xfs: Always flush caches when integrity is required
[platform/kernel/linux-rpi.git] / Documentation / filesystems / xfs.txt
1
2 The SGI XFS Filesystem
3 ======================
4
5 XFS is a high performance journaling filesystem which originated
6 on the SGI IRIX platform.  It is completely multi-threaded, can
7 support large files and large filesystems, extended attributes,
8 variable block sizes, is extent based, and makes extensive use of
9 Btrees (directories, extents, free space) to aid both performance
10 and scalability.
11
12 Refer to the documentation at http://oss.sgi.com/projects/xfs/
13 for further details.  This implementation is on-disk compatible
14 with the IRIX version of XFS.
15
16
17 Mount Options
18 =============
19
20 When mounting an XFS filesystem, the following options are accepted.
21 For boolean mount options, the names with the (*) suffix is the
22 default behaviour.
23
24   allocsize=size
25         Sets the buffered I/O end-of-file preallocation size when
26         doing delayed allocation writeout (default size is 64KiB).
27         Valid values for this option are page size (typically 4KiB)
28         through to 1GiB, inclusive, in power-of-2 increments.
29
30         The default behaviour is for dynamic end-of-file
31         preallocation size, which uses a set of heuristics to
32         optimise the preallocation size based on the current
33         allocation patterns within the file and the access patterns
34         to the file. Specifying a fixed allocsize value turns off
35         the dynamic behaviour.
36
37   attr2
38   noattr2
39         The options enable/disable an "opportunistic" improvement to
40         be made in the way inline extended attributes are stored
41         on-disk.  When the new form is used for the first time when
42         attr2 is selected (either when setting or removing extended
43         attributes) the on-disk superblock feature bit field will be
44         updated to reflect this format being in use.
45
46         The default behaviour is determined by the on-disk feature
47         bit indicating that attr2 behaviour is active. If either
48         mount option it set, then that becomes the new default used
49         by the filesystem.
50
51         CRC enabled filesystems always use the attr2 format, and so
52         will reject the noattr2 mount option if it is set.
53
54   barrier (*)
55   nobarrier
56         Enables/disables the use of block layer write barriers for
57         writes into the journal and for data integrity operations.
58         This allows for drive level write caching to be enabled, for
59         devices that support write barriers.
60
61   discard
62   nodiscard (*)
63         Enable/disable the issuing of commands to let the block
64         device reclaim space freed by the filesystem.  This is
65         useful for SSD devices, thinly provisioned LUNs and virtual
66         machine images, but may have a performance impact.
67
68         Note: It is currently recommended that you use the fstrim
69         application to discard unused blocks rather than the discard
70         mount option because the performance impact of this option
71         is quite severe.
72
73   grpid/bsdgroups
74   nogrpid/sysvgroups (*)
75         These options define what group ID a newly created file
76         gets.  When grpid is set, it takes the group ID of the
77         directory in which it is created; otherwise it takes the
78         fsgid of the current process, unless the directory has the
79         setgid bit set, in which case it takes the gid from the
80         parent directory, and also gets the setgid bit set if it is
81         a directory itself.
82
83   filestreams
84         Make the data allocator use the filestreams allocation mode
85         across the entire filesystem rather than just on directories
86         configured to use it.
87
88   ikeep
89   noikeep (*)
90         When ikeep is specified, XFS does not delete empty inode
91         clusters and keeps them around on disk.  When noikeep is
92         specified, empty inode clusters are returned to the free
93         space pool.
94
95   inode32
96   inode64 (*)
97         When inode32 is specified, it indicates that XFS limits
98         inode creation to locations which will not result in inode
99         numbers with more than 32 bits of significance.
100
101         When inode64 is specified, it indicates that XFS is allowed
102         to create inodes at any location in the filesystem,
103         including those which will result in inode numbers occupying
104         more than 32 bits of significance. 
105
106         inode32 is provided for backwards compatibility with older
107         systems and applications, since 64 bits inode numbers might
108         cause problems for some applications that cannot handle
109         large inode numbers.  If applications are in use which do
110         not handle inode numbers bigger than 32 bits, the inode32
111         option should be specified.
112
113
114   largeio
115   nolargeio (*)
116         If "nolargeio" is specified, the optimal I/O reported in
117         st_blksize by stat(2) will be as small as possible to allow
118         user applications to avoid inefficient read/modify/write
119         I/O.  This is typically the page size of the machine, as
120         this is the granularity of the page cache.
121
122         If "largeio" specified, a filesystem that was created with a
123         "swidth" specified will return the "swidth" value (in bytes)
124         in st_blksize. If the filesystem does not have a "swidth"
125         specified but does specify an "allocsize" then "allocsize"
126         (in bytes) will be returned instead. Otherwise the behaviour
127         is the same as if "nolargeio" was specified.
128
129   logbufs=value
130         Set the number of in-memory log buffers.  Valid numbers
131         range from 2-8 inclusive.
132
133         The default value is 8 buffers.
134
135         If the memory cost of 8 log buffers is too high on small
136         systems, then it may be reduced at some cost to performance
137         on metadata intensive workloads. The logbsize option below
138         controls the size of each buffer and so is also relevant to
139         this case.
140
141   logbsize=value
142         Set the size of each in-memory log buffer.  The size may be
143         specified in bytes, or in kilobytes with a "k" suffix.
144         Valid sizes for version 1 and version 2 logs are 16384 (16k)
145         and 32768 (32k).  Valid sizes for version 2 logs also
146         include 65536 (64k), 131072 (128k) and 262144 (256k). The
147         logbsize must be an integer multiple of the log
148         stripe unit configured at mkfs time.
149
150         The default value for for version 1 logs is 32768, while the
151         default value for version 2 logs is MAX(32768, log_sunit).
152
153   logdev=device and rtdev=device
154         Use an external log (metadata journal) and/or real-time device.
155         An XFS filesystem has up to three parts: a data section, a log
156         section, and a real-time section.  The real-time section is
157         optional, and the log section can be separate from the data
158         section or contained within it.
159
160   noalign
161         Data allocations will not be aligned at stripe unit
162         boundaries. This is only relevant to filesystems created
163         with non-zero data alignment parameters (sunit, swidth) by
164         mkfs.
165
166   norecovery
167         The filesystem will be mounted without running log recovery.
168         If the filesystem was not cleanly unmounted, it is likely to
169         be inconsistent when mounted in "norecovery" mode.
170         Some files or directories may not be accessible because of this.
171         Filesystems mounted "norecovery" must be mounted read-only or
172         the mount will fail.
173
174   nouuid
175         Don't check for double mounted file systems using the file
176         system uuid.  This is useful to mount LVM snapshot volumes,
177         and often used in combination with "norecovery" for mounting
178         read-only snapshots.
179
180   noquota
181         Forcibly turns off all quota accounting and enforcement
182         within the filesystem.
183
184   uquota/usrquota/uqnoenforce/quota
185         User disk quota accounting enabled, and limits (optionally)
186         enforced.  Refer to xfs_quota(8) for further details.
187
188   gquota/grpquota/gqnoenforce
189         Group disk quota accounting enabled and limits (optionally)
190         enforced.  Refer to xfs_quota(8) for further details.
191
192   pquota/prjquota/pqnoenforce
193         Project disk quota accounting enabled and limits (optionally)
194         enforced.  Refer to xfs_quota(8) for further details.
195
196   sunit=value and swidth=value
197         Used to specify the stripe unit and width for a RAID device
198         or a stripe volume.  "value" must be specified in 512-byte
199         block units. These options are only relevant to filesystems
200         that were created with non-zero data alignment parameters.
201
202         The sunit and swidth parameters specified must be compatible
203         with the existing filesystem alignment characteristics.  In
204         general, that means the only valid changes to sunit are
205         increasing it by a power-of-2 multiple. Valid swidth values
206         are any integer multiple of a valid sunit value.
207
208         Typically the only time these mount options are necessary if
209         after an underlying RAID device has had it's geometry
210         modified, such as adding a new disk to a RAID5 lun and
211         reshaping it.
212
213   swalloc
214         Data allocations will be rounded up to stripe width boundaries
215         when the current end of file is being extended and the file
216         size is larger than the stripe width size.
217
218   wsync
219         When specified, all filesystem namespace operations are
220         executed synchronously. This ensures that when the namespace
221         operation (create, unlink, etc) completes, the change to the
222         namespace is on stable storage. This is useful in HA setups
223         where failover must not result in clients seeing
224         inconsistent namespace presentation during or after a
225         failover event.
226
227
228 Deprecated Mount Options
229 ========================
230
231 None at present.
232
233
234 Removed Mount Options
235 =====================
236
237   Name                          Removed
238   ----                          -------
239   delaylog/nodelaylog           v4.0
240   ihashsize                     v4.0
241   irixsgid                      v4.0
242   osyncisdsync/osyncisosync     v4.0
243
244
245 sysctls
246 =======
247
248 The following sysctls are available for the XFS filesystem:
249
250   fs.xfs.stats_clear            (Min: 0  Default: 0  Max: 1)
251         Setting this to "1" clears accumulated XFS statistics
252         in /proc/fs/xfs/stat.  It then immediately resets to "0".
253
254   fs.xfs.xfssyncd_centisecs     (Min: 100  Default: 3000  Max: 720000)
255         The interval at which the filesystem flushes metadata
256         out to disk and runs internal cache cleanup routines.
257
258   fs.xfs.filestream_centisecs   (Min: 1  Default: 3000  Max: 360000)
259         The interval at which the filesystem ages filestreams cache
260         references and returns timed-out AGs back to the free stream
261         pool.
262
263   fs.xfs.speculative_prealloc_lifetime
264                 (Units: seconds   Min: 1  Default: 300  Max: 86400)
265         The interval at which the background scanning for inodes
266         with unused speculative preallocation runs. The scan
267         removes unused preallocation from clean inodes and releases
268         the unused space back to the free pool.
269
270   fs.xfs.error_level            (Min: 0  Default: 3  Max: 11)
271         A volume knob for error reporting when internal errors occur.
272         This will generate detailed messages & backtraces for filesystem
273         shutdowns, for example.  Current threshold values are:
274
275                 XFS_ERRLEVEL_OFF:       0
276                 XFS_ERRLEVEL_LOW:       1
277                 XFS_ERRLEVEL_HIGH:      5
278
279   fs.xfs.panic_mask             (Min: 0  Default: 0  Max: 255)
280         Causes certain error conditions to call BUG(). Value is a bitmask;
281         OR together the tags which represent errors which should cause panics:
282
283                 XFS_NO_PTAG                     0
284                 XFS_PTAG_IFLUSH                 0x00000001
285                 XFS_PTAG_LOGRES                 0x00000002
286                 XFS_PTAG_AILDELETE              0x00000004
287                 XFS_PTAG_ERROR_REPORT           0x00000008
288                 XFS_PTAG_SHUTDOWN_CORRUPT       0x00000010
289                 XFS_PTAG_SHUTDOWN_IOERROR       0x00000020
290                 XFS_PTAG_SHUTDOWN_LOGERROR      0x00000040
291                 XFS_PTAG_FSBLOCK_ZERO           0x00000080
292
293         This option is intended for debugging only.
294
295   fs.xfs.irix_symlink_mode      (Min: 0  Default: 0  Max: 1)
296         Controls whether symlinks are created with mode 0777 (default)
297         or whether their mode is affected by the umask (irix mode).
298
299   fs.xfs.irix_sgid_inherit      (Min: 0  Default: 0  Max: 1)
300         Controls files created in SGID directories.
301         If the group ID of the new file does not match the effective group
302         ID or one of the supplementary group IDs of the parent dir, the
303         ISGID bit is cleared if the irix_sgid_inherit compatibility sysctl
304         is set.
305
306   fs.xfs.inherit_sync           (Min: 0  Default: 1  Max: 1)
307         Setting this to "1" will cause the "sync" flag set
308         by the xfs_io(8) chattr command on a directory to be
309         inherited by files in that directory.
310
311   fs.xfs.inherit_nodump         (Min: 0  Default: 1  Max: 1)
312         Setting this to "1" will cause the "nodump" flag set
313         by the xfs_io(8) chattr command on a directory to be
314         inherited by files in that directory.
315
316   fs.xfs.inherit_noatime        (Min: 0  Default: 1  Max: 1)
317         Setting this to "1" will cause the "noatime" flag set
318         by the xfs_io(8) chattr command on a directory to be
319         inherited by files in that directory.
320
321   fs.xfs.inherit_nosymlinks     (Min: 0  Default: 1  Max: 1)
322         Setting this to "1" will cause the "nosymlinks" flag set
323         by the xfs_io(8) chattr command on a directory to be
324         inherited by files in that directory.
325
326   fs.xfs.inherit_nodefrag       (Min: 0  Default: 1  Max: 1)
327         Setting this to "1" will cause the "nodefrag" flag set
328         by the xfs_io(8) chattr command on a directory to be
329         inherited by files in that directory.
330
331   fs.xfs.rotorstep              (Min: 1  Default: 1  Max: 256)
332         In "inode32" allocation mode, this option determines how many
333         files the allocator attempts to allocate in the same allocation
334         group before moving to the next allocation group.  The intent
335         is to control the rate at which the allocator moves between
336         allocation groups when allocating extents for new files.
337
338 Deprecated Sysctls
339 ==================
340
341 None at present.
342
343
344 Removed Sysctls
345 ===============
346
347   Name                          Removed
348   ----                          -------
349   fs.xfs.xfsbufd_centisec       v4.0
350   fs.xfs.age_buffer_centisecs   v4.0
351
352
353 Error handling
354 ==============
355
356 XFS can act differently according to the type of error found during its
357 operation. The implementation introduces the following concepts to the error
358 handler:
359
360  -failure speed:
361         Defines how fast XFS should propagate an error upwards when a specific
362         error is found during the filesystem operation. It can propagate
363         immediately, after a defined number of retries, after a set time period,
364         or simply retry forever.
365
366  -error classes:
367         Specifies the subsystem the error configuration will apply to, such as
368         metadata IO or memory allocation. Different subsystems will have
369         different error handlers for which behaviour can be configured.
370
371  -error handlers:
372         Defines the behavior for a specific error.
373
374 The filesystem behavior during an error can be set via sysfs files. Each
375 error handler works independently - the first condition met by an error handler
376 for a specific class will cause the error to be propagated rather than reset and
377 retried.
378
379 The action taken by the filesystem when the error is propagated is context
380 dependent - it may cause a shut down in the case of an unrecoverable error,
381 it may be reported back to userspace, or it may even be ignored because
382 there's nothing useful we can with the error or anyone we can report it to (e.g.
383 during unmount).
384
385 The configuration files are organized into the following hierarchy for each
386 mounted filesystem:
387
388   /sys/fs/xfs/<dev>/error/<class>/<error>/
389
390 Where:
391   <dev>
392         The short device name of the mounted filesystem. This is the same device
393         name that shows up in XFS kernel error messages as "XFS(<dev>): ..."
394
395   <class>
396         The subsystem the error configuration belongs to. As of 4.9, the defined
397         classes are:
398
399                 - "metadata": applies metadata buffer write IO
400
401   <error>
402         The individual error handler configurations.
403
404
405 Each filesystem has "global" error configuration options defined in their top
406 level directory:
407
408   /sys/fs/xfs/<dev>/error/
409
410   fail_at_unmount               (Min:  0  Default:  1  Max: 1)
411         Defines the filesystem error behavior at unmount time.
412
413         If set to a value of 1, XFS will override all other error configurations
414         during unmount and replace them with "immediate fail" characteristics.
415         i.e. no retries, no retry timeout. This will always allow unmount to
416         succeed when there are persistent errors present.
417
418         If set to 0, the configured retry behaviour will continue until all
419         retries and/or timeouts have been exhausted. This will delay unmount
420         completion when there are persistent errors, and it may prevent the
421         filesystem from ever unmounting fully in the case of "retry forever"
422         handler configurations.
423
424         Note: there is no guarantee that fail_at_unmount can be set whilst an
425         unmount is in progress. It is possible that the sysfs entries are
426         removed by the unmounting filesystem before a "retry forever" error
427         handler configuration causes unmount to hang, and hence the filesystem
428         must be configured appropriately before unmount begins to prevent
429         unmount hangs.
430
431 Each filesystem has specific error class handlers that define the error
432 propagation behaviour for specific errors. There is also a "default" error
433 handler defined, which defines the behaviour for all errors that don't have
434 specific handlers defined. Where multiple retry constraints are configuredi for
435 a single error, the first retry configuration that expires will cause the error
436 to be propagated. The handler configurations are found in the directory:
437
438   /sys/fs/xfs/<dev>/error/<class>/<error>/
439
440   max_retries                   (Min: -1  Default: Varies  Max: INTMAX)
441         Defines the allowed number of retries of a specific error before
442         the filesystem will propagate the error. The retry count for a given
443         error context (e.g. a specific metadata buffer) is reset every time
444         there is a successful completion of the operation.
445
446         Setting the value to "-1" will cause XFS to retry forever for this
447         specific error.
448
449         Setting the value to "0" will cause XFS to fail immediately when the
450         specific error is reported.
451
452         Setting the value to "N" (where 0 < N < Max) will make XFS retry the
453         operation "N" times before propagating the error.
454
455   retry_timeout_seconds         (Min:  -1  Default:  Varies  Max: 1 day)
456         Define the amount of time (in seconds) that the filesystem is
457         allowed to retry its operations when the specific error is
458         found.
459
460         Setting the value to "-1" will allow XFS to retry forever for this
461         specific error.
462
463         Setting the value to "0" will cause XFS to fail immediately when the
464         specific error is reported.
465
466         Setting the value to "N" (where 0 < N < Max) will allow XFS to retry the
467         operation for up to "N" seconds before propagating the error.
468
469 Note: The default behaviour for a specific error handler is dependent on both
470 the class and error context. For example, the default values for
471 "metadata/ENODEV" are "0" rather than "-1" so that this error handler defaults
472 to "fail immediately" behaviour. This is done because ENODEV is a fatal,
473 unrecoverable error no matter how many times the metadata IO is retried.