bez toho, aby ste riskovali celú svoju kódovú základňu migráciou, ktorá sa možno nikdy neskončí.

Ako vlastne funguje hranica FFI?

Rozhranie cudzích funkcií (FFI) medzi C++ a Rust funguje prostredníctvom podpisov funkcií kompatibilných s C. Rustove externé "C" bloky odhaľujú funkcie, ktoré C++ môže volať priamo a naopak. Kritická výzva sa objaví, keď viacvláknové runtime Rust potrebuje bezpečne vyvolať jednovláknový kód C++.

Vyriešili sme to pomocou vyhradenej architektúry:

• Vlákno-obmedzený spúšťač C++: Všetky volania C++ sú vedené cez jediné vyhradené vlákno pomocou kanála na odovzdávanie správ, čím sa zaisťuje, že jednovláknový invariant nebude nikdy narušený.
• Asynchrónna premosťovacia vrstva Rust: Úlohy Tokio odosielajú prácu vykonávateľovi C++ a čakajú na výsledky prostredníctvom one-shot kanálov, pričom strana Rust zostáva plne asynchrónna.
• Nepriehľadná správa ukazovateľov: Objekty C++ sú zabalené do štruktúr Rust, ktoré implementujú Drop na deterministické čistenie, čím sa zabráni úniku pamäte cez hranice jazyka.
• Serializácia na hranici: Komplexné dátové štruktúry sú serializované do FlatBuffers vo vrstve FFI, čím sa zabráni prispôsobovaniu krehkých štruktúr a umožní sa nezávislý vývoj každej strany.
• Izolácia paniky: Rustova funkcia catch_unwind obalí každý vstupný bod FFI, takže panika nikdy neprekročí jazykovú hranicu, čo by bolo nedefinované správanie.

Tento vzor nám poskytol priepustnosť viacvláknového Rustu so spoľahlivosťou overenej logiky C++ – bez prepisovania jediného riadku pôvodných obchodných pravidiel.

Akým najväčším nástrahám sa treba vyhnúť?

Najnebezpečnejšou chybou je predpokladať, že kód C++ je bezpečný pre vlákna, aj keď tomu tak nie je. Globálny stav, statické premenné a neopakovateľné volania knižníc spôsobia preteky v údajoch, ktoré Rustov kompilátor nedokáže zistiť cez hranicu FFI. Bezpečnostné záruky Rustu sa zastavia pri nebezpečnom bloku – za všetko vo vnútri zodpovedáte vy.

Kľúčový poznatok: Rust zaručuje bezpečnosť pamäte v rámci svojho vlastného kódu, ale v momente, keď prekročíte hranicu FFI do C++, zdedíte každý problém s bezpečnosťou vlákien, ktorý C++ má. Na architektúre okolo tejto hranice záleží viac ako na kóde na jej oboch stranách.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

Ďalším bežným úskalím je celoživotná správa. Objekty C++ sa nezúčastňujú na kontrole výpožičiek Rusta. Ak Rust zahodí referenciu, zatiaľ čo C++ stále drží ukazovateľ, dostanete bez použitia chyby, ktoré sa brutálne ťažko diagnostikujú. Vyriešili sme to presadzovaním prísnej sémantiky vlastníctva: Objekty C++ vždy vlastní presne jeden obal Rust a zdieľaný prístup prebieha cez počítanie referencií na báze Arc na strane Rust.

Z hľadiska výkonu spôsobujú nadmerné volania FFI réžiu z prepínania kontextu a serializácie. Všade, kde je to možné, robíme dávkové operácie, posielame rad pracovných položiek do spúšťača C++ namiesto uskutočňovania individuálnych volaní medzi jazykmi.

Ako sa tento prístup prejavil vo výrobe?

Po nasadení hybridnej architektúry na našej platforme sme zmerali konkrétne zlepšenia. Priepustnosť požiadaviek sa zvýšila 3,4x pre moduly, ktoré predtým obmedzovali sekvenčné spracovanie v C++. Latencia chvosta (p99) klesla o 61 %, pretože asynchrónny runtime Rust dokázal spracovať nezávislé požiadavky súbežne, zatiaľ čo C++ spracovávalo úlohy náročné na výpočtové úlohy vo svojom vyhradenom vlákne.

Dôležitejšie je, že počas prvých šiestich mesiacov výroby sme nemali žiadne chyby súvisiace so súbežnosťou. Vzor zadržiavania vlákien štrukturálne znemožňoval volanie kódu C++ z viacerých vlákien, zatiaľ čo systém typu Rust zabránil dátovým pretekom na svojej strane hranice. Toto bolo významné zlepšenie oproti nášmu predchádzajúcemu prístupu, keď sme sa pokúšali pridať do C++ vlákno pomocou mutexov, čo spôsobilo tri incidenty s pretekaním za jediný štvrťrok.

Technický tím tiež oznámil rýchlejšie cykly iterácií. Nové funkcie mohli byť zabudované v Ruste s plnou podporou súbežnosti, zatiaľ čo existujúce moduly C++ pokračovali v prevádzke bez úprav. Táto prírastková stratégia znamenala, že sme nikdy nemali vysoko rizikovú migráciu „veľkého tresku“ – iba stabilné a merateľné zlepšenie.

Často kladené otázky

Môže Rust volať jednovláknové knižnice C++ bez úprav?

Áno, ale musíte zabezpečiť, aby všetky volania tejto knižnice prebiehali z jedného vlákna. Štandardným vzorom je vytvorenie vyhradeného vlákna spúšťača, ktoré serializuje všetky volania C++ cez kanál. Asynchronické úlohy Rustu odosielajú požiadavky a čakajú na odpovede bez blokovania viacvláknového runtime. Samotný kód C++ nevyžaduje žiadne zmeny – bezpečnostné obmedzenie je plne vynútené na strane Rustu.

Je réžia FFI dostatočne významná na to, aby ovplyvnila výkon aplikácie?

Jednotlivé volania FFI majú minimálnu réžiu – zvyčajne menej ako 10 nanosekúnd pre jednoduché volanie funkcie. Avšak serializácia zložitých dátových štruktúr a synchronizácia vlákien na hranici sa sčítajú, ak vykonáte tisíce jemnozrnných hovorov. Dávkové operácie a používanie serializačných formátov s nulovým počtom kópií, ako sú FlatBuffers alebo Cap'n Proto, udržuje réžiu zanedbateľnú aj pri väčšom rozsahu.

Mali by sme prepísať našu kódovú základňu C++ v jazyku Rust namiesto rozhrania?

Pre väčšinu tímov je inkrementálne prepojenie bezpečnejšou a rýchlejšou cestou. Úplné prepísanie predstavuje mesiace inžinierskeho rizika bez akejkoľvek hodnoty pre používateľa až do dokončenia. Rozhranie vám umožňuje okamžite odoslať vylepšenia, overiť prístup Rust vo výrobe a migrovať moduly jeden po druhom na základe toho, kde súbežnosť prináša najväčší vplyv. Prepíšte len moduly, kde náklady na udržiavanie hranice FFI prevyšujú náklady na prepis.

V spoločnosti Mewayz budujeme infraštruktúru, ktorá sa dá škálovať – technicky aj prevádzkovo. Náš 207-modulový obchodný operačný systém pomáha 138 000 tímom prevádzkovať inteligentnejšie pracovné postupy už od 19 USD mesačne. Či už riadite projekty, automatizujete operácie alebo škálujete svoje podnikanie, Mewayz sa prispôsobí spôsobu vašej práce. Začnite svoju bezplatnú skúšobnú verziu na app.mewayz.com a zistite, čo môže moderný podnikový operačný systém urobiť pre váš tím.