LinuxカーネルでRustを書く方法：パート3

概要

Linuxカーネル でRustドライバを実装する際、 CとRustのインターフェース が重要
複雑なデバイス制御には、 メモリ確保・ロック・自己参照構造体 などのAPI利用が必須
Rustは FFI（Foreign Function Interface） でC関数を呼び出せるが、直接利用には問題点
- 例：__always_inline関数や非慣用的API、メモリ解放・ロック処理の違い
初期設計段階で、 各サブシステムごとに中央集約的なRustバインディング を用意する方針を採用
この統一バインディングにより、 学習コスト低減・安全性向上・一元的なレビュー が可能

RustもC同様、 ローカル変数はスタック配置 が基本
カーネル空間では ヒープ確保 が不可欠で、 kernel::allocモジュール を利用
主なヒープ確保方法
- Kmalloc: 物理的に連続したメモリ確保
- Vmalloc: 仮想的に連続したメモリ確保
- KVmalloc: まず物理連続を試み、失敗時に仮想連続へフォールバック
どの方式でも、Rust側には 仮想アドレス空間のポインタ が提供される
各アロケータは Allocatorインターフェース を実装し、BoxやVec型の安全な確保が可能
- 例： KBox, KVBox, VVec などのエイリアス
- 参照カウント付き確保には Arc を利用
割り当て時の挙動制御 （ブロック可否・ゾーン指定など）は kernel::alloc::flags で指定
メモリ確保関数は Result型 で失敗時のエラー処理を明示
- 例：let boxed_integer: Result<KBox<u64>, AllocError> = KBox::new(42, GFP_KERNEL);

CにはRustの ジェネリック型 に相当するものがなく、Rust独自の強み
Result型 のように、成功時・失敗時の型を明示することで 型安全性 を担保
Box系スマートポインタは 初期化必須・自動解放 など、安全なヒープ管理を実現
- 明示的に寿命を延長したい場合は leak()やinto_raw() などで制御
未初期化領域の確保 には MaybeUninit を活用
- ユーザ空間バッファの確保などに利用

カーネルには 自己参照構造体 （例：ダブルリンクリスト）が多数存在
Rustでは Pin型 を用いて「移動不可」を明示し、不変性を保証
- CからRustへ自己参照構造体を渡す際は Pinでラップ が必須
- Arc など一部APIは暗黙的にPinを含む
Pinを省略すると安全性が損なわれ、 メモリ破壊リスク が発生
複雑な初期化を簡便にするため、 pin_init!(), try_pin_init!()マクロ を用意
- #[pin_data], #[pin] アノテーションと併用
- PinInit型 で部分的にピン留めした構造体の初期化フローを構築

ユーザ空間Rustでは、 ロックと保護対象データを一体化 した設計が主流
- 例： Mutex が保護対象データを直接内包
カーネルRust APIもこの思想を反映し、 Mutex, Spinlock, RCUロック などを提供
- LockedBy, GlobalLockedBy 型でロックとデータの分離にも対応
- Rustの ライフタイムシステム で「ロック取得中のみアクセス可」を保証
カーネル内部のロックデバッグ機構（lockdep）と連携し、 自動検証 を実現
- ロックの初期化には lockdepクラスキー が必須
- ロック自体も 自己参照構造体 となるため、Pinが必要
具体的なロック利用例
- Mutexのlock() でガードを取得し、スコープ内でのみデータ操作が可能
- ガードがスコープを抜けると 自動でロック解放
- Cで定義されたロックも同様の流れで扱えるが、 LockedBy などで追加の参照管理が必要