Lua通过标准库实现了核心之外的功能，如math库，I/O库等。本文来分析math标准库的实现, 代码位于lmathlib.c。

math库提供了一组标准的数学函数，如绝对值函数, 三角函数，随机数函数等。调用方式为:

1

a = math.abs(-1)

标准库由C语言函数实现，提供给Lua程序使用。Lua程序与C函数通过虚拟栈交互。Lua将参数压入栈中，C函数从栈中获取参数，并将结果压入栈中，C函数返回入栈的结果数量。C函数无需在压入结果前清空栈，Lua会在函数执行完成后从栈中获取结果并自动清空结果下的内容。

Lua调用的C函数的格式是固定的，定义在lua.h中:

1

typedef int (*lua_CFunction) (lua_State *L);

默认情况下，Lua源码编译后会生成三个文件:

• lua: Lua解释器的命令行程序，在命令行下执行Lua脚本文件
• luac: Lua编译器，将Lua程序编译成Lua的字节码
• liblua.a: Lua语言的功能实现库，通过该库的API调用可以将Lua嵌入其他语言

Lua 是一种解释型语言，执行方式如图:

首先将Lua源码编译成Lua字节码，然后由虚拟机来执行Lua字节码。

Thrift(https://thrift.apache.org/)是一个轻量级、语言无关的RPC框架。它定义了一套简单直观的IDL(Interface Definition Language)用于描述服务接口规范。 通过代码生成引擎将IDL描述的接口规范生成各种目标语言(如C++
，JAVA等)的源码文件。应用开发者基于这些源码构建服务端和客户端。通过这种方式，Thrift屏蔽了不同语言间的数据序列化/反序列化、数据传输、网络通信等与业务逻辑不相关的部分，使开发者只需关心业务逻辑实现。

twemproxy(https://github.com/twitter/twemproxy)是Twitter开源的Redis和Memcached代理程序，它可以将多个后端server组织成一个ServerPool, 基于请求的Key从Pool中选取一个server实例进行操作，从而实现分片存储。

twemproxy采用事件驱动处理网络数据收发。程序启动后会单独创建一个线程来处理stats请求，而主线程进入事件循环处理访问所有ServerPool的Redis或Memcached请求。

我们的NGINX的IP封禁功能基于Redis实现。当只支持单IP封禁时，直接以IP作为KEY，调用”GET”命令，根据Value判断是否需要封禁该IP。若要支持网段封禁，需要取出所有的CIDR段，然后判断IP是否在CIDR范围内。随着CIDR越来越多，从Redis中取出的数据则越来越多，性能消耗越来越大。为了减少数据传输量，则可以将判断逻辑改由Redis来完成。

Redis本身支持Lua脚本的执行，可以由Lua来实现相应逻辑。不过Lua语言本身不支持位运算(5.2之后支持)，需要第三方库支持。所以，我们直接通过修改Redis代码扩展Redis命令来实现该功能。

在LVS的FULLNAT转发模式下, LVS对数据包同时做SNAT和DNAT，将数据包的源IP、源端口更换为LVS本地的IP和端口，将数据包的目的IP和目的端口修改为RS的IP和端口，从而不再依赖特定网络拓朴转发数据包。

这种方式存在一个问题: RealServer中接收到数据包中源IP和源端口为LVS机器的IP和端口，这样应用层程序获取到的TCP连接的客户端地址为LVS的IP地址，很多依赖客户端地址的功能就不能正常工作了。

为了解决这问题，FULLNAT模式在转发包的时候，在TCP包中添加一个OPTION，来传递客户端的真实地址。RealServer中通过内核模块toa令应用层程序获取真实的客户端地址。

Varnish使用状态机机制处理请求，在各个状态中，用户通过使用Varnish自己实现的VCL(Varnish Configuration Language)定制处理逻辑。

比如，Varnish接收并解析完请求就进入vcl_recv状态。在这个阶段，我们可以使用VCL来决定是否要服务该请求，怎么服务，以及使用哪个Backend来服务等。

VCL实现了状态的流程控制，请求信息的读取和修改等，但很多业务层面需要的逻辑没办法由VCL简单完成。比如，对某些信息进行BASE64编码等等。由于Varnish支持外部模块，用户可以使用C语言开发自己的模块，由VCL来调用这些模块来完成这些处理。但每种功能都由C模块来开发成本较大。

Lua是一种优秀的脚本语言，可以非常轻松地嵌入C语言中，而Lua语言本身有大量的库来实现各种各样的功能。因而我开发了VMOD_LUA这个Varnish模块，使用它来执行Lua脚本，由Lua代码来定制各种处理逻辑。

ngx_http_limit_conn_module模块用来限制某个KEY的并发连接数。它的实现与ngx_http_limit_req_module模块类似，整体逻辑和实现更为简单。LimitConn模块也将某个KEY的信息存储在共享内存RBTREE中的节点中, 但不需要QUEUE结构。LimitConn模块只需要在节点中记录当前的连接数信息:

1
2
3
4
5
6

typedef struct {
    u_char                     color;
    u_char                     len;
    u_short                    conn;
    u_char                     data[1];
} ngx_http_limit_conn_node_t;

LVS包转发功能由内核模块IPVS实现。Keepalived的Check进程周期性地对后端RealServer进行健康检测，根据检测结果摘除或恢复。摘除和恢复RealServer等操作本质上为Keepalived这个用户态进程与IPVS内核模块的通信操作。

libipvs封装了用户态程序对内核模块IPVS可以进行的操作，如:

• 创建LVS服务
• 删除LVS服务
• 添加RealServer
• 删除RealServer
• 获取相关信息

ngx_http_limit_req_module用于依据指定的KEY来限制请求处理速度。比如，用来限制单个IP的访问频率。

文档地址: http://nginx.org/en/docs/http/ngx_http_limit_req_module.html

下面来看具体实现:

NGINX模块从逻辑中主要有两部分：

• 配置解析: 将配置文件的内容解析到各配置结构中
• 请求处理: 在当前请求上完成模块逻辑处理