daemon/worker: minor refactoring around knot_pkt_parse()

The separate function wasn't really doing anything.
Also add a debug log.

Merge !1364: policy.STUB: minor improvements

policy.STUB: avoid copying +dnssec flag from client to upstream

I can't see any motivation for the copying behavior,
and it made caching non-deterministic.

policy.STUB: avoid applying aggressive DNSSEC denial proofs

In particular, avoids unintentional NXDOMAIN on grafted subtrees.
Consequently the users can drop 'NO_CACHE' flag and get caching.

Merge !1366: policy.DEBUG_IF: don't trigger .REQTRACE unconditionally

policy.DEBUG_IF: don't trigger .REQTRACE unconditionally

I broke this in 54ab3f78 or closely around, so this never worked well
since 5.4.1, and maybe structured logging (5.4.0) had related issues.

Merge !1353: add option to link sbin/kresd to jemalloc

NEWS, doc: document jemalloc

use jemalloc in CI

distro/pkg/*: build with jemalloc

add option to link sbin/kresd to jemalloc

And by default do so iff jemalloc is found.

I chose the simplicity of adding the chosen allocator just
in the single binary.  Other sbin/* don't matter really,
and dynamic libs (e.g. modules) will just follow whoever loaded them.

Merge !1362: ci/images: drop the LXC images

ci/images: drop the LXC images

Last use case was dropped in 36b08eb30387,
and I don't expect we'd use this in future anymore.
The "bullseye" in README was clearly a typo (it's the codename for 11).

Merge !1360: doc/build.rst nit: add dnsdist as optional dependency

doc/build.rst nit: add dnsdist as optional dependency

Merge !1356: ci improvements, mainly for respdiff

doc nit: tweak the link to dnsflagday.net

As the web is now, combination without www doesn't redirect https
(only http).  So let's switch to the final URL; apex is problematic.

ci respdiff+resperf: make the skipped cases orange

ci respdiff+resperf: make them run manually

In that case there's no need to wait for other jobs, too.

ci: make jobs interruptible by default

We're usually not interested in CI on older commits,
and this default will help cancelling expensive respdiff jobs.

Also add default runner tags to make them less likely
to get underspecified.  For example, each job should choose
one option in the docker/lxc and amd64/arm64 pairs.

ci pytests: migrate away from LXC runner

This reverts commit 15c1353544be, with some modifications.
On LXC we've had issues with
  FileExistsError: [Errno 17] File exists: '/tmp/pytest-kresd-portdir'
.. which disappear with this commit.  (I don't know how/why.)

Merge !1357: doc XDP: update the list of required capabilities

doc XDP: update the list of required capabilities

We're the same as knotd in this; it evolved a bit
with libknot and kernel versions.  Taken from:
https://www.knot-dns.cz/docs/3.2/singlehtml/#mode-xdp-pre-requisites

Merge !1355: daemon/network: fix heap-buffer-overflow in endpoint key generation

daemon/network: fix heap-buffer-overflow in endpoint key generation

Reproducible by listening on an interface by name, ASAN reports a
heap-buffer-overflow. This was a regression caused by !1286, which did
not account for null-terminators properly.

Merge !1349: modules/dns64: add recommendation to also disable DNS64 via IPv4

modules/dns64: add recommendation to also disable DNS64 via IPv4

It's resonable to assume that people would also want to disable DNS64 for
IPv4 source addresses if they only enable it for some IPv6 sources.

Close https://github.com/CZ-NIC/knot-resolver/pull/83

Merge !1352: ci nixos-unstable:pkgbuild: fixup recent regression

ci nixos-unstable:pkgbuild: fixup recent regression

https://gitlab.nic.cz/knot/knot-resolver/-/jobs/802541#L272

Merge !1348: ci/images/debian-11: drop go

ci/images/debian-11: drop go

I don't know how to fix building the image with it.
A few things were tried around different go versions (from -backports).

Merge branch 'release-5.5.3' into 'master'

release 5.5.3

See merge request knot/knot-resolver!1343

release 5.5.3

lib/zonecut + iterator: limit large NS sets

It's a mitigation for CVE-2022-40188 and similar DoS attempts.
It's using really trivial approaches, at least for now.

Merge !1340: ci macOS: add Knot 3.2

ci macOS: add Knot 3.2

Merge !1339: cache test: loosen conditions on cache usage

NEWS: mention config_tests for macOS

cache test: loosen conditions on cache usage

This fixes config_tests on aarch64 macOS.
The key difference is that they use 16k pages,
so LMDB space usage also behaves a bit different.

Merge !1338: macOS nits

tests/config: skip `freebind` sub-test on macOS

That option isn't supported there, so the test wouldn't work.
Now the config tests work for me on x86 macOS.

daemon/http nit: silence a warning

Enums are more like ints anyway (in standard),
even when drawn from a small subset.

daemon/io: log another message if `freebind` isn't supported

So far the message wasn't pointing to freebind at all:
[net   ] bind to '::1@53' (UDP): Operation not supported

I used preprocessor to avoid duplication and unused warnings.

Another way would be to ignore the freebind option if not supported,
but I think it's better to convince users not to specify it.

Merge branch 'release-5.5.2' into 'master'

release 5.5.2

See merge request knot/knot-resolver!1337

ci OBS: replace Ubuntu 21.10 by 22.04

21.10 isn't supported anymore, which is probably why it's failing.

ci OBS: replace Fedora 34 by 36

We've already done that on OBS side, which is probably why it's failing.

release 5.5.2

doc nit: fix broken link, luacov home moved

https://github.com/lunarmodules/luacov/issues/99

NEWS nit: prefer imperative formulations

We're mostly using those in NEWS and first line of commit messages.
I'm not sure if they're much better than alternatives, but at least
consistency is nice.

Merge !1328: daemon/worker: drop caching of kr_request mempools

daemon/worker: drop caching of kr_request mempools

This caused a huge increase in real memory usage in case of queries
arriving to kresd while being disconnected from internet.
The usage was slowly creeping up, even over 2G.

Interesting past commits: b350d38d and two preceding.

There apparently was no real memory leak.  I assume that reusal of
long-living mempools is risky in terms of memory fragmentation,
though the extent of the issue surprised me very much.
The issue seemed the same with normal glibc and jemalloc.

I generally dislike ad-hoc optimization attempts like these freelists.
Now the allocator can better decide *itself* how to reuse memory.

daemon/worker: drop a long unused #define

Merge !1336: lib/generic/array: avoid quadratic work for long arrays

lib/generic/array: avoid quadratic work for long arrays

For long arrays we really want to increase their length by a fraction.
Otherwise it will cost lots of CPU.  Doubling seems customary,
though I could imagine e.g. keeping the +50% growth on longest arrays.

I finally got sufficiently angry with this piece of code when debugging
https://forum.turris.cz/t/how-to-debug-a-custom-hosts-file-for-kresd/17449
though in that case it wasn't the main source of inefficiency.

CI: two of the mysterious/bogus warnings around arrays disappeared.

Merge !1334: modules/renumber: fix renumber.name behaviour

Fixes #760

modules/renumber: fix renumber.name behaviour

Fixes #760.

Also removes a warning in policy.REROUTE that is no longer true.

Merge !1333: lib/log: Coverity Scan nits

lib/log: Coverity Scan nits

Fixes CIDs 355763 and 355764. Also fixes a minor typo.

Merge !1332{ ci/images/README: clarify build.sh for Coverity Scan

ci/images/README: clarify usage of build.sh for Coverity Scan

Merge !1329: README.md: distro updates

README.md: use a working link for Fedora

README.md: update Ubuntu link from 18.04 to 22.04

Other LTS than 22.04 have really old versions in the repo (<= 3.2.1),
so better not advertise those at all.

README.md: add Repology badge

README.md: add Alpine Linux package to the list

Merge !1326: various nits

distro: drop tomas.krizek

The address won't work anymore, and Jakub says this field isn't needed.

lib/utils: drop long unused parts

drop unused #include lines

modules/dnstap nit: silence a lint:tidy warning

https://gitlab.nic.cz/knot/knot-resolver/-/jobs/635837#L219

Merge !1325: ci/pkgtest: remove Ubuntu 21.10

Revert "ci/pkgtest: switch bad LXC builds to manual start"

This reverts commit ac3e7ac72cc347e01660d074dff94edfad2ba9a0.
They have been fixed and seem reliable now.

ci/pkgtest: remove Ubuntu 21.10

It broke down and it isn't relevant anymore.

Merge !1309: support (lib)knot 3.2

ci: add job build-knot32

That way we get at least basic testing before 3.2 is made default in CI.

NEWS: now the support for libknot 3.2 should be complete

daemon: adapt XDP to libknot 3.2

adapt to libknot 3.2 lower-casing knot_pkt_qname()

Our strategy was (and remains) that the in-header QNAME is overwritten
in-place, so most of our code was already (correctly) assuming that
knot_pkt_qname() returns lower-case only.  That simplifies this commit.

lua bindings: support libknot 3.2

Merge !1317: ci/pkgtest: switch bad LXC builds to manual start

ci/pkgtest: switch bad LXC builds to manual start

We've been unable to progress with these failures for some time,
and it's not good to have them red in CI all the time.
Manual start should allow easier testing of future fixes,
without doing the futile runs automatically.

Merge !1321: Redirect webserv.lua stdout and stderr to /dev/null

Fixes #758

Redirect webserv.lua stdout and stderr to /dev/null

Fixes a regression on Meson 0.57.0 that produces a timeout in config.ta_bootstrap test.

Merge !1322: ci: confine docker and macOS jobs to main repository

ci: confine docker and macOS jobs to main repository

Some of our CI jobs use project-specific GitLab runners (e.g. requiring
the `dind` tag). The jobs then fail when someone forks the repository
and opens a merge request. This commit confines those jobs to the
`knot/knot-resolver` repository.

Merge !1315: hints.add_hosts(): respect comments anywhere in a line

hints.add_hosts(): respect comments anywhere in a line

hints tests: simple check of comment parsing

Merge !1314: daemon/tls: fix a double-free for some cases of policy.TLS_FORWARD

daemon/tls: fix a double-free for some cases of policy.TLS_FORWARD

The double-free may have happened in some cases when the upstream
resolver was stopped while answering a forwarded query. I was reliably
reproducing it by running resperf on two kresd instances with one forwarded
to the other, and killing the upstream one.

Merge !1310: modules/priming: downgrade logs to 'info' level

modules/priming: downgrade logs to 'info' level

When kresd starts without working internet connection, these would spam
logs by default every 10 seconds, which doesn't seem useful.

modules/priming: don't warn against unloading it

I can't see sufficient motivation here.  The cache will be slightly
less ready, but it's not often that you need to contact a root server.

Most importantly, kresd must work well anyway, even with empty cache.
Also, the compiled-in address set of root servers should be quite
accurate - the NS set has never changed, and the last address change
was five years ago with just one of 26 records changing.

Merge !1316: nit: daemon/http: remove dead code

nit: daemon/http: remove dead code

Merge !1311: daemon/http: improve URI checks

Fixes #746

daemon/http: improve URI checks

The `check_uri()` function now only checks that the endpoint is either
`/doh` or `/dns-query`. Parameter checks were moved into
`process_uri_path()` so that the check only takes place for GET
requests. POST requests now do not care about parameters at all.

Merge branch 'release-5-5-1' into 'master'

release 5.5.1

See merge request knot/knot-resolver!1308

NEWS: date update

ci/images: git://github.com won't work anymore