nginx对quic和http3的支持

概述

这篇文章前面是翻译nginx对quic和http3实验介绍的一篇英文文章,原文地址是Experimental QUIC support for nginx

另外一篇文章我会测试分享我使用quic的经验。

介绍

这是一个对nginx支持quic和http3特性的预览版。

这些代码是单独的“quic”分支,在https://hg.nginx.org/nginx-quic可以找到。这些代码是基于 1.19.x. 版本的nginx开发,我们现在打算在下一个nginx发布版本中将这个分支合并进去。

代码是和nginx一样的BSD许可协议。

我们正努力支持http3,以便于将它集成到主要的nginx代码库中。我们会经常的更新这些代码,不要出于任何目的依赖这些代码。

我们非常高兴你能反馈任何问题或者对功能作出贡献,但是我们也不会对这块代码产生的任何问题负责。

你能通过nginx-devel mailing list(nginx 开发者邮箱列表)在任何时候联系我们

现在的工作:

我们支持IETF-QUIC draft-27, draft-28,draft-29。
因为和早期的草案有不兼容情况,所以早期的草案我们没有支持。

你可以通过修改在src/event/ngx_evejnt_quic.h中的NGX_QUIC_DRAFT_VERSION宏的值来选择使用的版本。

nginx现在能响应简单的http3请求,并且能进行大文件的上传和下载。

  • 握手完成
  • 一端能更新密钥并且对端能正常响应
  • 能正常收到0-RTT并且作出响应
  • 能通过TLS Resume Ticket建立链接
  • 在握手的时候有重试的包也能正常握手
  • 流数据能正常的交互并且响应
  • 一次http3成功交互
  • 一端或者两端在dynamic table动态表中插入,接下来在头部中引用他们
  • 当客户端不知道版本时会发送版本包
  • 检测到丢失的数据包,并且重传

还没有完成的功能

  • 指定ECN(拥塞控制)算法
  • 带有旋转比特位链接在建立成功后bit位旋转
  • 结构化日志
  • NAT重绑定
  • 地址移动
  • http3分块传输编码

一些功直到放开实验还处于被开发中,很多功能还没有期望中起作用,例如:

  • 简单的ACK处理:确认每一个收到的包,没有使用ack ranges
  • 简单的流量控制:为了避免大量的cpu消耗,使交互更加简单
  • 没有严格遵循草案:为了方便第一版本实现,一些检测没有严格遵循草案

安装

你需要BoringSSL库提供QUIC支持

$ hg clone -b quic https://hg.nginx.org/nginx-quic
$ cd nginx-quic
$ ./auto/configure --with-debug --with-http_v3_module       \
                   --with-cc-opt="-I../boringssl/include"   \
                   --with-ld-opt="-L../boringssl/build/ssl  \
                   -L../boringssl/build/crypto"
$ make

当安装nginx时,你可以使用以下的配置开启http3和QUIC功能:

--with-http_v3_module     - enable QUIC and HTTP/3
--with-http_quic_module   - enable QUIC for older HTTP versions
--with-stream_quic_module - enable QUIC in Stream

配置

当使用HTTP的“listen”配置的时候,你可以在后面添加两个新的选项:“http3” 和 “quic”。
“http3”表示这个端口需要使用基于quic的http3来监听。
“quic”表示需要使用quic监听这个端口,不一定使用http3。

当使用Stream的“listen”配置的时候,你可以在后面加上“quic”,用于开启QUIC作为传输协议用于代替tcp和udp。

当你使用“http3”和“quic”配置时,你也可以启用“reuseport”选项,是他在多个workers上工作。

一些可以设定QUIC协议的参数:

quic_max_idle_timeout
quic_max_ack_delay
quic_max_packet_size
quic_initial_max_data
quic_initial_max_stream_data_bidi_local
quic_initial_max_stream_data_bidi_remote
quic_initial_max_stream_data_uni
quic_initial_max_streams_bidi
quic_initial_max_streams_uni
quic_ack_delay_exponent
quic_active_migration
quic_active_connection_id_limit

开启address validation特性

quic_retry on;

开启0-RTT特性

ssl+early_data on;

在使用QUIC时确保TLS是1.3版本

ssl_protocols TLSV1.3;

一些可以设定HTTP/3协议的参数

http3_max_field_size
http3_max_table_capacity
http3_max_blocked_streams
http3_max_concurrent_pushes
http3_push
http3_push_preload

两个变量被添加:$quic$http3
当QUIC 链接被使用时,$quic表示“quic”,别的情况是空字符串。$http3是一个字符串“h3-xx”,“xx”表示草案的版本。

例子:

    http {
     
        log_format quic '$remote_addr - $remote_user [$time_local] '
                        '"$request" $status $body_bytes_sent '
                        '"$http_referer" "$http_user_agent" "$quic" "$http3"';

        access_log logs/access.log quic;

        server {
     
            # for better compatibility it's recommended
            # to use the same port for quic and https
            listen 8443 http3 reuseport;
            listen 8443 ssl;

            ssl_certificate     certs/example.com.crt;
            ssl_certificate_key certs/example.com.key;
            ssl_protocols       TLSv1.3;

            location / {
     
                # required for browsers to direct them into quic port
                add_header Alt-Svc '$http3=":8443"; ma=86400';
            }
        }
    }

客户端

浏览器

已知的:Firefox 75+ and Chrome 83+
防止奇怪的问题:一些浏览器会忽略QUIC。 缓存clearing/restart会有此帮助。检查access.log和error.log去确认使用的是http3而不是TCP https。

  • 在Firefox开启QUIC,使用network.http.http3.enabled = trueabout:config
  • 在chrome开启QUIC,并强制在你的网页中使用QUIC。
$ ./chrome --enable-quic --quic-version=h3-29 \
           --origin-to-force-quic-on=example.com:8443

命令行

已知的:ngtcp2, firefox的neqo 和 chromium的命令行工具。

$ examples/client 127.0.0.1 8443 https://example.com:8443/index.html

$ ./neqo-client https://127.0.0.1:8443/

$ chromium-build/out/my_build/quic_client http://example.com:8443 \
	--quic_version=h3-29 \
	--allow_unknown_root_cert \
	--disable_certificate_verification

如果你使用正确,你会在access日志中看到一些类似于下面的:


127.0.0.1 - - [24/Apr/2020:11:27:29 +0300] "GET / HTTP/3" 200 805 "-" "nghttp3/ngtcp2 client" "quic" "h3-29"

常见问题

这边有一些技巧用于你确认问题:

  • 确认你使用的SSL library实现了29草案
  • 确认你运行的时候使用了正确的SSL library(nginx -V可以显示你用了什么)
  • 确认你客户端使用了QUIC的请求(参考“客户端”关于浏览器和缓存问题)
    我们比较建议你使用类似于ngtcp2命令行工具,以确保在你使用浏览器的时候之前你服务端配置正确
  • 在构建nginx时候加上debug支持,它会在日志里面显示所有链接和失败的信息。所有相关包含“quic”前缀的信息可以快速被筛选出来
  • 如果你想使用了解更清楚,你可以在src/event/ngx_event_quic.h中添加下列信息
#define NGX_QUIC_DEBUG_PACKETS
#define NGX_QUIC_DEBUG_FRAMES
#define NGX_QUIC_DEBUG_FRAMES_ALLOC
#define NGX_QUIC_DEBUG_CRYPTO

如何贡献力量

如果你想贡献力量,你可以看这个链接http://nginx.org/en/docs/contributing_changes.html

链接

https://tools.ietf.org/html/draft-ietf-quic-transport-29
https://tools.ietf.org/html/draft-ietf-quic-http-29
https://mailman.nginx.org/mailman/listinfo/nginx-devel
https://boringssl.googlesource.com/boringssl/
https://tools.ietf.org/html/draft-ietf-quic-recovery-29
https://nginx.org/en/docs/http/ngx_http_core_module.html#listen
https://nginx.org/en/docs/debugging_log.html

你可能感兴趣的:(nginx,nginx,http)