Atualizações de sistema A/B (perfeitas)

As atualizações do sistema A/B, também conhecidas como atualizações contínuas, garantem que um sistema de inicialização funcional permaneça no disco durante uma atualização over-the-air (OTA) . Essa abordagem reduz a probabilidade de um dispositivo inativo após uma atualização, o que significa menos substituições e reflashes de dispositivos em centros de reparo e garantia. Outros sistemas operacionais de nível comercial, como o ChromeOS, também usam atualizações A/B com sucesso.

Para obter mais informações sobre atualizações do sistema A/B e como elas funcionam, consulte Seleção de partição (slots) .

As atualizações do sistema A/B oferecem os seguintes benefícios:

  • As atualizações OTA podem ocorrer enquanto o sistema está em execução, sem interromper o usuário. Os usuários podem continuar a usar seus dispositivos durante um OTA – o único tempo de inatividade durante uma atualização é quando o dispositivo é reinicializado na partição de disco atualizada.
  • Após uma atualização, a reinicialização não leva mais tempo do que uma reinicialização normal.
  • Se um OTA não for aplicado (por exemplo, devido a um flash ruim), o usuário não será afetado. O usuário continuará executando o sistema operacional antigo e o cliente poderá tentar novamente a atualização.
  • Se uma atualização OTA for aplicada, mas não for inicializada, o dispositivo será reinicializado na partição antiga e permanecerá utilizável. O cliente está livre para tentar novamente a atualização.
  • Quaisquer erros (como erros de E/S) afetam apenas o conjunto de partições não utilizado e podem ser repetidos. Esses erros também se tornam menos prováveis ​​porque a carga de E/S é deliberadamente baixa para evitar a degradação da experiência do usuário.
  • As atualizações podem ser transmitidas para dispositivos A/B, eliminando a necessidade de baixar o pacote antes de instalá-lo. Streaming significa que não é necessário que o usuário tenha espaço livre suficiente para armazenar o pacote de atualização em /data ou /cache .
  • A partição de cache não é mais usada para armazenar pacotes de atualização OTA, portanto não há necessidade de garantir que a partição de cache seja grande o suficiente para atualizações futuras.
  • dm-verity garante que um dispositivo inicializará uma imagem não corrompida. Se um dispositivo não inicializar devido a um problema de OTA ou dm-verity incorreto, o dispositivo poderá ser reinicializado em uma imagem antiga. ( A inicialização verificada do Android não requer atualizações A/B.)

Sobre atualizações do sistema A/B

As atualizações A/B exigem alterações no cliente e no sistema. O servidor de pacotes OTA, entretanto, não deve exigir alterações: os pacotes de atualização ainda são servidos por HTTPS. Para dispositivos que utilizam a infraestrutura OTA do Google, as alterações do sistema são todas no AOSP e o código do cliente é fornecido pelo Google Play Services. Os OEMs que não utilizam a infraestrutura OTA do Google poderão reutilizar o código do sistema AOSP, mas precisarão fornecer seu próprio cliente.

Para OEMs que fornecem seu próprio cliente, o cliente precisa:

  • Decida quando fazer uma atualização. Como as atualizações A/B acontecem em segundo plano, elas não são mais iniciadas pelo usuário. Para não atrapalhar os usuários, é recomendado que as atualizações sejam agendadas quando o dispositivo estiver em modo de manutenção ocioso, como durante a noite, e em Wi-Fi. No entanto, seu cliente pode usar qualquer heurística que desejar.
  • Verifique com seus servidores de pacotes OTA e determine se uma atualização está disponível. Deve ser basicamente igual ao seu código de cliente existente, exceto que você desejará sinalizar que o dispositivo suporta A/B. (O cliente do Google também inclui um botão Verificar agora para que os usuários verifiquem a atualização mais recente.)
  • Chame update_engine com a URL HTTPS do seu pacote de atualização, supondo que um esteja disponível. update_engine atualizará os blocos brutos na partição atualmente não utilizada à medida que transmite o pacote de atualização.
  • Relate sucessos ou falhas de instalação aos seus servidores, com base no código de resultado update_engine . Se a atualização for aplicada com sucesso, update_engine dirá ao bootloader para inicializar no novo sistema operacional na próxima reinicialização. O bootloader retornará ao sistema operacional antigo se o novo sistema operacional falhar na inicialização, portanto, nenhum trabalho será necessário do cliente. Se a atualização falhar, o cliente precisará decidir quando (e se) tentar novamente, com base no código de erro detalhado. Por exemplo, um bom cliente poderia reconhecer que um pacote OTA parcial ("diff") falha e tentar um pacote OTA completo.

Opcionalmente, o cliente pode:

  • Mostrar uma notificação solicitando ao usuário que reinicie. Se você quiser implementar uma política em que o usuário seja incentivado a atualizar rotineiramente, essa notificação poderá ser adicionada ao seu cliente. Se o cliente não avisar os usuários, eles receberão a atualização na próxima vez que reinicializarem. (O cliente do Google tem um atraso configurável por atualização.)
  • Mostre uma notificação informando aos usuários se eles inicializaram em uma nova versão do sistema operacional ou se era esperado que o fizessem, mas voltaram para a versão antiga do sistema operacional. (O cliente do Google normalmente não faz nada disso.)

Do lado do sistema, as atualizações do sistema A/B afetam o seguinte:

  • Seleção de partição (slots), o daemon update_engine e interações do bootloader (descritas abaixo)
  • Processo de construção e geração de pacote de atualização OTA (descrito em Implementação de atualizações A/B )

Seleção de partição (slots)

As atualizações do sistema A/B usam dois conjuntos de partições chamados slots (normalmente slot A e slot B). O sistema é executado no slot atual enquanto as partições no slot não utilizado não são acessadas pelo sistema em execução durante a operação normal. Essa abordagem torna as atualizações resistentes a falhas, mantendo o slot não utilizado como alternativa: se ocorrer um erro durante ou imediatamente após uma atualização, o sistema poderá reverter para o slot antigo e continuar a ter um sistema funcionando. Para atingir esse objetivo, nenhuma partição usada pelo slot atual deve ser atualizada como parte da atualização OTA (incluindo partições para as quais haja apenas uma cópia).

Cada slot possui um atributo inicializável que indica se o slot contém um sistema correto a partir do qual o dispositivo pode inicializar. O slot atual é inicializável quando o sistema está em execução, mas o outro slot pode ter uma versão antiga (ainda correta) do sistema, uma versão mais recente ou dados inválidos. Independentemente de qual seja o slot atual , existe um slot que é o slot ativo (aquele a partir do qual o bootloader inicializará na próxima inicialização) ou o slot preferencial .

Cada slot também possui um atributo de sucesso definido pelo espaço do usuário, que é relevante apenas se o slot também for inicializável. Um slot bem-sucedido deve ser capaz de inicializar, executar e atualizar-se. Um slot inicializável que não foi marcado como bem-sucedido (após várias tentativas de inicialização a partir dele) deve ser marcado como não inicializável pelo gerenciador de inicialização, incluindo a alteração do slot ativo para outro slot inicializável (normalmente para o slot em execução imediatamente antes da tentativa de inicialização no novo e ativo). Os detalhes específicos da interface são definidos em boot_control.h .

Atualizar daemon do mecanismo

As atualizações do sistema A/B usam um daemon em segundo plano chamado update_engine para preparar o sistema para inicializar em uma versão nova e atualizada. Este daemon pode executar as seguintes ações:

  • Leia as partições do slot A/B atuais e grave quaisquer dados nas partições do slot A/B não utilizadas, conforme instruído pelo pacote OTA.
  • Chame a interface boot_control em um fluxo de trabalho predefinido.
  • Execute um programa de pós-instalação a partir da nova partição depois de gravar todas as partições de slot não utilizadas, conforme instruído pelo pacote OTA. (Para obter detalhes, consulte Pós-instalação ).

Como o daemon update_engine não está envolvido no processo de inicialização em si, ele é limitado no que pode fazer durante uma atualização pelas políticas e recursos do SELinux no slot atual (tais políticas e recursos não podem ser atualizados até que o sistema inicialize em um nova versão). Para manter um sistema robusto, o processo de atualização não deve modificar a tabela de partições, o conteúdo das partições no slot atual ou o conteúdo de partições não A/B que não podem ser apagadas com uma redefinição de fábrica.

Atualizar fonte do mecanismo

A fonte update_engine está localizada em system/update_engine . Os arquivos dexopt A/B OTA são divididos entre installd e um gerenciador de pacotes:

Para obter um exemplo prático, consulte /device/google/marlin/device-common.mk .

Atualizar registros do mecanismo

Para versões do Android 8.x e anteriores, os logs update_engine podem ser encontrados no logcat e no relatório de bug. Para disponibilizar os logs update_engine no sistema de arquivos, corrija as seguintes alterações em sua compilação:

Essas alterações salvam uma cópia do log update_engine mais recente em /data/misc/update_engine_log/update_engine. YEAR - TIME . Além do log atual, os cinco logs mais recentes são salvos em /data/misc/update_engine_log/ . Os usuários com o ID do grupo de logs poderão acessar os logs do sistema de arquivos.

Interações do bootloader

O boot_control HAL é usado por update_engine (e possivelmente outros daemons) para instruir o bootloader sobre como inicializar. Cenários de exemplo comuns e seus estados associados incluem o seguinte:

  • Caso normal : O sistema está funcionando no slot atual, seja no slot A ou B. Nenhuma atualização foi aplicada até o momento. O slot atual do sistema é inicializável, bem-sucedido e é o slot ativo.
  • Atualização em andamento : O sistema está sendo executado no slot B, portanto, o slot B é o slot inicializável, bem-sucedido e ativo. O slot A foi marcado como não inicializável porque o conteúdo do slot A está sendo atualizado, mas ainda não foi concluído. Uma reinicialização neste estado deverá continuar a inicialização a partir do slot B.
  • Atualização aplicada, reinicialização pendente : O sistema está sendo executado no slot B, o slot B é inicializável e bem-sucedido, mas o slot A foi marcado como ativo (e, portanto, está marcado como inicializável). O slot A ainda não está marcado como bem-sucedido e algumas tentativas de inicialização a partir do slot A devem ser feitas pelo gerenciador de inicialização.
  • Sistema reinicializado em nova atualização : O sistema está sendo executado no slot A pela primeira vez, o slot B ainda é inicializável e bem-sucedido, enquanto o slot A é apenas inicializável e ainda ativo, mas sem sucesso. Um daemon de espaço do usuário, update_verifier , deve marcar o slot A como bem-sucedido após algumas verificações serem feitas.

Suporte para atualização de streaming

Os dispositivos dos usuários nem sempre têm espaço suficiente em /data para baixar o pacote de atualização. Como nem os OEMs nem os usuários querem desperdiçar espaço em uma partição /cache , alguns usuários ficam sem atualizações porque o dispositivo não tem onde armazenar o pacote de atualização. Para resolver esse problema, o Android 8.0 adicionou suporte para streaming de atualizações A/B que gravam blocos diretamente na partição B à medida que são baixados, sem a necessidade de armazenar os blocos em /data . As atualizações A/B de streaming quase não precisam de armazenamento temporário e exigem armazenamento suficiente para aproximadamente 100 KiB de metadados.

Para habilitar atualizações de streaming no Android 7.1, escolha os seguintes patches:

Esses patches são necessários para oferecer suporte ao streaming de atualizações A/B no Android 7.1 e posterior, seja usando o Google Mobile Services (GMS) ou qualquer outro cliente de atualização.

Vida de uma atualização A/B

O processo de atualização começa quando um pacote OTA (referido no código como carga útil ) está disponível para download. As políticas no dispositivo podem adiar o download da carga e o aplicativo com base no nível da bateria, na atividade do usuário, no status de carregamento ou em outras políticas. Além disso, como a atualização é executada em segundo plano, os usuários podem não saber que uma atualização está em andamento. Tudo isso significa que o processo de atualização pode ser interrompido a qualquer momento devido a políticas, reinicializações inesperadas ou ações do usuário.

Opcionalmente, os metadados no próprio pacote OTA indicam que a atualização pode ser transmitida; o mesmo pacote também pode ser usado para instalação sem streaming. O servidor pode usar os metadados para informar ao cliente que está transmitindo, para que o cliente entregue o OTA para update_engine corretamente. Os fabricantes de dispositivos com seus próprios servidores e clientes podem habilitar atualizações de streaming garantindo que o servidor identifique que a atualização está sendo transmitida (ou suponha que todas as atualizações sejam transmitidas) e que o cliente faça a chamada correta para update_engine para streaming. Os fabricantes podem usar o fato de o pacote ser da variante streaming para enviar um sinalizador ao cliente para acionar a transferência para o lado da estrutura como streaming.

Depois que uma carga estiver disponível, o processo de atualização será o seguinte:

Etapa Atividades
1 O slot atual (ou "slot de origem") é marcado como bem-sucedido (se ainda não estiver marcado) com markBootSuccessful() .
2 O slot não utilizado (ou "slot de destino") é marcado como não inicializável chamando a função setSlotAsUnbootable() . O slot atual é sempre marcado como bem-sucedido no início da atualização para evitar que o bootloader volte para o slot não utilizado, que em breve terá dados inválidos. Se o sistema atingiu o ponto em que pode começar a aplicar uma atualização, o slot atual será marcado como bem-sucedido, mesmo que outros componentes principais estejam quebrados (como a interface do usuário em um loop de travamento), pois é possível enviar novo software para corrigir esses problemas. problemas.

A carga de atualização é um blob opaco com as instruções para atualizar para a nova versão. A carga de atualização consiste no seguinte:
  • Metadados . Uma parte relativamente pequena da carga de atualização, os metadados contêm uma lista de operações para produzir e verificar a nova versão no slot de destino. Por exemplo, uma operação poderia descompactar um determinado blob e gravá-lo em blocos específicos em uma partição de destino, ou ler de uma partição de origem, aplicar um patch binário e gravar em determinados blocos em uma partição de destino.
  • Dados extras . Como a maior parte da carga de atualização, os dados extras associados às operações consistem no blob compactado ou no patch binário nestes exemplos.
3 Os metadados da carga útil são baixados.
4 Para cada operação definida nos metadados, em ordem, os dados associados (se houver) são baixados para a memória, a operação é aplicada e a memória associada é descartada.
5 Todas as partições são relidas e verificadas em relação ao hash esperado.
6 A etapa pós-instalação (se houver) é executada. No caso de um erro durante a execução de qualquer etapa, a atualização falha e é tentada novamente com possivelmente uma carga diferente. Se todas as etapas até agora tiverem sido bem-sucedidas, a atualização será bem-sucedida e a última etapa será executada.
7 O slot não utilizado é marcado como ativo chamando setActiveBootSlot() . Marcar o slot não utilizado como ativo não significa que a inicialização será concluída. O bootloader (ou o próprio sistema) pode retornar o slot ativo se não ler um estado de sucesso.
8 A pós-instalação (descrita abaixo) envolve a execução de um programa da versão "nova atualização" enquanto ainda está em execução na versão antiga. Se definido no pacote OTA, este passo é obrigatório e o programa deve retornar com código de saída 0 ; caso contrário, a atualização falhará.
9 Depois que o sistema for inicializado com êxito no novo slot e concluir as verificações pós-reinicialização, o slot agora atual (anteriormente o "slot de destino") será marcado como bem-sucedido chamando markBootSuccessful() .

Pós-instalação

Para cada partição onde uma etapa pós-instalação é definida, update_engine monta a nova partição em um local específico e executa o programa especificado no OTA relativo à partição montada. Por exemplo, se o programa pós-instalação for definido como usr/bin/postinstall na partição do sistema, esta partição do slot não utilizado será montada em um local fixo (como /postinstall_mount ) e o /postinstall_mount/usr/bin/postinstall O comando /postinstall_mount/usr/bin/postinstall é executado.

Para que a pós-instalação seja bem-sucedida, o kernel antigo deve ser capaz de:

  • Monte o novo formato do sistema de arquivos . O tipo de sistema de arquivos não pode ser alterado a menos que haja suporte para ele no kernel antigo, incluindo detalhes como o algoritmo de compactação usado se estiver usando um sistema de arquivos compactado (ou seja, SquashFS).
  • Entenda o formato do programa pós-instalação da nova partição . Se estiver usando um binário Executable and Linkable Format (ELF), ele deve ser compatível com o kernel antigo (por exemplo, um novo programa de 64 bits rodando em um kernel antigo de 32 bits se a arquitetura mudou de compilações de 32 para 64 bits). A menos que o carregador ( ld ) seja instruído a usar outros caminhos ou construir um binário estático, as bibliotecas serão carregadas a partir da imagem antiga do sistema e não da nova.

Por exemplo, você poderia usar um script shell como um programa pós-instalação interpretado pelo binário shell do sistema antigo com um #! marcador na parte superior) e, em seguida, configure os caminhos da biblioteca do novo ambiente para executar um programa binário de pós-instalação mais complexo. Como alternativa, você pode executar a etapa de pós-instalação a partir de uma partição menor dedicada para permitir que o formato do sistema de arquivos na partição principal do sistema seja atualizado sem incorrer em problemas de compatibilidade com versões anteriores ou atualizações intermediárias; isso permitiria que os usuários atualizassem diretamente para a versão mais recente a partir de uma imagem de fábrica.

O novo programa pós-instalação é limitado pelas políticas do SELinux definidas no sistema antigo. Como tal, a etapa de pós-instalação é adequada para executar tarefas exigidas pelo design em um determinado dispositivo ou outras tarefas de melhor esforço (ou seja, atualizar o firmware ou bootloader compatível com A/B, preparar cópias de bancos de dados para a nova versão, etc.). ). A etapa pós-instalação não é adequada para correções únicas de bugs antes da reinicialização que exigem permissões imprevistas.

O programa pós-instalação selecionado é executado no contexto postinstall do SELinux. Todos os arquivos na nova partição montada serão marcados com postinstall_file , independentemente de quais sejam seus atributos após a reinicialização nesse novo sistema. As alterações nos atributos do SELinux no novo sistema não afetarão a etapa pós-instalação. Se o programa pós-instalação precisar de permissões extras, elas deverão ser adicionadas ao contexto pós-instalação.

Após a reinicialização

Após a reinicialização, update_verifier aciona a verificação de integridade usando dm-verity. Essa verificação começa antes do zigoto para evitar que os serviços Java façam alterações irreversíveis que impediriam uma reversão segura. Durante este processo, o bootloader e o kernel também podem acionar uma reinicialização se a inicialização verificada ou o dm-verity detectarem qualquer corrupção. Após a conclusão da verificação, update_verifier marca a inicialização com sucesso.

update_verifier lerá apenas os blocos listados em /data/ota_package/care_map.txt , que está incluído em um pacote A/B OTA ao usar o código AOSP. O cliente de atualização do sistema Java, como GmsCore, extrai care_map.txt , configura a permissão de acesso antes de reinicializar o dispositivo e exclui o arquivo extraído depois que o sistema inicializa com sucesso na nova versão.