转载：HAProxy 研究笔记 -- rules 实现

8516830

　　转载：HAProxy 研究笔记 -- rules 实现 
　　原文链接：http://blog.chinaunix.net/uid-10167808-id-3775567.html

• 
  作者：Godbach <nylzhaowei@gmail.com>
  
• 
  Blog:  http://godbach.blog.chinaunix.net  
  
• 微博：weibo.com/godbach
  
  
• 
  日期：Jun 25, 2013
  
• 本文可以自由拷贝，转载。但转载请保持文档的完整性，注明原作者及原链接。
  
• ----
  

　　
本文研究 haproxy-1.5-dev17 中 rules 的相关实现。
 

• 1. ACL
  
• 2. rule 的组成
  
• 3. rule 的执行
  
• 4. rule 的种类
  

1. ACL

如果要实现功能丰富的 rules，需要有配套的 ACL 机制。
ACL 的格式如下：

acl <aclname> <criterion> [flags] [operator] <value> ...

haproxy 中 ACL 数据结构的定义：

/* The acl will be linked to from the proxy where it is declared */
struct acl {
struct list list;           /* chaining */
char *name;    /* acl name */
struct list expr;    /* list of acl_exprs */
int cache_idx;              /* ACL index in cache */
unsigned int requires;      /* or'ed bit mask of all acl_expr's ACL_USE_* */
};

其中：

• name: ACL 的名字
  
• expr: ACL 定义的表达式。就是定义的 ACL 名字后面的表达式。这是一个链表结构。因此，可以定义多条表达式不同但是名字相同的 ACL。这样，多个表达式都属于同一个 ACL。
  
• requires: 所有表达式中关键字对应的作用域（该关键字可以用在什么场合）的集合
  

函数 parse_acl() 负责解析定义好的 ACL:

• 查找 ACL 的名字，如果不存在的话，则 alloc 一个新的 acl 结构
  
• 通过调用 parse_acl_expr() 对表达式进行解析，并返回 struct acl_expr 结构
  
  
  
  • ACL 中的表达式应该只有一个 kw
    
  • 查找该关键字，必须是已经注册好的。并返回该关键字注册时的数据结构 struct acl_expr
    
  • alloc 一个 struct acl_expr 结构体，记录下返回的 kw 的数据结构，并作成员的初始化
    
  • 调用对应 kw 的 parse 方法，将解析的结果保存在 struct acl_pattern 结构体中，并将该结构体加入到 expr->patterns 的链表中
    
  
  
• 将解析到的表达式插入到 acl 中的 expr 链表中
  

总结： 一个 ACL 包含一到多个表达式。每个表达式包含一个 kw及一到多个 pattern。

2. rule 的组成

这里简要描述 rule 与 acl 之间的逻辑关系：

• rule 应该是 action + condition 组成
  
  
  
  • 有些动作自身可能也需要记录一些信息。不同的 rule 对应动作的信息可能不同，比如 reqirep 等
    
  • block rules 的动作比较单一， condition 满足之后处理结果均相同
    
  
  
• condition，完成 rule 检测的判断条件 对应数据结构： struct acl_cond
          struct acl_cond {
  struct list list;           /* Some specific tests may use multiple conditions */
  struct list suites;         /* list of acl_term_suites */
  int pol;                    /* polarity: ACL_COND_IF / ACL_COND_UNLESS */
  unsigned int requires;      /* or'ed bit mask of all acl's ACL_USE_* */
  const char *file;           /* config file where the condition is declared */
  int line;                   /* line in the config file where the condition is declared */
  };
  
• condition 包含多个 ACL 组。组的分割逻辑是逻辑或（|| 或者 or），即 struct list suites 的成员，组的数据结构 struct acl_term_suite
      struct acl_term_suite {
  struct list list;           /* chaining of term suites */
  struct list terms;          /* list of acl_terms */
  };
  
  
  
  
  • 该数据结构可以包含多个 ACL，以及每个 ACL 可能的一个取反标识 '!'
    
  • 所有表达式中相邻的 ACL 且其逻辑关系为逻辑与(&&) 的构成一个 ACL 组
    
    
    
    • 比如 if acl1 !acl2 or acl3 acl4，则构成两个 acl_term_suite，分别是 acl1 !acl2 和 acl3 acl4
      
    • 每个 ACL 及其可能的取反标记对应的数据结构： struct acl_term
          struct acl_term {
      struct list list;           /* chaining */
      struct acl *acl;            /* acl pointed to by this term */
      int neg;                    /* 1 if the ACL result must be negated */
      };
      
    
    
  • 一个 ACL 包含多个 expr
    
  
  

3. rule 的执行

概括起来很简单，执行判断条件。符合条件，然后执行对应动作。
下面是 rspadd 的示例代码：

/* add response headers from the rule sets in the same order */
list_for_each_entry(wl, &rule_set->rsp_add, list) {
if (txn->status < 200)
break;
if (wl->cond) {
int ret = acl_exec_cond(wl->cond, px, t, txn, SMP_OPT_DIR_RES|SMP_OPT_FINAL);
ret = acl_pass(ret);
if (((struct acl_cond *)wl->cond)->pol == ACL_COND_UNLESS)
ret = !ret;
if (!ret)
continue;
}
if (unlikely(http_header_add_tail(&txn->rsp, &txn->hdr_idx, wl->s) < 0))
goto return_bad_resp;
}

对于同一个种类的 rules，执行逻辑如下：

• 主要遍历 rule，调用 acl_exec_cond 执行该 rule 的检测条件。该检测结果只给出匹配与否。
  
  
  
  • 逐个遍历 cond 上的 ACL 组，即cond->suites。任一 suite 匹配成功，则认为匹配成功
    
  • 同一个 ACL 组上，遍历所有 suite->terms （ACL + 取反逻辑）。任意一个 ACL 匹配失败，则跳到下一个 ACL 组继续匹配。同一组全部 ACL 匹配成功，则认为该 ACL 组匹配
    
    
    
    • 同一个 ACL 上的匹配，则是逐一遍历 ACL 的 expr。只要任意一个 expr 匹配成功，则认为该 ACL 匹配成功
      
    
    
  
  
• 结合 condition 中的条件 if/unless，确定最终匹配结果
  
• 如果匹配则执行对应的 action，否则检测下一条规则。
  

4. rule 的种类

从 proxy 结构体可以看出 rule 的种类

struct proxy {
...
struct list acl;                        /* ACL declared on this proxy */
struct list http_req_rules;/* HTTP request rules: allow/deny/http-auth */
struct list block_cond;                 /* early blocking conditions (chained) */
struct list redirect_rules;             /* content redirecting rules (chained) */
struct list switching_rules;            /* content switching rules (chained) */
struct list persist_rules;/* 'force-persist' and 'ignore-persist' rules (chained) */
struct list sticking_rules;             /* content sticking rules (chained) */
struct list storersp_rules;             /* content store response rules (chained) */
struct list server_rules;               /* server switching rules (chained) */
struct {                                /* TCP request processing */
unsigned int inspect_delay;     /* inspection delay */
struct list inspect_rules;      /* inspection rules */
struct list l4_rules;           /* layer4 rules */
} tcp_req;
struct {                                /* TCP request processing */
unsigned int inspect_delay;     /* inspection delay */
struct list inspect_rules;      /* inspection rules */
} tcp_rep;
...
}

其中， 函数 http_process_req_common 中处理的规则如下：

http_process_req_common
{
...
1. process block rules
...
2. process http req rules
...
3. execute regular exp if any
...
4. req add
...
5. process redirect rules
...
}


这里没有详细的介绍各种具体用途的 rules。随后具体分析代码的时候总结一下再加上。