Revert "ci/pkgtest: switch bad LXC builds to manual start"

This reverts commit ac3e7ac72cc347e01660d074dff94edfad2ba9a0.
They have been fixed and seem reliable now.

ci/pkgtest: remove Ubuntu 21.10

It broke down and it isn't relevant anymore.

Merge !1309: support (lib)knot 3.2

ci: add job build-knot32

That way we get at least basic testing before 3.2 is made default in CI.

NEWS: now the support for libknot 3.2 should be complete

daemon: adapt XDP to libknot 3.2

adapt to libknot 3.2 lower-casing knot_pkt_qname()

Our strategy was (and remains) that the in-header QNAME is overwritten
in-place, so most of our code was already (correctly) assuming that
knot_pkt_qname() returns lower-case only.  That simplifies this commit.

lua bindings: support libknot 3.2

Merge branch 'manager-utils-modeling' into 'manager'

manager: utils: modeling utils improvements

See merge request knot/knot-resolver!1320

manager: utils: modeling: info about '-'/_'' conversion added to README

manager: utils: modeling: BaseCustomType renamed to BaseValueType

manager: tests: utils: directory for modeling tests

manager: utils: modeling: docstrings updates
-

Merge !1317: ci/pkgtest: switch bad LXC builds to manual start

manager: utils: modeling: raise ValueError instead of DataValidationError in custom types

ci/pkgtest: switch bad LXC builds to manual start

We've been unable to progress with these failures for some time,
and it's not good to have them red in CI all the time.
Manual start should allow easier testing of future fixes,
without doing the futile runs automatically.

Merge !1321: Redirect webserv.lua stdout and stderr to /dev/null

Fixes #758

Redirect webserv.lua stdout and stderr to /dev/null

Fixes a regression on Meson 0.57.0 that produces a timeout in config.ta_bootstrap test.

manager: utils: modeling: naming improvements

manager: utils: modeling: README update

Merge !1322: ci: confine docker and macOS jobs to main repository

ci: confine docker and macOS jobs to main repository

Some of our CI jobs use project-specific GitLab runners (e.g. requiring
the `dind` tag). The jobs then fail when someone forks the repository
and opens a merge request. This commit confines those jobs to the
`knot/knot-resolver` repository.

manager: utils: modeling: simple documentation

manager: utils: modeling: rename _PREVIOUS_SCHEMA  to _LAYER

utils: modeling utils moved to separate directory

Merge branch 'manager-supervisord-inversion-of-control' into 'manager'

manager: inverted process tree with supervisord

See merge request knot/knot-resolver!1319

manager: tests: datamodel: 'id' removed from tests

manager: supervisord stops with non-zero exit code whenever manager enters FATAL state

manager: improved logging, no exceptions on shutdown -> now it looks almost as before trying to invert the process tree

manager: initial support for inverted process tree (manager running under a subprocess manager started by manager)

Merge !1315: hints.add_hosts(): respect comments anywhere in a line

hints.add_hosts(): respect comments anywhere in a line

hints tests: simple check of comment parsing

Merge branch 'manager-remove-systemd-support' into 'manager'

Remove systemd backend support

See merge request knot/knot-resolver!1318

manager: datamodel: watchdog section removed

manager: reorganization of manager startup and subprocess controller selection

manager: updated poethepoet to prevent exceptions when stopping dev run

manager: datamodel: supervisor section removed
- watchdog moved to top-level

fix manager's gitlab CI config usage of removed features

manager: remove systemd support

Why? Because it is dangerous to use. You'd have to run manager with root privileges
to be able to spawn systemd services via DBus. There is an option to do the same
with session instances of systemd, but that is unpackageable and pretty much unusable
in production. We will therefore rely on supervisord, as it's support got much better
recently.

Merge branch 'manager-supervisord-improvements' into 'manager'

supervisord improvements

See merge request knot/knot-resolver!1280

Merge !1314: daemon/tls: fix a double-free for some cases of policy.TLS_FORWARD

daemon/tls: fix a double-free for some cases of policy.TLS_FORWARD

The double-free may have happened in some cases when the upstream
resolver was stopped while answering a forwarded query. I was reliably
reproducing it by running resperf on two kresd instances with one forwarded
to the other, and killing the upstream one.

Merge !1310: modules/priming: downgrade logs to 'info' level

modules/priming: downgrade logs to 'info' level

When kresd starts without working internet connection, these would spam
logs by default every 10 seconds, which doesn't seem useful.

modules/priming: don't warn against unloading it

I can't see sufficient motivation here.  The cache will be slightly
less ready, but it's not often that you need to contact a root server.

Most importantly, kresd must work well anyway, even with empty cache.
Also, the compiled-in address set of root servers should be quite
accurate - the NS set has never changed, and the last address change
was five years ago with just one of 26 records changing.

Merge !1316: nit: daemon/http: remove dead code

nit: daemon/http: remove dead code

manager: optimized supervisord process startup by using custom version of XML-RPC API

manager: fix bad config schema definition

manager: more startup logging and small supervisord detection optimization

manager: bug fix: utility function to spawn subprocesses did not unblock signals, so spawned processes could not be stopped properly

configured build system for native C extensions

made supervisord sd_notify() plugin properly functional + supervisord config changes

- X-SUPERVISORD-TYPE=notify in a process's environment should make the process behave similarly to Type=notify systemd service units
- startsec with the above means time, after which it will get killed without ready notification

manager: experimental implementation of supervisord extension to support sd_notify()

contains:
- python module written in C, because Python does not support socket auxiliary messages like SCM_CREDENTIALS
- XML-RPC extension for supervisord, which actually does not do anything except for injecting code into supervisord internals

changed supervisord controller so that we don't need to be rewriting config with every change

manager: add time since startup to logs

Merge !1311: daemon/http: improve URI checks

Fixes #746

Merge branch 'manager-datamodel-policy' into 'manager'

manager: datamodel: policy improvements

See merge request knot/knot-resolver!1312

manager: datamodel: policy: action validation refactored

manager: datamodel:  removed 'Dict' from policy sections
- related to #702

manager: datamodel: slices: actions validation

daemon/http: improve URI checks

The `check_uri()` function now only checks that the endpoint is either
`/doh` or `/dns-query`. Parameter checks were moved into
`process_uri_path()` so that the check only takes place for GET
requests. POST requests now do not care about parameters at all.

manager: datamodel: policy: forward action validation

Merge branch 'release-5-5-1' into 'master'

release 5.5.1

See merge request knot/knot-resolver!1308

NEWS: date update

ci/images: git://github.com won't work anymore

AUTHORS update

release 5.5.1

manager: datamodel: policy: forward-tls action removed
- ForwardServerSchema moved to policy_schema module

manager: datamodel: policy: schema extended by new policy actions
- policy schema tests improved

manager: datamodel: logging module renamed

Merge !1307: tests/config: improve difference prints of tables

tests/config: improve difference prints of tables

Merge !1306: renumber: get rid of netmask limitation, now support any netmask

renumber: fix incorrect masking of bytes after netmask boundary

(we changed the original fix a bit)

renumber: test for arbitrary netmask

renumber: get rid of netmask limitation, now support any netmask

(with minor cleanups from vcunat)

Merge !1299: tweak inlining

ci: fixup lint:scan-build

I have no idea why this one appeared right now (part not touched),
and it does not make sense at all:

../../../lib/utils.c:524:20: warning: Out of bound memory access (accessed memory precedes memory block)
        buf[len_need - 1] = 0;
        ~~~~~~~~~~~~~~~~~~^~~

tweak inlining

I used -Winline (optimizing, gcc 11 or 12) to gather warnings
about cases that were considered too expensive for inlining.
Some of these probably used not to happen when we were dropping
assertions during preprocessing in -DNDEBUG builds.
This commit mainly improves size of the compiled binary by several KiB.

- queue_head_impl(): optionally (un)inline; not big but in warnings
- queue_pop_impl(): uninline; too complex for my today's eyes
- kr_rand_bytes(): optionally (un)inline
  The inlining potential there comes from calling with a constant.
- kr_straddr(): uninline.  It's never been meant for hot code,
  and this gives us large savings due to deduplicating the static array.
- For some I couldn't see a good resolution due to restrictions in C.

C hint: `static inline` is probably well known;
the other inline combination is well explained at:
https://stackoverflow.com/a/6312813/587396

manager: datamodel: policy: validation refactored
- forward_zone.py renamed to forward_zone_schema.py

Merge !1298: lib/selection: improve IPv6 avoidance if broken + debug logs

lib/selection debug logs: print one more line

And that made the "NO6: is KO" line extraneous.
Example in context:
[select][14162.01]   => id: '15271' choosing from addresses: 0 v4 + 1 v6; names to resolve: 6 v4 + 5 v6; force_resolve: 0; NO6: IPv6 is OK
[select][14162.01]   => id: '15271' choosing: 'ns1.p31.dynect.net.'@'2600:2000:2210::31#00053' with timeout 774 ms zone cut: 'amazon.com.'
[select][14162.01]   => id: '15271' updating: 'ns1.p31.dynect.net.'@'2600:2000:2210::31#00053' zone cut: 'amazon.com.' with rtt 316 to srtt: 311 and variance: 89

lib/selection: improve IPv6 avoidance if broken

It was still possible to get into a deadlock here.
https://forum.turris.cz/t/not-connecting-to-applications-like-discord/17111/7
If A records for a NS fell out of cache but AAAA remained,
with probability 1-\epsilon we'd choose an AAAA address
even if IPv6 was considered broken.

I looked at *the whole* no6 strategy again, and I do think that
there are no such holes anymore.  A few percent attempts will still
go over IPv6 even if it's considered broken, but that sounds OK-ish.

manager: datamodel: templates: jinja2 macros for policy.slice()

manager: datamodel: slices section created

Merge !1304: tests/packaging: print build_log of failed commands

tests/packaging: print build_log of failed commands

Merge !1284: ci: add x86+arm matrices where simple

ci docker: make into a x86+arm matrix

No other job can do it, as we don't have docker images ready for that,
and the usual manual workflow won't be well usable with arm64.
We'll need to convert their generation to (manual?) CI schedules.

ci/pkgtest: make nixos-unstable into a x86+arm matrix

Other pkgtest jobs can't do this, as they're designed for LXC
and we don't have an arm+LXC runner.

Merge !1305: nits: abort() and #include

drop unused #include lines

https://clangd.llvm.org/design/include-cleaner
Though somehow I'm all the time getting false positives for
"daemon/bindings/impl.h"

replace some occurrences of abort() by kr_require()

It provides more information and the condition is typically
easier to read, too.

Merge !1303: meson nit: deal with warning about future of run_command

meson nit: deal with warning about future of run_command

WARNING: You should add the boolean check kwarg to the run_command call.
         It currently defaults to false,
         but it will default to true in future releases of meson.
         See also: https://github.com/mesonbuild/meson/issues/9300

In almost all cases we already check the return code explicitly
and throw a more descriptive message than what would be the default.

Merge !1302: renumber: allow renumbering a subnet to a single IP

renumber: named local variables for readability

renumber: add test for single IP rewrite