.gitlab-ci.yml: IMAGE_TAG update

CI: use standard docker for pkg:arch

Arch LXC images currently don't work :(

Standard docker can't test systemd but it's better than nothing.

tests/packaging: skip systemd tests without systemd

distro/pkg: update packaging for single python module

pyproject.toml: exclude meson templates

Make sure constants.py.in and meson.build are excluded from
knot_resolver python module.

python: meson constants.py template moved to knot_resolver module

scripts/poe-tasks: created gen-constantspy script

New script to build constants.py module using Meson. Also check that the module is the current one.

scripts/poe-tasks: _env.sh improvements and formatting

scripts/poe-tasks: ./configure not required for some tasks

meson.build: use non-standard prefix for run_dir

scripts/poe-tasks: doc-schema added

The script that generates the configuration JSON schema with the correct values.

python: use CACHE_DIR and RUN_DIR constants

python: removed env vars from python code

scripts/poe-tasks: improvements

doc/_static/config.schema.json: update

ci/images/manager/DockerFile removed

Docker images are handled in a separate repository (knot-resolver-ci), so this file is no longer needed.

scripts/poe-tasks: use id cmd instead of $USER env var in _env.sh

ci: manager: configure meson before every test

python/knot_resolver: constants fixes

python/knot_resolver: use constants.py configured by Meson

scripts/poe-tasks: text and naming improvements

Merge !1618: daemon udp connect: use connected udp communication

meson, NEWS: bump minimal libuv version

daemon udp connect: use connected udp communication

Merge !1617: daemon/session2: avoid incorrectly generated errors

daemon/session2: avoid incorrectly generated errors

The _try_ functions additionally return positive values on success,
and the code around didn't deal with that.

So far there's no evidence that this caused any issues beyond debug-logs:
  [prlayr] ... iteration of group ... ended with status 'Unknown error ...

Merge !1609: local-data: generate CNAMEs from DNAMEs

local-data: generate CNAMEs from DNAMEs

As with some other aspects, these DNAMEs do not work exactly as
in a real zone, e.g. they don't cause occlusion.

Merge !1615: nits (see commits)

doc/user/gettingstarted-install.rst: don't advertise launchpad here

We have it, but it probably adds more confusion than use to mention it here.

python datamodel: tweak cache TTL validation

I'm not aware of a use case for the limits to be equal,
but it's at least a sane combination.

CI: allow_failure in pkg:arch

So far we don't know how to fix this.

Merge !1606: doc/dev: add layered-protocols.rst

doc/dev/layered-protocols.rst: tweak the intro titles

doc/dev: add layered-protocols.rst

This is a `pandoc` conversion with just a couple tiny manual modifications.

Merge !1614: daemon/session2: more Coverity in *wrap_after()

daemon/session2: more Coverity in *wrap_after()

Let's assert that we don't run over the edge.
If I look right, so far we don't use this in a way
that this could happen, and I can't see how it would make sense.

Merge !1612: coverity fixes

lib/generic/array: extend the return type of array_push*()

In case of no error, the index is returned,
but `int` isn't a great choice for returning array indices.
(though I doubt that we can get anywhere near 2^31 elements in practice)

Detected by Coverity.

daemon/session2: try to avoid triggering Coverity

Strictly speaking, the .ip member is on 16 bytes long,
so it doesn't suffice in case it's an IPv6.
Practically it doesn't matter, as there's the union containing all this.

Either way, I think it's cleaner to copy to the whole union.
Also we don't support it in this case,
but theoretically e.g. an AF_UNIX could happen,
so let's be defensive and guard by kr_require().

daemon/session2: fix error handling in *wrap_after()

We need to check the "< 0" condition *before*
incrementing or decrementing the returned layer_ix.

Detected by Coverity :-)

Merge !1512: datamodel: additional headers for json-schema

datamodel: workers-max: constant default to have a consistent JSON schema

doc: create static JSON schema

- poe check: check for difference in JSON schema
- scripts/meson/make-doc.sh: do not create JSON schema

tests: JSON schema packaging tests

datamodel: additional headers for json-schema

Merge branch 'manager-python-modules' into 'master'

manager: python modules reorganization

See merge request knot/knot-resolver!1598

distro/pkg: update for new python modules layout

Old knot_resolver module is now knot_resolver_build_options.

Old knot_resolver_manager module is now just knot_resolver.

python/knot_resolver/manager: added metrics module

- statistics.py: removed
- metrics: prometheus support is in separate module

python/knot_resolver: compat module moved under utils

python: manager: modules restructuring

- new KresManager exception
- imports formatting

scripts/poe-tasks/check: added isort check

python/knot_resolver: imports formatting

python/knot_resolver: removed unnecessary use of typing_extensions lib

Since we support python 3.8 and higher, there is no need for backwards support for most of the features we use in the standard typing library.

python/knot_resolver: KresBaseException added

python/knot_resolver: set __version__

python/knot_resolver:  version arguments for manager and client

python/knot_resolver: constants reorganization

scripts/poe-tasks: clean added

python: knot_resolver_build_options module added

python: knot_resolver_manager module renamed to knot_resolver

python: datamodel module moved out of manager module

python: client: commands: text improvements and fixes WIP

python: client: minor modules and code refactoring

manager: removed nice syntax error on old Python versions

manager:  reorganizing python modules

manager: moved everything out of the directory

Merge !1594: modules/workarounds: fix module initialization

modules/workarounds: fix module initialisation.

Rename config to init, which is called when a module is loaded.
It seems it's been broken for a while.

Merge !1610: tests/integration/deckard: update to latest master

tests/integration/deckard: update to latest master

adds libjemalloc-detector

Merge !1590: resolver,validator: provide more EDE codes

validator: fix after fac462e163a2614e24d2c604a9b120b949796a72.

See:
  https://gitlab.nic.cz/knot/knot-resolver/-/merge_requests/1590#note_304380

NEWS: mention the EDE improvements

modules/dns64: change EDE from "Forged Answer" to "Synthesized".

cache: set EDE when synthesizing answer from aggressive cache

validator: set EDE code if SEP does not match or DNSKEY is revoked.

If the tag and algorithm of DS and DNSKEY do not correspond, or in case
the DNSKEY is revoked, set EDE code "DNSKEY Missing".
If both match, but the algorithm is not supported, set EDE code
"Unsupported DNSKEY Algorithm".
In case RRSIGs for DNSKEY exist, but can't be validated due to a key
error, set EDE code "RRSIGs Missing".

resolver,validator: provide more EDE codes.

dnssec:
  * Provide a way to retrieve whether a DNSKEY has the Zone Key bit set,
    and add bindings for Lua modules (kr_dnssec_key_zonekey_flag), like
    kr_dnssec_key_sep_flag.
  * In kr_ds_algo_support() provide a way to retrieve what is wrong with
    the keys.
  * Check if a RRSIG RR has the signature expired already before
    inception time.

validator:
  * Set EDE "Unsupported NSEC3 Iterations Value" when downgrading.
  * Set EDE "Signature Expired before Valid" when checking RRSIGs.
  * Set EDE "No Zone Key Bit Set" when a DNSKEY with the Zone Key Bit
    set to 0 is discarded.
  * Instead of the generic "Other Error" with extra text
    "unsupported digest/key", set appropriate EDEs
    "Unsupported DNSKEY Algorithm" and "Unsupported DS Digest Type".

resolver:
  * Set EDE "No Reachable Authority" when it is decided that all
    authoritative servers are unreachable or misbehaving.

Some parts adjusted by vcunat, in particular construction of EDE messages.

lib/utils: generalize kr_strcatdup() for mempools

It's trivial really, and I'd like to use it now.

Merge !1602: daemon: remove -f/--forks

Closes #631

daemon: remove -f/--forks

Closes #631

Merge branch 'iss905' into 'master'

datamodel: file permission checks

See merge request knot/knot-resolver!1595

datamodel: types: fix object iteration compatibility for Python < 3.11

datamodel: use permission types in config

datamodel: types: files: WritableFilePath added

datamodel: types: files: enum for permission mode added

datamodel: file permission checks: format files

scripts/poe-tasks/configure: add user and group

datamodel: file permission checks: remove left over code, fix linter

formatting ignored for now since the code that is to be formated will likely be moved elsewhere

datamodel: file permission checks: #814 created function to check that kresd_user() can access the files and directories

datamodel: file permission checks: Created new types to check if files can be opened

Merge !1601: daemon/tls: log pins and certificates in case of no match

Fixes #813

daemon/tls: bump gnutls version requirement

It simplifies a bit.  No need to support ancient versions.

daemon/tls: drop a DEBUG section

The new pin logging is better than this.  No need to recompile with -DDEBUG (rare).

daemon/tls: fix a bug that caused empty base64 pins

NEWS for the pin-sha256 changes

datamodel/types: fix check for base64 encoded sha256

pin sha256 were used and tested for in incorrect format, refer to: https://www.rfc-editor.org/rfc/rfc7469#section-2.1.5

daemon/tls: log pins and certificates in case of no match #813

Merge !1603: daemon/session2: comment on event propagation

daemon/session2: comment on event propagation

Minor, but I believe quite important. I stumbled across this while
writing the protocol layer article and thought it was not emphasized
enough in the docs.