Rust - Tony Bai

标签 Rust 下的文章

为什么 Go 在悄悄地做 Rust 做不到的事：保持简单

十一月 21, 2025
0 条评论

本文永久链接 – https://tonybai.com/2025/11/21/why-go-is-quietly-doing-what-rust-couldnt-staying-simple

大家好，我是Tony Bai。

近日，一篇题为《为什么 Zig 在悄悄地做 Rust 做不到的事：保持简单》的文章在开发者社区引发了热议。文章以其辛辣、富有煽动性的文风，将 Zig 描绘成 Rust 复杂性的“解毒剂”，是“一个终于接受了心理治疗的 C 项目”，并引发了关于“简单性”与“安全性”的深刻辩论。

这不禁让我们——作为 Go 社区的观察者——产生了一个有趣的想法：如果我们将文中的主角 Zig，完全替换为 Go，这篇文章的论点是否依然成立？

Go 语言，在其诞生之初，同样被视为对 C++ 等语言复杂性的“反叛”。它与 Zig 在追求编译速度、二进制简洁性以及“显式优于隐式”的哲学上，有着惊人的相似之处。

于是，我们进行了一次大胆的“思想实验”：在保留原文犀利风格和核心论证结构的前提下，将所有关于 Zig 的部分都替换为 Go，并将代码示例“翻译”为地道的 Go 代码。

这并非意在挑起 Go 与 Rust 之间的“战争”，而是希望通过这样一次“角色扮演”，从一个全新的、极具张力的视角，来重新审视 Go 语言的设计哲学，以及它在现代编程语言光谱中所占据的那个独特、宝贵且时常被误解的位置。

以下，便是这次思想实验的成果。各位小伙伴儿品一品，这样替换后，是不是不仅完美地道出了 Go 在“简单”与“显式”上的坚持，更说出了许多 Gopher 心里想说，却又不好意思直接对 Rust 爱好者说出口的‘真心话’？

Rust 对安全性大声疾呼。Go 只是把它构建了进去——没有那些仪式感、没有那些说教、也没有那 15 分钟的编译时间。

引子

我第一次写 Go 代码的时候，忍不住笑出声来。不是因为它好笑——而是因为我不敢相信，在现代编程世界里，还存在着如此……安静的东西。

在与 Rust “搏斗”多年之后——那门承诺将我们从 C 的苦海中拯救出来，却不知怎的变成了一场性格测试的语言——Go 感觉就像是 Rust 霓虹闪烁的都市中心里，一间温暖、极简的小木屋。

而这，正是关键所在。

Go 并非试图成为未来。它只是想保持理智。

Rust 承诺了天堂，却给了我们一堆文书工作

还记得那股炒作的热潮吗？Rust 是“C 语言杀手”，是内存安全的“弥赛亚”，是系统编程的“救世主”。

平心而论，Rust 确实……算是兑现了。你可以写出快如闪电的安全代码——在你向借用检查器献祭了三只山羊和整个周末的心智健全之后。

你看着这样的代码：

// Rust
fn main() {
    let mut data = vec![1, 2, 3];
    let ref1 = &data;
    data.push(4); // 借用检查器：“凡人，你不能这么做。”
    println!("{:?}", ref1);
}

你会想，为什么？为什么我的编译器听起来像我的前任在解释情感边界？

Rust 像一个严厉的治疗师一样教你所有权。而 Go 呢，只是耸耸肩说：“你搞坏了，你修好它。”

这就是哲学的分水岭。Rust 假设你不可信。Go 假设你是个成年人。

Rust 的才华毋庸置疑——安全、并发、无畏的重构。但它也……让人筋疲力尽。那些仪式感。那些工具链。那种将过度工程伪装成纯粹性的文化。

而 Go 呢，穿着连帽衫，拿着半个三明治出现，说：“嘿，想不想直接把该死的二进制文件构建出来？”

无聊之美

这是大多数人忽略的一点：简单不是一个特性。它是一种反叛。

Go 看起来很无聊。感觉也很无聊。读起来就像一个终于接受了心理治疗的 C 项目。

// Go
package main

import "fmt"

func main() {
    fmt.Println("Hello, World!")
}

就是这样。没有宏。没有 build.rs。没有 Cargo 尖叫着说哪个 crate 过期了。

仅仅。一个。编译器。

其底层呢？一个能让你团队喜极而泣的设计：

没有隐藏的控制流。
没有未定义行为。
** 没有运行时的“惊吓” (No runtime surprises)**。（即，没有像 JIT 或复杂后台进程那样，会产生不可预测行为的“魔法”运行时）
一个像钟表一样精确工作的确定性构建系统。

你可以去读 Go 编译器的源码，并且真的能读懂它。你去试试读 Rust 的编译器源码，那你需要咖啡因、心理治疗和一个祈祷小组。

Go 不性感。它很实用。它是那种你会忘记你正在使用的语言——而这，是最高的赞美。

Rust 扩展了代码库，Go 扩展了人类

说实话吧——Rust 最大的优点也是它最大的诅咒：它迫使你思考。不停地思考。

每一行代码都是一场关于生命周期、可变性和宇宙正义的哲学辩论。

Go 呢？Go 就像是说：“嘿，这是内存。别把自己捅了就行。” (笔者注：Go是GC语言，这句直接替换zig后的表达可能不是很契合)

这很重要。尤其是在团队中。

Rust 感觉像学术界——人们在 Slack 上辩论着 monad，而功能的截止日期却在悄悄溜走。Go 感觉像那个穿着脏兮兮运动鞋、代码却能跑起来的初创公司工程师。

在 Swiggy 这样的规模下，Go 取代了 Java 后端，因为它扩展了开发团队。Go 也许正在悄悄地为系统编程做同样的事情——不是因为它“更好”，而是因为它更人性化。 (笔者注：由于有特定背景局限，这里将zig替换为Go后可能也不是很契合了)

你不需要一块精神白板来在脑中记住 12 条借用规则。你只需要……写。

讽刺的转折：Go 才是 Rust 假装要成为的样子

Rust 将自己营销为“安全的系统编程”。但它实际上是——一个系统框架。

Cargo、crates、宏、过程魔法——这是一个生态系统，而不是一门语言。华丽，但沉重。

Go 把所有这些都剥离了。

没有依赖爆炸。没有语言版本混乱。没有每夜构建的轮盘赌。

最关键的是——Go 的构建系统是如此集成，如此具有确定性，以至于整个 CI/CD 的设置都感觉更清爽了。

Rust 像一座现代大教堂一样构建。Go 像一条工具腰带一样构建。

“Go 不试图保护你。它试图赋予你力量。”

这就是那场安静的反叛。Go 相信你知道自己在做什么——它只给你足够的绳子让你把事情绑在一起，而不是让你上吊。

而讽刺的是什么？Go 中那些“不安全”的部分，在实践中往往最终更安全，因为你能看到一切。没有魔法。没有语法糖。只有原始的意图。

当炒作退去，简单性胜出

每个技术周期都以同样的方式结束。

炒作机器火力全开。Medium 上的文章成倍增加。Meme 如潮水般涌来。然后有一天——凌晨两点，生产环境着火了，你只想知道为什么该死的二进制文件崩溃了。

Rust 给了你安全。但 Go 给了你清晰。

// Go
package main

import (
    "fmt"
    "os"
)

func main() {
    file, err := os.Create("output.txt")
    if err != nil {
        // 你能清晰地看到错误处理
        panic(err)
    }
    defer file.Close()

    _, err = file.WriteString("Explicit is better than implicit.")
    if err != nil {
        panic(err)
    }
}

你简直可以追踪到每一个字节。没有隐藏的分配器。没有神秘之处。

这正是老派 C 开发者所怀念的那种控制感——但现代开发者却忘记了自己也需要这种感觉。

这场安静革命的教训

简单是一种权力。你的语言越可预测，你付出的认知税就越少。
安全不是舒适。Rust 让你感到安全，但筋疲力尽。Go 让你感到暴露，但一切尽在掌握。
你不需要另一个抽象。你需要更少的抽象。
有时，无聊会赢。因为无聊的东西能扩展、能调试、能交付。

最后的思考

Rust 将继续演进。它配得上它的王座。但在某个地方，有一支小团队正在用 Go 构建——没有炒作，没有技术大会演讲，没有花哨的市场营销。

只是在悄悄地编写着那些永不崩溃、编译只需几秒、在生产环境中如幽灵般运行的干净的二进制文件。

这就是没人预见到的转折。Go 并非在与 Rust 的未来竞争。它在复活编程的过去——我们早已遗忘的那些美好部分。

而且，也许，仅仅是也许，这就是它最终获胜的方式。

资料链接：https://freedium-mirror.cfd/@daxx5/why-zig-is-quietly-doing-what-rust-couldnt-staying-simple-a47f86b3a58a

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：

告别低效，重塑开发范式
驾驭AI Agent(Claude Code)，实现工作流自动化
从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码，开启你的AI原生开发之旅。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

想写出更地道、更健壮的Go代码，却总在细节上踩坑？
渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

一次 unwrap() 引发的全球宕机：Cloudflare 故障报告背后的 Rust 安全反思

十一月 19, 2025
0 条评论

本文永久链接 – https://tonybai.com/2025/11/19/cloudflare-18-november-2025-outage

大家好，我是Tony Bai。

2025 年 11 月 18 日，世界标准时间(UTC) 11:20，支撑着全球大量互联网流量的 Cloudflare 网络开始出现严重故障。无数网站和应用的用户，开始频繁地看到那令人心悸的“Internal Server Error (500)”页面。一场席卷全球的互联网宕机事件，就此拉开序幕。

事后，Cloudflare 发布了一份极其详尽、坦诚的故障复盘报告。报告揭示了一个令人震惊、也极具讽刺意味的事实：这场灾难的最终扳机，竟然是新一代代理引擎FL2 中(这里仅针对文中提及的新引擎FL2，受影响的旧引擎FL文中并未提及具体原因)，一段本应代表“内存安全”的 Rust 代码中的 unwrap() 调用。

这起事件，如同一颗投入平静湖面的巨石，激起了关于 Rust 安全模型、系统复杂性、以及“快速失败”哲学的层层涟漪。它迫使我们重新审视一个根本性问题：我们所追求的“内存安全”，真的能让我们高枕无忧吗？

故障的多米诺骨牌：从一个权限变更开始

Cloudflare 的报告清晰地描绘了一条如多米诺骨牌般精准倒下的故障链。令人惊叹的是，这一切的源头，并非黑客攻击，也不是硬件故障，而是一次看似无害的内部变更：

源头：ClickHouse 数据库权限变更 (11:05 UTC)
为了提升查询安全性和可靠性，Cloudflare 的工程师对 ClickHouse 数据库集群进行了一次权限变更。
第一个意外：重复的元数据
这次变更意外地导致了一个用于生成“特征文件”(feature file) 的元数据查询（SELECT name, type FROM system.columns WHERE table = …）开始返回重复的列名。因为该查询忘记了按数据库名进行过滤，而新的权限让它看到了底层 r0 数据库中的重复表结构。
第二个意外：配置文件体积翻倍
这个“特征文件”是 Cloudflare 机器人管理 (Bot Management) 系统机器学习模型的核心输入。由于元数据查询返回了双倍的行数，最终生成的特征文件体积也翻了一倍，从约 60 个特征，激增到了超过 200 个。
第三个意外：触发预分配内存上限
为了极致的性能，Cloudflare 的核心代理服务（包括基于 Rust 的新一代引擎 FL2）会在启动时，为机器人管理模块预分配一块固定大小的内存，用于加载这个特征文件。这个预分配的上限被设置为 200 个特征。
最终扳机：Rust 代码中的 unwrap() 恐慌 (Panic)
当那个体积翻倍的、包含超过 200 个特征的“毒丸”配置文件，被分发到全球的 FL2 服务器上时，灾难发生了。负责加载特征的 Rust 代码，在尝试将超过 200 个特征塞入预分配的 200 大小的缓冲区时，append_with_names 方法返回了一个 Err 结果。然而，调用这段代码的地方，却简单粗暴地使用了 unwrap()。
```
// Cloudflare 报告中展示的 Rust 代码片段
let (feature_values, _) = features
    .append_with_names(&self.config.feature_names)
    .unwrap(); // <- BOOM!
```
unwrap() 的行为是：如果结果是 Ok(value)，则返回 value；如果结果是 Err(error)，则立即让当前线程 panic（恐慌）。
雪崩：5xx 错误与全球宕机
工作线程的 panic，导致了一个未处理的错误。这个错误迅速向上传播，最终导致核心代理系统无法处理依赖于机器人管理模块的流量，并开始向上游返回大量的 HTTP 5xx 错误。多米诺骨牌全部倒下，全球大范围的互联网服务因此中断。

Rust 安全模型的反思：“内存安全”≠“永不崩溃”

这起事件，是对 Rust 安全模型的一次深刻、也是痛苦的“压力测试”。Rust 最引以为傲的“卖点”——内存安全——在这场灾难中，既是“英雄”，也是“恶棍”。

英雄之处：它精确地阻止了更坏的情况

Rust 在这里所做的一切，完全符合其设计哲学。append_with_names 方法正确地检测到了缓冲区溢出的风险，并通过返回一个 Err，阻止了一次潜在的内存损坏。如果这段代码是用 C++ 编写的，一个类似的错误可能会导致缓冲区溢出、数据损坏、甚至远程代码执行等更严重、更难以追踪的安全漏洞。

Rust 成功地将一个未定义的、危险的内存行为，转化为了一个已定义的、可预测的程序崩溃。

恶棍之处：“快速失败”的哲学真的普适吗？

然而，问题恰恰出在 unwrap() 这个“捷径”上。unwrap() 和它的兄弟 expect()，是 Rust “快速失败”(Fail-fast) 哲学的体现。它们背后的假设是：“我相信这种情况永远不会发生，如果发生了，那就是一个程序员无法恢复的、灾难性的逻辑错误，整个程序应该立刻死掉，而不是带着错误的状态继续运行。”

Cloudflare 的工程师们，显然也相信“特征文件永远不会超过 200 个”。

这次事件血淋淋地告诉我们：

在分布式系统中，你所做的“永不发生”的假设，几乎总会在某个时刻、以一种你意想不到的方式被打破。
unwrap() 是一把极其锋利的双刃剑。它在原型开发、测试代码、或处理那些真正代表“程序不变量被破坏”的场景时非常有用。但将其用于处理任何可能由外部输入（即使是内部系统的“外部输入”）而失败的操作，都是在埋下一颗定时炸弹。
Rust 的内存安全，并不能替代全面的错误处理和系统韧性设计。 它只能保证你的程序“死得干净”，而不能保证它“不死”。

更深层次的教训：超越语言的“系统性失败”

将锅完全甩给 Rust 或 unwrap() 是不公平的。这场宕机，是一次典型的、由多个层面小失误共同导致的系统性失败 (Systemic Failure)。

数据库查询的脆弱性：那个元数据查询，为何如此脆弱，以至于一次权限变更就能使其输出加倍？它缺乏对数据库名的过滤，这是一个早已存在的隐患。
配置发布的“零校验”：一个体积异常的配置文件，为何能在没有任何校验和告警的情况下，被迅速分发到全球网络？配置发布管道缺乏基本的“理智检查”。
边界条件的“想当然”：为什么预分配的内存上限是 200？这个“魔法数字”背后的假设是什么？当假设被打破时，为什么没有一个优雅的降级方案（如拒绝加载新配置，继续使用旧配置），而是直接崩溃？
故障域的耦合：机器人管理模块的一次“错误”的特征文件生成，为何能导致核心代理的瘫痪，并进一步影响到 Workers KV 和 Access 等看似不相关的服务？这暴露了系统各组件之间过紧的故障耦合。