dnsdist: Implement 'tcpOnly' backends

dnsdist: Remove left-over debug messages

dnsdist: Appease the formatting gods

dnsdist: Rever the Downstream connection cache to be per thread

For now the Downstream connections are too closely tied to the
Multiplexer instance which is per-thread. We can change that later
if needed.

dnsdist: Share the downstream TCP connections cache between threads

dnsdist: Fix compilation on older GnuTLS versions

dnsdist: Handle more than one cached TLS session per backend

dnsdist: Don't let GnuTLS block if a ticket is not available yet..

dnsdist: Add downstream TLS session resumption metric

dnsdist: Add a WIP session cache

TCPIOHandler: Add preliminary support for session resumption

dnsdist: Fix the client TLS wrapper for GnuTLS

We need to call gnutls_handshake() repeatedly until it succeeds, while
OpenSSL allows us to read and write transparently.

dnsdist: Do not try to parse non-DNS HTTP answers generated by Lua

dnsdist: Use the correct cache key for DoH UDP responses

dnsdist: Exclude the TCP latency calculations from TSAN analysis

They are indeed racy in some cases, but we do not care about perfect
accuracy there.

dnsdist: Properly handle truncation for cross-protocol answers

dnsdist: Handle TCP-only backends for UDP queries

dnsdist: Handle TCP-only backends for DoH queries

dnsdist: Handle health checks over TCP and DNS over TLS

dnsdist: Add support for DNS over TLS backends

Still needs:
- documentation
- tests
- session reuse (SSL_set_session)
- healthchecks
- UDP/DoH to DoT

dnsdist: Properly handle errors for DoH cross-protocol answers

dnsdist: Also lookup the cache for UDP answers for DoH

dnsdist: Carry the exact protocol (Do53, DNSCrypt, DoT, DoH) in DQ

dnsdist: Apply response rules to cross-protocol DoH responses

dnsdist: Add a regression test for DoH TC=1 fallback to TCP

dnsdist: Handle Proxy Protocol payloads with cross-protocol queries

dnsdist: First working version of cross-protocol DoH -> TCP

Merge pull request #10671 from rgacogne/ddist-init-dq-cacheflags

dnsdist: Initialize the cacheFlags member of DNSQuestion to 0

dnsdist: Initialize the cacheFlags member of DNSQuestion to 0

Merge pull request #10664 from rgacogne/ddist-fix-cache-flags

dnsdist: Cache based on the DNS flags of the query after applying the rules

Merge pull request #10661 from Habbie/gh-actions

github actions: build auth+rec+dnsdist; test auth-api, dnsdist-regression, rec-api

Merge pull request #10666 from rgacogne/rec-cache-contention-counters

rec: Fix the acquired/contended cache counters not being updated

Merge pull request #10668 from omoerbeek/rec-bulktest-script

rec: Improve the rec bulk test script

Improve the rec bulk test script

- Exit if rec did not start up
- Status requesting commands (rec_control and kill -USR1) failures are non-fatal
  except for the last 'ping' command.
- Increase timeout of rec_control command (to help investigating issues on buildbot)

The script is run with -e, so failure will lead to exit without killing
the running recursor atm.

rec: Fix formatting

rec: Fix the acquired/contended cache counters not being updated

run auth remotebackend regression tests in GH Actions; remove from CircleCI

Merge pull request #10633 from rgacogne/rec-policy-event-filter-follow-cname

rec: Pass the Lua context to follow up queries (follow CNAME, dns64)

dnsdist: Cache based on the DNS flags of the query after applying the rules

The tentative fix in dbadb4d272a3317407e6bc934f55c2d41a87c0ac actually
introduced an issue, because the backend might not perfectly echo the
RD and CD flags as they were in the query.
We can't use the "original" (before applying rules) flags either, so
we need to store the flags as they were sent to the backend to be
able to correctly store them in the cache.

new remotebackend ruby deps are too new for CircleCI; disable auth make check there

circleci: remove items that we now test in github actions

github actions: build auth+rec+dnsdist; test auth-api, dnsdist-regression, rec-api

Merge pull request #10659 from omoerbeek/rec-fix-dot-to-port-853

rec: Fix wrong default value call for dot-to-port-853 setting

Fix wrong default value call for dot-to-port-853 setting

Merge pull request #10605 from omoerbeek/rec-policy-hit-stats

rec: Keep a count of per rpz (or filter) hits

One way of solving the race. Still needs operator[] though, since policyName
can vary.

Prometheus help texts and general cleanup. Example output:
pdns_recursor_policy_hits 10
pdns_recursor_policy_hits{type="filter"} 3
pdns_recursor_policy_hits{type="rpz",policyname="rpz.local"} 5
pdns_recursor_policy_hits{type="rpz",policyname="rpzFile"} 2

Merge pull request #10622 from rgacogne/rec-loop-ds-child-zone

rec: Detect a loop when the denial of the DS comes from the child zone

Keep a count of per rpz (or filter) hits, by default only exported via
Prometheus. After #10554 is merged the Promethus help info should be added
to this branch.

Merge pull request #10554 from omoerbeek/rec-per-cpu-thread-metrics

rec: Modify per-thread cpu usage stats to be Prometheus-friendly

Merge pull request #10643 from omoerbeek/rec-ns-from-cache-fw-vs-dontquery

rec: NS from the cache could be a forwarder

Merge pull request #10631 from rgacogne/mplexer-read-write

Handle waiting for a descriptor to become readable OR writable

Merge pull request #10649 from rgacogne/lock-guarded-ddist

Convert dnsdist and the recursor to LockGuarded

Make it explicit that IP addresses are taken into account when deciding to not block
an IP being forwarded to.

Merge pull request #10650 from rgacogne/ddist-rd-cache-miss

dnsdist: Fix the wrong RD and CD flags being cached, causing misses

Modify per-thread cpu usage stats to be Prometheus-friendly.

Plus fix a few small issues wrt HELP texts.

Example output:

pdns_recursor_cpu_msec{thread=0} 10
pdns_recursor_cpu_msec{thread=1} 0
pdns_recursor_cpu_msec{thread=2} 0

Also check if the remoteIP is one of the IPs we would have forwarded to,
even if it's coming from the cache.

rec: Appease the formatting gods (negcache.hh)

Change the static lock() method of MemRecursorCache to be an instance
method of MapCombo. Likewise for negcache.

Document how our wrappers around mutexes work

rec: Do not require taking the lock to know the size of a cache

dnsdist: Remove unused mutex include

rec: Store the carbon configuration in a StateHolder

rec: Convert the dynmetrics to LockGuarded

rec: Move the record caches to LockGuarded (WIP: size() should not need a lock)

Rename the lock() method to write_lock() for shared mutexes

rec: Move the NOD code to LockGuarded

rec: Convert RPZ loader stats to LockGuarded

rec: Convert the aggressive NSEC cache to LockGuarded

dnsdist: Convert remaining Action mutexes to LockGuarded

LockGuarded: Add move constructors

dnsdist: Convert most of the remaining locks to LockGuarded

Convert the StateHolder to LockGuarded

dnsdist: Convert CDBKVStore to SharedLockGuarded

dnsdist: Convert the dynamic blocks topN to LockGuarded

dnsdist: Convert ConcurrentConnectionManager to LockGuarded

dnsdist: Convert GnuTLSTicketsKey to SharedLockGuarded

dnsdist: Convert the web server configuration to LockGuarded

dnsdist: Convert the TCP client counts map to LockGuarded

dnsdist: Convert DynBPF to LockGuarded

dnsdist: Convert the Packet Cache to SharedLockGuarded

dnsdist: Convert DNSCrypt to SharedLockGuarded

speedtest: Add tests for LockGuarded

Add SharedLockGuarded, a read-write lock version of LockGuarded

dnsdist: Move the Lua mutex to LockGuarded

dnsdist: Move the ring buffers to LockGuarded

Move the remote logger class to LockGuarded

dnsdist: Move the eBPF filter class to LockGuarded

Introduce LockGuarded, a lock-protected data

The general idea has been borrowed from Rust's locks: instead of
defining two objects, the one to be protected, T, and the lock, we
define a single LockGuarded<T> object which contains the object.
That provides two big advantages:
- it is immediately clear which data is protected by the lock
- that data simply can't be accessed without holding the lock.

Merge pull request #10598 from omoerbeek/rec-almost-expired-refactor-and-stats

Rec: almost expired refactor and stats

From review feedback: only inc s_almost_expired_tasks_run after task has ended without exceptions
and check for nullptr function in task record.

Expose almost-expired metrics

Refactor stats queue, introducing a pointor to a function that does the work
(pointing to a resolve function) and almost-expired specific stats.

Merge pull request #10546 from omoerbeek/rec-dns64-metrics

rec: Add dns64 metrics

rec: Add a test for 'denial of the DS comes from the child zone' loop

Merge pull request #10602 from omoerbeek/rec-drop-after-preresolve

rec: Process policy and potential Drop action after Lua hooks

Merge pull request #10647 from rgacogne/decaf-polymorphic-exception

Fix a warning about catching a polymorphic exception type by value

dnsdist: Avoid arithmetic on bitfields, as suggested by Otto

rec: check that the policy event filter is called for follow-up queries

Update multiplexer priorities so completion ports are preferred over /dev/poll