Plan. Optimisation du transport de contenu 1 - HTTP : proxys et caches. Plan. Vue de très haut niveau. Christophe Deleuze Grenoble INP ESISAR

Transcription

1 lan ptimisation du transport de contenu 1 - HTT : proxys et caches 1 Bases de HTT hristophe Deleuze Grenoble IN ESISAR 2 Intermédiaires HTT 3 Gestion des proxys par HTT Novembre roxys transparents 1 / 50 2 / 50 lan Vue de très haut niveau j'entre une RL http: 1 Bases de HTT // 1 le nom est résolu en adresse I (DNS) 2 Intermédiaires HTT 2 une connexion T (tuyau) est ouverte R 3 Gestion des proxys par HTT 4 roxys transparents 1 T SYN 2 T SYN+AK 3 T AK 3 la requête est envoyée, le serveur répond (en général, gd nb de requêtes et réponses) W 4... la connexion T est fermée 3 / 50 4 / 50

2 0.9 Versions de HTT 1 client ouvre connexion et envoie GET coucou.html 2 serveur écrit le chier dans la connexion 3 la connexion est fermée 1.0 rfc 1945 (informational) format structuré pour les requêtes et les réponses (méta données) GET / HTT/1.0 ser-agent: Wget/ Accept: */* Host: onnexions persistantes onnexions non persistantes onnexion persistante SYN SYN-AK AK requête 1 réponse 1 FIN FIN-AK AK SYN SYN-AK AK requête 1 réponse 1 HTT/ K Date: Thu, 08 Apr :11:50 GMT ontent-length: 8342 SYN SYN-AK AK requête 2 réponse 2 requête 2 réponse 2 [le document] possibilité connexion persistante (Keep-Alive:) 5 / 50 FIN FIN-AK AK 6 / 50 HTT/1.1 rfc atégories de méthodes (rfc7231) GET / HTT/1.1 Host: z80.info ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Gecko/ Iceweasel/3.0.6 (Debian ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-harset: IS ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 onnection: keep-alive HTT/ K Date: Fri, 09 Apr :50:23 GMT Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 Frontage/ Last-Modified: Sun, 07 Feb :25:56 GMT ETag: "35d02c7-490e-4b6ea344" ontent-length: onnection: close ontent-type: text/html <HTML><HEAD> 7 / 50 Safe methods Request methods are considered "safe" if their dened semantics are essentially read-only; i.e., the client does not request, and does not expect, any state change on the origin server as a result of applying a safe method to a target resource. f the request methods dened by this specication, the GET, HEAD, TINS, and TRAE methods are dened to be safe. Idempotent Methods A request method is considered "idempotent" if the intended eect on the server of multiple identical requests with that method is the same as the eect for a single such request. f the request methods dened by this specication, T, DELETE, and safe request methods are idempotent 8 / 50

3 ipelining ipelining S GET img1.png S par défaut, une seule transaction à la fois sur une connexion long si beaucoup d'objets inclus une solution : connexions parallèles problèmes d'équité 200 img1.png GET img2.png 200 img2.png GET img3.png 200 img3.png envoi des requêtes sans attente des réponses oui mais : serveur ne gère pas forcément méthodes idempotentes uniquement impossible réordonner les réponses head of line blocking GET img1.png GET img2.png GET img3.png 200 img1.png 200 img2.png 200 img3.png 9 / / 50 Traitement parallèle Head of line blocking S GET sql_query.php S GET sql_query.php GET img1.png GET img2.png 200 query_result SQL query rfc A server MAY process a sequence of pipelined requests in parallel if they all have safe methods GET img1.png GET img2.png 200 query_result 200 img1.png SQL query rfc A server MAY process a sequence of pipelined requests in parallel if they all have safe methods, but it MST send the corresponding responses in the same order that the requests were received. Le serveur peut-il traiter les requêtes en parallèle (ou dans le désordre)? 200 img2.png 11 / / 50

4 HTT/2 lan RF7540 (mai 2015) base de départ spdy (protocole google) format binaire avec compression des en-têtes multiplexage server push améliorations attendues : réduction de la latence résolution du problème head of line blocking amélioration de l'usage de T (pas de connexions parallèles nécessaires) 1 Bases de HTT 2 Intermédiaires HTT 3 Gestion des proxys par HTT 4 roxys transparents 13 / / 50 roxy dénition générale ache web élément intermédiaire dans une communication client-serveur proxy garde réponses en cache passerelle protocoles (gateway) réseau public/privé ltrage transformation de contenu cache S requête réponse S requête réponse client proxy serveur S gestion du cache Least Recently sed (LR) Least Frequently sed (LF) LR + taille taille / / 50

5 Intermédiaires HTT roxy de FAI intermédiaires proxy gateway (reverse proxy) tunnel extrémités le serveur est l'origine le client est le user agent un proxy sert le contenu au client géré par le FAI +++ moins de transferts + moins de délai + soulage l'origine l'origine perd le contrôle (stats, fra cheur) conguration explicite/forcé/transparent 17 / / 50 roxy d'entreprise Reverse proxy un proxy sert le contenu au client géré par l'entreprise + moins de transferts ++ moins de délai +++ applique politique de ltrage (ex interdit facebook/youtube) + soulage l'origine l'origine perd le contrôle (stats, fra cheur) agit comme un serveur origine traduit/relaie les requêtes pour le serveur géré par le fournisseur de contenu performance (accelérateur web) interface services legacy (non HTT) partitionne/équilibre entre plusieurs serveurs reverse : par opposition aux deux précédents, appelés forward roxy aching 19 / / 50

6 Tunnel HTT lan relaie les messages entre deux connexions n'intervient aucunement dans la communication un proxy devient un tunnel (pour une communication) par la méthode NNET 1 Bases de HTT 2 Intermédiaires HTT NNET startpage.com:443 HTT/1.1 ser-agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/ conkeror/1.0pre (Debian-1.0~~pre+git deb7u1) roxy-onnection: keep-alive onnection: keep-alive Host: startpage.com 3 Gestion des proxys par HTT HTT/ onnection established 4 roxys transparents..._...&..j..'...v<,.../n..f. négociation TLS 21 / / 50 Support des proxys Gestion des caches format des requêtes : cible de la méthode vers un serveur : origin-form = chemin absolu GET /path HTT/1.1 Host: vers un proxy : absolute-form = RI absolue GET HTT/1.1 Host: champ Via Via: 1.1 varnish, 1.0 localhost (squid/3.1.19) méthode TRAE et champ Max-Forward champ Warning quelles réponses cacher? quels éléments des réponses? comment économiser en assurant la cohérence? (transparence sémantique) expiration validation cache control le navigateur typique a un cache local (non partagé) 23 / / 50

7 les règles sont complexes, en gros ok si : ou Quand peut-on cacher? la méthode de la requête est connue et spéciée comme cachable par défaut (GET, HEAD, ST) et le code de réponse est connu et... (200, 203,..., 501) et pas de données d'authentication dans la requête GET /rivate/ HTT/1.1 Authorization: Basic cghvdg9zmbsb3bnbg9w HTT/ K Date: Fri, 09 Apr :28:26 GMT Server: Apache/roXad [Aug :45:09] et aucune indication explicite ne l'interdit (on y reviendra) une indication explicite l'autorise Que peut-on cacher? hop-by-hop headers : n'ont de sens que sur une connexion de transport, ne sont ni cachés ni relayés par les proxys. Keep-Alive onnection roxy-authenticate roxy-authorization pgrade... plus ceux listés dans onnection 25 / / 50 Expiration Expiration : calcul de l'âge date spéciée par l'origine : Expires heuristique adaptive TTL ex. isco ontent Engine TTL = (urrentdate LastModTime) FreshnessFactor (doc décourage FF > 10 %) ne réponse servie depuis le cache doit contenir un champ Age: nb de secondes depuis génération (ou revalidation) par l'origine (temps passé en cache et en transit) expiration si age > TTL origine fournit Date proxy fournit Age 27 / / 50

8 Expiration : calcul de l'âge proxy doit déterminer l'âge de la réponse qu'il reçoit : deux méthodes / 1 utiliser la date de création de la réponse âge = max(0, now - d) 2 âge = t ou âge = t + x t GET 200 K GET 200 K Date: d t 1 GET 200 K Age: x 2 origine associe un validateur à la réponse req. conditionnelle avec validateur si K 304 Not Modified validateurs Last-Modified If-Modified-Since HTT/1.0 ETag (validateur opaque) Validation validateurs faibles et forts faible : reste valide si chgt not semantically signicant GET subrange/204 artial ontent interdit fort : invalide pour tout chgt browser reload/shift-reload 29 / / 50 Validation : je clique reload remière requête tout à l'heure... GET / HTT/1.1 GET / HTT/1.1 Host: z80.info Host: z80.info ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Gecko/ Iceweasel/3.0.6 (Debian ) ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q Accept-Language: en-us,en;q=0.5 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-Encoding: gzip,deflate Accept-harset: IS ,utf-8;q=0.7,*;q=0.7 Accept-harset: IS ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 Keep-Alive: 300 onnection: keep-alive onnection: keep-alive If-Modified-Since: Sun, 07 Feb :25:56 GMT If-None-Match: "35d02c7-490e-4b6ea344" HTT/ K ache-ontrol: max-age=0 Date: Fri, 09 Apr :50:23 GMT Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 HTT/ Not Modified Last-Modified: Sun, 07 Feb :25:56 GMT Date: Fri, 09 Apr :51:01 GMT ETag: "35d02c7-490e-4b6ea344" Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 Frontage/ ontent-length: onnection: close ETag: "35d02c7-490e-4b6ea344" 31 / / 50

9 HTT/1.0 ragma: no-cache HTT/1.1 ache-ontrol: **** achabilité Exemples de warning max age Expires 0 requêtes no-cache no-store max-age max-stale min-fresh no-transform only-if-cached cache-extension min fresh réponses public private no-cache no-store max stale no-transform must-revalidate proxy-revalidate max-age s-maxage cache-extension âge "Response is Stale" "Revalidation Failed" "Heuristic Expiration" "Transformation Applied" 33 / / 50 GET / HTT/1.1 Host: z80.info Exemple : je clique shift-reload ser-agent: Mozilla/5.0 (X11; ; Linux x86_64; en-s; rv: ) Gecko/ Iceweasel/3.0.6 (Debian ) Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-us,en;q=0.5 Accept-Encoding: gzip,deflate Accept-harset: IS ,utf-8;q=0.7,*;q=0.7 Keep-Alive: 300 onnection: keep-alive ragma: no-cache ache-ontrol: no-cache ohérence : bilan support pour : cohérence faible aucune réponse périmée ne survit un temps inni... K (adaptive TTL) cohérence forte aucune réponse périmée n'est jamais délivrée non scalable (revalidation systématique) hétérogénéité contraintes par document ou par client K avec le cache control HTT/ K Date: Fri, 09 Apr :51:36 GMT Server: Apache/1.3 (nix) mod_ssl/ penssl/0.9.8f AuthG/1.3 Frontage/ Last-Modified: Sun, 07 Feb :25:56 GMT ETag: "35d02c7-490e-4b6ea344" Accept-Ranges: bytes ontent-length: / 50 manque : invalidation/mise à jour délicat à intégrer dans HTT état serveur abilité/scalabilité pb administratifs 36 / 50

10 ertains fournisseurs n'aiment pas les caches... lan HTT/ K Date: Fri, 09 Apr :31:34 GMT Server: Apache ache-ontrol: no-store, no-cache, must-revalidate, post-check=0, pre-check=0 ragma: no-cache HTT/ K Date: Thu, 08 Apr :11:50 GMT Server: Apache Expires: Thu, 19 Nov :52:00 GMT Vary: ookie,accept-encoding,ser-agent Last-Modified: Thu, 08 Apr :16:22 GMT 1 Bases de HTT 2 Intermédiaires HTT 3 Gestion des proxys par HTT 4 roxys transparents 37 / / 50 explicite Mais comment congurer ce... de navigateur! manuelle à partir d'un chier roxy Auto ong chier js avec fonction FindroxyForRL(url,host) forcée automatique WAD aucune interception (cache transparent) Web roxy Auto-discovery rotocol trouver l'rl du chier A (proxy auto cong) chaos de mécanismes d'auto-conf port défaut 80, path défaut wpad.dat essayer dans l'ordre : 1 DH 2 SL (Service Location rotocol rfc2608) 3 DNS wpad.example.com a) SRV b) TXT c) A 1 et 3c obligatoires le chier précis en fct de ser-agent WAD 39 / / 50

11 Exemple WAD roxy transparent DNS Standard query A wpad.esisar.inpg.fr DNS Standard query response NAME A HTT GET /wpad.dat HTT/1.1 Host: wpad.esisar.inpg.fr HTT HTT/ Redirect (text/html) Location: DNS Standard query A DNS Standard query response A n'est pas sélectionné par le client (aucune cong nécessaire) intercepte les communications HTT usage proxy cache classique obligatoire, sans cong applique ltrage (corporate) portail captif : page de login, ouvre l'accès Internet HTT GET /auto-proxy.pac HTT/1.1 Host: HTT HTT/ K (application/x-ns-proxy-autoconfig) 41 / / 50 Interception niveau transport switch L4 examine trac if I.proto=T & T.ags = SYN & T.dport = 80 then setup_rewrite (I.src, I.dest, T.sport, 80) (myi, proxyi, new_port, 80) doit retirer l'entrée quand connexion terminée peut rediriger sélectivement sur I.src ou I.dst I addrs T ports (,S,80,np) (S,,np,80) (,,pc,80) S4 (,,80,pc) peut se baser sur données application (requête) nécessaire ouvrir connexion (prétend être l'origine) puis ouvre 2ième connexion avec le proxy (ou l'origine) et relaie... souvent proxy in-path routeur d'accès pare-feu NAT proxy transparent Interception niveau application cxion 2 S7 ou cxion 2 cxion 1 43 / / 50

12 b. avec interception W (isco) pas très catholique Web ache ommunication rotocol si pb proxy, accès coupé transparence authentication/personnalisation recherche DNS inutile ouvre/ferme connexions T format requête de type origin-form R le routeur intercepte au niveau 4 gère un cluster hash de l'adr. dest monitore proxys plusieurs routeurs peuvent partager le cluster 45 / / 50 W W 3 erreur dynamic client bypass : si l'intervention (cachée) du proxy crée un problème overload-bypass 2 4 blacklist (Ic,Io) 1 émet requête, R intercepte 2 émet requête R overload si le proxy est saturé fait suivre les paquets (adr src client) 5 R 1 3 répond erreur (peut être auth sur adr. src?) réponse en direct Service unavailable Retry After: 0 4 R : blackliste (Iu, Io) répond 503 avec Retry-After: 0 5 retente R n'intercepte pas 47 / / 50

13 W n a vu... R... l'usage des proxys côté client R gestion d'une hiérarchie rien à faire de particulier... réseau client réseau opérateur Quels usages côté serveur? 49 / / 50