datamodel: add /lua/policy-script*

lib/rules: allow forcing NODATA answer for a particular name+type

It's just removing an assertion, and it does make sense to me.
Also expose kr_rule_local_data_ins() in Lua, like other similar functions.

Merge !1726: Use KRU in cache GC

lib/cache: NULL cache->db on failure to open

Otherwise we get use-after-free when attempting to close the cache
after this failure causes the process to shut down.

doc /logging/groups: document the three missing groups

In particular, I was now interested in `cache-gc`
and incorrectly assumed that it's merged with `cache`
(the C code didn't help, as they appear merged on that level).

NEWS: add entry for this "cache-kru" branch

lib/kru + elsewhere nit: avoid message-less static_assert()

With clang they'd cause lots of complaints:
  warning: '_Static_assert' with no message is a C23 extension [-Wc23-extensions]

lib/cache/top performance nits

lib/cache/top: fix a minor `const` nit

lib/cache nit: explicitly free kr_cache_emergency_file_to_remove

Also simplify the related code a little.
I don't think this has any practical impact.

lib/cache kr_cache_open() nit: the `opts` parameter may not be NULL

The code clearly assumes it isn't, and I checked that it never is called
that way (and it would crash anyway).

lib/cache/top: fix counting the whole record size instead of just eh

lib/kru: fix collision when user plays with -march option

Affects just clang, apparently.  This is just a copy from knot-dns changes,
doing a bit more than this resolver commit title says.  See:
https://gitlab.nic.cz/knot/knot-dns/-/commit/ec4a2567b213efdb8ecab6573cebbc74fbb507b2
https://gitlab.nic.cz/knot/knot-dns/-/commit/509d9d82b51c58ea572dccb09f4fdbe1a3c2571e

treewide refactor: avoid kr_cache_top_context_switch()

It seemed to bring more complexity than benefit.
In many parts this meant revert to code before a few commits.

It's slightly tricky that qry or req may be NULL in some cases,
but I believe I've caught all of them by conditions, and moreover
they're cases where it doesn't make sense to update kr_cache_top_*

lib/kru: deduplicate kru_limited_prefetch_hash()

Move the function up unchanged and use it on two places
which have the exact lines as the function.
Also fix its description.

lib/kru nit: shrink the USE_AES version of `struct kru` by 64 bytes

Just by dropping some padding in the header.
Also drop a long outdated part of comment on this.

lib/mmapped.c: refactor static fail() a bit

lib/cache/top.h: avoid issues with inclusion in C++

kru.h would be a bit complicated to adapt, so let's avoid it.
I don't think uint32_t as return price will be an issue,
though we might... e.g. add a static_assert() into top.c

lib/cache/top: remove temp logging, add comments, polish

lib/cache: decrease LMDB size by KRU size

lib/cache: clear and resize cache on size-max decrease

As the resolver fixes the state now, and loss of data is to be expected
on cache size change, vcunat downgraded the log severity of this.

lib/cache: increase bloom size, other minor changes

lib/mmapped: fix persistence, expand comments

lib/cache/top: divide price with size, other minor changes

lib/cache/top: increase bloom filter size

utils/cache_gc: use KRU values in item categorization

lib/cache: count only unique accesses per request in KRU

lib/cache: add basic access counting in KRU

lib/cache: add debug logs where kru will be used

Merge !1759: distro: update add protobuf-compiler package for apkg

distro: update apkg to prefer protobuf-compiler, fall back to protobuf-c-compiler

Merge !1758: manager: basic support for non-Linux systems (macOS, FreeBSD)

controller: use NOTIFY_SUPPORT constant

manager: use WORKERS_SUPPORT constant

constants.py: values determination simplification

constants.py: added WORKERS_SUPPORT and NOTIFY_SUPPORT

Revert "etc/config/config.macos.yaml: new config for macOS"

This reverts commit c75a2ba8b009e3bb332289b8960d79420855f042.

daemon/defer.c: replaced ETIME with ETIMEDOUT for timeout errors

ETIMEDOUT explicitly indicates a timeout condition defined by POSIX and improves portability.

NEWS: update

manager: added FreeBSD support

Multiple workers are supported only on Linux systems or FreeBSD with SO_REUSEPORT_LB socket option.

daemon/main.c: send READY notification only on Linux

manager: no 'set_new_tls_sticket_secret' callback on macOS

Callback is not needed, as only one kresd worker is allowed on macOS.

manager: renamed logging module to logger

On macOS, it caused problems because it had the same name as the built-in logging module.

controller/supervisord: platform portable config

controller/supervisord/plugin/notifymodule.c: platform portable

etc/config/config.macos.yaml: new config for macOS

datamodel: workers: check for macOS platform

Merge !1757: documentation nits

daemon/bindings/net_xdpsrv.rst: updated with declarative config

doc/dev: reinstante the config-debugging section

It apparently got forgotten when splitting the doc/ into doc/{user,dev}/
And as we now removed this from YAML (and doc/user) in 9fbacef1709,
these options completely disappeared from our 6.x docs.
So this PR puts it back into doc/dev on the place where it's in 5.x docs.

doc/user: misc nits

config-fallback: I forgot the config-serve-stale label in there,
now reported as duplicate.  I'm still getting reports of
> WARNING: undefined label: 'config-serve-stale' [ref.ref]
in 3 places (config-cache.rst:170, config-rfc7706.rst:9, rfc-list.rst:337)
but I have no idea why that happens.

treewide nit: reduce visible usage of "blacklist" and "whitelist" words

I can understand that this naming tradition... isn't great.

doc/user: correct the default for /network/listen

I looked into the model, and we do not enable DoT by default.
Which seems fine, as encryption of localhost-only communication
doesn't make much sense anyway.

doc/user/config-network-server-tls.rst: nits

- move an example config closer to the beginning of its section
- less mention of doh-legacy

docs: remove a few remnants of kresd@.service

I still left the deployment-advanced section in the user manual,
though I'm slightly afraid that they will make it appear
that we want to support usage of 6.x kresd without manager.

doc: avoid another warning

WARNING: Calling get_html_theme_path is deprecated.
  If you are calling it to define html_theme_path,
  you are safe to remove that code.

*.rst: avoid warnings from lexing Lua snippets

We don't always have correct Lua in the code blocks.
Using :force: will avoid the annoying warnings when (re)generating docs.
(which probably depend on versions of your python packages)

treewide: replace port 5353 by 5335

My main aim was not to have it in documentation,
but I ended up removing it from everywhere except ci/respdiff
(which I didn't feel like messing with right now).

I see people using 5353 for DNS, and it's problematic,
as the port is reserved for mDNS which is quite common,
and the packets even have similar format which makes it only worse.

doc/user /lua: add link to the developer docs

Merge !1754: stabilization of the declarative configuration - v2

doc/user: fix the basic monitoring example :-(

This got forgotten in commit f0564feb1c816.

doc/user: updated network/proxy-protocol

doc/user: drop experimental-dot-auth

The option was dropped from YAML in 9bec59c1bc15c,
so let's drop it from user docs as well.
This clears the whole "experimental" section from docs.
It still remains the same in doc/dev and as Lua option (module).

datamodel: also drop /dnssec/keep-removed

This is basically an amendment of 45d95e3b.

I consider RFC 5011 pretty exotic to use, and even for the root zone
there are typically better options.  So exposing tiny tweaks
in the 5011 algoritm seems to bring more confusion than value.
(basically same situation as for the other /dnssec/* removals)

Merge !1756: distro: update upstream-version.sh to apkg compat 6

distro: update upstream-version.sh to apkg compat 6

Merge !1755: distro: update to latest apkg compat level 6

distro: update to latest apkg compat level 6

Modify scripts/make-archive.sh to output YAML only to stdout as required
by latest apkg compat level 6. All stdout was redirected to stderr.

Merge branch 'declarative-config-stabilization' into 'master'

stabilization of the declarative configuration

See merge request knot/knot-resolver!1672

doc/user/config-local-data.rst: hide 'dry-run' option config for RPZ

kresctl: migrate: rename '/defer/enabled' to /defer/enable'

- NEWS: added missing entry

datamodel: logging: dnstap: changed log-* defaults to false

python: datamodel: added missing 'enable' options

In order to be consistent throughout the datamodel, it will only be possible to enable individual resolver features using the 'enable' option.

NEW: update

doc/user/upgrading.rst: added upgrading guide for configuration

python: datamodel: **/enabled configuration renamed to **/enable

python: datamodel: typo fixes

doc/user/config-rate-limiting: remove invalid sentence

.gitlab-ci.yml: added python:migrate

scripts/po-tasks/migrate task added to migrate and validate configuration using kresctl

kresctl: migrate: added migration for /cache/garbage-collector config

datamodel: stabilize cache schema

kresctl: migrate: added migration for /monitoring/*  config

datamodel: stabilize monitoring schema

Revert "datamodel: renamed defer section to prioritization"

This reverts commit 1e3b02d056dc3785be3e398f2d23a41780c58677.

client: migrate: new command to migrate configuration to newer version

datamodel: stabilize rate-limiting schema

datamodel: renamed defer section to prioritization

- renamed /defer/log-period -> /defer/logging-period

datamodel: stabilize dns64 schema

datamodel: move dnssec bogus logging from 'logging' section to 'dnssec' section

manager: server: deny dynamic changes off /cache/garbage-collector/* config

Revert "datamodel: cache: removed garbage-collector config"

This reverts commit 4ba9f6e4a9a30195147d2cbb99dbb53fbd9bc017.

datamodel: remove /local-data/root-fallback-addresses*

As discussed, let's keep rarely useful settings out of the YAML model.

datamodel: stabilize dnssec schema

datamodel: deleted obsolete parts

datamodel: stabilize network schema

- files-watchdog renamed to watchdog
- removed experimental TLS auto-discovery

datamodel: cache: removed garbage-collector config

datamodel: removed workers-max option

datamodel: remove webmgmt

datamodel: logging: removed debugging options

Merge branch 'ci-deploy-fixes' into 'master'

ci: fixes for 'docs:website' and 'docker:dockerhub' jobs

See merge request knot/knot-resolver!1753