Plan. Optimisation du transport de contenu 1 - HTTP : proxys et caches. Plan. Vue de très haut niveau. Christophe Deleuze Grenoble INP ESISAR

Transcription

1 lan ptimisation du transport de contenu 1 - HTT : proxys et caches 1 Bases de HTT Christophe Deleuze Grenoble IN ESISAR 2 Intermédiaires HTT 3 Gestion des proxys par HTT Novembre roxys transparents 1 / 48 2 / 48 lan Vue de très haut niveau j'entre une RL http: 1 Bases de HTT // 1 le nom est résolu en adresse I (DNS) 2 Intermédiaires HTT 2 une connexion TC (tuyau) est ouverte R 3 Gestion des proxys par HTT 4 roxys transparents 1 TC SYN 2 TC SYN+ACK 3 TC ACK 3 la requête est envoyée, le serveur répond (en général, gd nb de requêtes et réponses) 1 C 2 3 W 4... la connexion TC est fermée 3 / 48 4 / 48

2 0.9 Versions de HTT 1 client ouvre connexion et envoie GET coucou.html 2 serveur écrit le chier dans la connexion 3 la connexion est fermée 1.0 rfc 1945 format structuré pour les requêtes et les réponses (méta données) GET / HTT/1.0 ser-agent: Wget/ Accept: */* Host: HTT/ K Date: Thu, 08 Apr :11:50 GMT Content-Length: 8342 HTT/1.0 suite possibilité connexion persistante (Keep-Alive:) rfc1945 ('96) est informational HTT has been in use by the World-Wide Web global information initiative since This specication reects common usage of the protocol referred to as "HTT/1.0". [le document] diérentes méthodes 5 / 48 6 / 48 Connexions persistantes Connexions non persistantes Connexion persistante SYN SYN-ACK ACK requête 1 réponse 1 FIN FIN-ACK ACK SYN SYN-ACK ACK requête 1 réponse 1 HTT/1.1 rfc 2068 ('97) 2616 ('99) ('14) GET / HTT/1.1 Host: z80.info ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Gecko/2 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: IS ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive SYN SYN-ACK ACK requête 2 réponse 2 FIN FIN-ACK ACK requête 2 réponse 2 7 / 48 HTT/ K Date: Fri, 09 Apr :50:23 GMT Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 Fronta Last-Modified: Sun, 07 Feb :25:56 GMT ETag: "35d02c7-490e-4b6ea344" Content-Length: Connection: close Content-Type: text/html <HTML><HEAD> 8 / 48

3 Catégories de méthodes (rfc7231) ipelining Safe methods Request methods are considered "safe" if their dened semantics are essentially read-only; i.e., the client does not request, and does not expect, any state change on the origin server as a result of applying a safe method to a target resource. f the request methods dened by this specication, the GET, HEAD, TINS, and TRACE methods are dened to be safe. Idempotent Methods A request method is considered "idempotent" if the intended eect on the server of multiple identical requests with that method is the same as the eect for a single such request. f the request methods dened by this specication, T, DELETE, and safe request methods are idempotent par défaut, une seule transaction à la fois sur une connexion long si beaucoup d'objets inclus une solution : connexions parallèles problèmes d'équité C GET img1.png 200 img1.png GET img2.png 200 img2.png GET img3.png 200 img3.png S 9 / / 48 ipelining Traitement parallèle C S C GET sql_query.php S envoi des requêtes sans attente des réponses oui mais : serveur ne gère pas forcément méthodes idempotentes uniquement impossible réordonner les réponses head of line blocking GET img1.png GET img2.png GET img3.png 200 img1.png 200 img2.png 200 img3.png GET img1.png GET img2.png 200 query_result SQL query rfc A server MAY process a sequence of pipelined requests in parallel if they all have safe methods Le serveur peut-il traiter les requêtes en parallèle (ou dans le désordre)? 11 / / 48

4 C GET sql_query.php GET img1.png GET img2.png 200 query_result 200 img1.png 200 img2.png S Head of line blocking SQL query rfc A server MAY process a sequence of pipelined requests in parallel if they all have safe methods, but it MST send the corresponding responses in the same order that the requests were received. RFC7540 (mai 2015) HTT/2 This specication is an alternative to, but does not obsolete, the HTT/1.1 message syntax. HTT's existing semantics remain unchanged. base de départ spdy (protocole google) format binaire avec compression des en-têtes multiplexage server push améliorations attendues : réduction de la latence résolution du problème head of line blocking amélioration de l'usage de TC (pas de connexions parallèles nécessaires) 13 / / 48 lan roxy dénition générale élément intermédiaire dans une communication client-serveur 1 Bases de HTT 2 Intermédiaires HTT passerelle protocoles (gateway) réseau public/privé ltrage transformation de contenu cache 3 Gestion des proxys par HTT 4 roxys transparents C requête réponse SC requête réponse client proxy serveur S 15 / / 48

5 Cache web Intermédiaires HTT proxy garde réponses en cache C S extrémités le serveur est l'origine le client est le user agent intermédiaires gestion du cache Least Recently sed (LR) Least Frequently sed (LF) LR + taille taille... proxy gateway (reverse proxy) tunnel 17 / / 48 roxy de FAI roxy d'entreprise un proxy sert le contenu au client géré par le FAI +++ moins de transferts + moins de délai + soulage l'origine l'origine perd le contrôle (stats, fra cheur) conguration explicite/forcé/transparent un proxy sert le contenu au client géré par l'entreprise + moins de transferts ++ moins de délai +++ applique politique de ltrage (ex interdit facebook/youtube) + soulage l'origine l'origine perd le contrôle (stats, fra cheur) 19 / / 48

6 Reverse proxy Tunnel HTT agit comme un serveur origine traduit/relaie les requêtes pour le serveur géré par le fournisseur de contenu performance (accelérateur web) interface services legacy (non HTT) partitionne/équilibre entre plusieurs serveurs relaie les messages entre deux connexions n'intervient aucunement dans la communication un proxy devient un tunnel (pour une communication) par la méthode CNNECT CNNECT startpage.com:443 HTT/1.1 ser-agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/ conker roxy-connection: keep-alive Connection: keep-alive Host: startpage.com HTT/ Connection established reverse : par opposition aux deux précédents, appelés forward roxy Caching..._...&..j..'...v<,.../n..F. négociation TLS 21 / / 48 lan Support des proxys format des requêtes : cible de la méthode 1 Bases de HTT 2 Intermédiaires HTT 3 Gestion des proxys par HTT vers un serveur : origin-form = chemin absolu GET /path HTT/1.1 Host: vers un proxy : absolute-form = RI absolue GET HTT/1.1 Host: champ Via 4 roxys transparents Via: 1.1 varnish, 1.0 localhost (squid/3.1.19) méthode TRACE et champ Max-Forward champ Warning 23 / / 48

7 quelles réponses cacher? quels éléments des réponses? Gestion des caches comment économiser en assurant la cohérence? (transparence sémantique) expiration validation cache control le navigateur typique a un cache local (non partagé) les règles sont complexes, en gros ok si : Quand peut-on cacher? la méthode de la requête est connue et spéciée comme cachable par défaut (GET, HEAD, ST) et le code de réponse est connu et... (200, 203,..., 501) et pas de données d'authentication dans la requête GET /rivate/ HTT/1.1 Authorization: Basic cghvdg9zmbsb3bnbg9w HTT/ K Date: Fri, 09 Apr :28:26 GMT Server: Apache/roXad [Aug :45:09] ou et aucune indication explicite ne l'interdit (on y reviendra) une indication explicite l'autorise 25 / / 48 Que peut-on cacher? Expiration réponse = méta-données + données hop-by-hop headers : n'ont de sens que sur une connexion de transport, ne sont ni cachés ni relayés par les proxys. Keep-Alive Connection roxy-authenticate roxy-authorization pgrade... date spéciée par l'origine : Expires heuristique adaptive TTL ex. Cisco Content Engine TTL = (CurrentDate LastModTime) FreshnessFactor (doc décourage FF > 10 %) expiration si age > TTL origine fournit Date proxy fournit Age plus ceux listés dans Connection 27 / / 48

8 Expiration : calcul de l'âge Expiration : calcul de l'âge proxy doit déterminer l'âge de la réponse qu'il reçoit : deux méthodes / ne réponse servie depuis le cache doit contenir un champ Age: nb de secondes depuis génération (ou revalidation) par l'origine (temps passé en cache et en transit) 1 utiliser la date de création de la réponse âge = max(0, now - d) GET 200 K Date: d âge = t ou âge = t + x t GET 200 K t GET 200 K Age: x 29 / / 48 origine associe un validateur à la réponse req. conditionnelle avec validateur si K 304 Not Modified validateurs Last-Modified If-Modified-Since HTT/1.0 ETag (validateur opaque) Validation validateurs faibles et forts faible : reste valide si chgt not semantically signicant GET subrange/204 artial Content interdit fort : invalide pour tout chgt browser reload/shift-reload GET / HTT/1.1 Host: z80.info Validation : je clique reload ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: IS ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive If-Modified-Since: Sun, 07 Feb :25:56 GMT If-None-Match: "35d02c7-490e-4b6ea344" Cache-Control: max-age=0 HTT/ Not Modified Date: Fri, 09 Apr :51:01 GMT Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 Connection: close ETag: "35d02c7-490e-4b6ea344" 31 / / 48

9 remière requête tout à l'heure... Cachabilité GET / HTT/1.1 HTT/1.0 ragma: no-cache Host: z80.info HTT/1.1 Cache-Control: **** ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Gecko/ Iceweasel/3.0.6 (Debian ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: IS ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive max age HTT/ K no-store Date: Fri, 09 Apr :50:23 GMT max-age Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 Frontage/ max-stale Last-Modified: Sun, 07 Feb :25:56 GMT min-fresh ETag: "35d02c7-490e-4b6ea344" no-transform Content-Length: only-if-cached cache-extension 0 requêtes no-cache min fresh Expires réponses public private no-cache no-store max stale no-transform must-revalidate... cache-extension âge 33 / / 48 GET / HTT/1.1 Host: z80.info Exemple : je clique shift-reload ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Gecko/ Iceweasel/3.0.6 (Debian ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Charset: IS ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Connection: keep-alive ragma: no-cache Cache-Control: no-cache Cohérence : bilan support pour : cohérence faible aucune réponse périmée ne survit un temps inni... K (adaptive TTL) cohérence forte aucune réponse périmée n'est jamais délivrée non scalable (revalidation systématique) hétérogénéité contraintes par document ou par client K avec le cache control HTT/ K Date: Fri, 09 Apr :51:36 GMT Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 Frontage/ Last-Modified: Sun, 07 Feb :25:56 GMT ETag: "35d02c7-490e-4b6ea344" Accept-Ranges: bytes Content-Length: / 48 manque : invalidation/mise à jour délicat à intégrer dans HTT état serveur abilité/scalabilité pb administratifs 36 / 48

10 Certains fournisseurs n'aiment pas les caches... lan HTT/ K Date: Fri, 09 Apr :31:34 GMT Server: Apache Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 ragma: no-cache 1 Bases de HTT 2 Intermédiaires HTT HTT/ K Date: Thu, 08 Apr :11:50 GMT Server: Apache Expires: Thu, 19 Nov :52:00 GMT Vary: Cookie,Accept-Encoding,ser-Agent Last-Modified: Thu, 08 Apr :16:22 GMT 3 Gestion des proxys par HTT 4 roxys transparents 37 / / 48 Mais comment congurer ce... de navigateur! roxy transparent explicite manuelle à partir d'un chier roxy Auto Cong chier js avec fonction FindroxyForRL(url,host) forcée automatique eg WAD aucune interception (cache transparent) n'est pas sélectionné par le client (aucune cong nécessaire) intercepte les communications HTT usage proxy cache classique obligatoire, sans cong applique ltrage (corporate) portail captif : page de login, ouvre l'accès Internet 39 / / 48

11 Interception niveau transport switch L4 examine trac if I.proto=TC then & TC.flags = SYN & TC.dport = 80 setup_rewrite (I.src, I.dest, TC.sport, 80) (myi, proxyi, new_port, 80) doit retirer l'entrée quand connexion terminée peut rediriger sélectivement sur I.src ou I.dst addrs I ports TC (,S,80,np) (S,,np,80) (,,pc,80) S4 (,,80,pc) peut se baser sur données application (requête) nécessaire ouvrir connexion (prétend être l'origine) puis ouvre 2ième connexion avec le proxy (ou l'origine) et relaie... souvent proxy in-path routeur d'accès pare-feu NAT proxy transparent Interception niveau application cxion 2 S7 ou cxion 2 cxion 1 41 / / 48 b. avec interception WCC (Cisco) pas très catholique Web Cache Communication rotocol si pb proxy, accès coupé transparence authentication/personnalisation recherche DNS inutile ouvre/ferme connexions TC format requête de type origin-form R le routeur intercepte au niveau 4 gère un cluster hash de l'adr. dest monitore proxys plusieurs routeurs peuvent partager le cluster 43 / / 48

12 WCC WCC 3 erreur dynamic client bypass : si l'intervention (cachée) du proxy crée un problème R overload overload-bypass si le proxy est saturé fait suivre les paquets (adr src client) 5 R blacklist (Ic,Io) 1 émet requête, R intercepte 2 émet requête 3 répond erreur (peut être auth sur adr. src?) réponse en direct Service unavailable Retry After: 0 4 R : blackliste (Iu, Io) répond 503 avec Retry-After: 0 5 retente R n'intercepte pas 45 / / 48 WCC n a vu... R... l'usage des proxys côté client R gestion d'une hiérarchie rien à faire de particulier... réseau client réseau opérateur Quels usages côté serveur? 47 / / 48