[![](http://img.blog.itpub.net/blog/2023/04/07/6ecf4d27da7ffc7b.png?x-oss-process=style/bb)](https://www.emqx.com/zh/blog/nanomq-newsletter-202303)

春分時節，萬物復甦，[NanoMQ](https://www.emqx.com/zh/products/nanomq) 專案又如期為大家獻上了最新的 0.17 版本。這一版本主要對 2 個重要功能進行了升級：[MQTT over QUIC](https://www.emqx.com/zh/blog/getting-started-with-mqtt-over-quic-from-scratch) 的雙向認證和 DDS 協議轉換代理的序列化程式碼自動生成。另外還新增了 QUIC 傳輸層的配置引數，增加了 Retain 訊息的持久化，以及釋出了 NanoSDK 0.9 版本等諸多更新。

## QUIC 雙向認證 & 新增配置引數

自從 1994 年提出了 SSL 協議的原始規範以來，TLS 協議也經過了多次版本的更新。最新推出的 TLS 1.3 有望成為有史以來最安全但也最複雜的 TLS 協議。相較於 TLS 1/1.1/1.2，1.3 版本具備更快的連線協商速度，新的金鑰協商機制 PSK 和更安全的加密雜湊演算法。

QUIC 在功能層面等價於 TCP+TLS, 並且已採用最新的 TLS 1.3 代替其原有加密協議(QUIC Crypto)。QUIC 協議預設基於 TLS 1.3 完成資料加密連線，且依賴其實現了0-RTT（1-RTT）快速重連握手功能。

[![](http://img.blog.itpub.net/blog/2023/04/07/24f78f56b7191771.png?x-oss-process=style/bb)](https://www.emqx.com/zh/blog/nanomq-newsletter-202303)

當使用 TLS 進行資料加密傳輸時，如需要驗證客戶端合法性，經常會使用到雙向認證。在之前的 NanoMQ 版本中， MQTT over QUIC 橋接預設只使用單向認證。從 0.17 版本開始使用者能夠透過配置開啟 QUIC（TLS 1.3）的雙向認證。

### 如何使用 QUIC 的雙向認證

首先確認自己使用的 NanoMQ 版本已開啟了 QUIC 選項，目前使用雙向認證只需在配置中設定對應的客戶端證書和私鑰等檔案路徑，注意這部分配置無論是使用傳統的 TCP 模式還是 QUIC 模式都一樣有效：

舊配置檔案格式：

```stylus
bridge.mqtt.emqx.tls.enable=false
bridge.mqtt.emqx.tls.key_password=yourpass
bridge.mqtt.emqx.tls.keyfile=/etc/certs/key.pem
bridge.mqtt.emqx.tls.certfile=/etc/certs/cert.pem
bridge.mqtt.emqx.tls.cacertfile=/etc/certs/cacert.pem
```

HOCON 格式:

```clean
## 在 bridge 段落中的 connector 部分

bridges.mqtt {
    nodes = [
        {
            name = emqx
            enable = true
            connector {
                ......
                conn_properties = {
                    ......
                }
                # # Ssl config ##
                # # Ssl config is also valid when working in MQTT over QUIC mode ##
                ssl {
                    enable = false
                    key_password = "yourpass"
                    keyfile = "/etc/certs/key.pem"
                    certfile = "/etc/certs/cert.pem"
                    cacertfile = "/etc/certs/cacert.pem"
                }
            }
```

NanoMQ 的 MQTT over TCP 部分採用的是 MbedTLS 庫進行加解密，與標準的 TCP 連線不同，QUIC 部分採用的是 MsQUIC 子模組專案內建的 OpenSSL API。OpenSSL 和 MbedTLS 兩個目前流行的 SSL 庫在 NanoMQ 專案中可以同時相容執行。

目前 NanoMQ 的 MQTT over QUIC 橋接功能暫時不支援 Windows 環境下執行。由於平臺相容性問題，在 Windows 環境中需要替換使用 schannel 來進行 TLS/SSL 加解密。計劃在後續的版本中完成 Winodws 環境適配。

### 新增 QUIC 傳輸層配置引數

根據使用者反饋，為了保持連線不斷來克服一些極端弱網情況，新版本暴露了 2 個 QUIC 傳輸層引數供使用者自行配置調優。

- `quic_initial_rtt`**：** 初始的 RTT（Round Trip Time） 預測值。QUIC 採用單向遞增的 Packet Number 來標識資料包，即時是重傳包也有獨特的編號，不會引起重傳的歧義性，這樣取樣 RTT 的測量更準確。QUIC 透過 ACK 記錄的接收的資料包文和 ACK 報文之間的延遲來估算RTT，RTT 用於丟失檢測和觸發重傳。這一值就是初始估計網路中的 RTT 情況，使用者可以根據實際網路環境設定合理的 RTT 來保證連線不斷。
- `quic_send_idleTimeout`**：**重置 QUIC 傳輸層擁塞控制檢測的最大空閒時間。擁塞控制會修改內部傳送的滑動視窗大小，此值影響 QUIC 傳輸層對於網路變動的敏感度和自動流控。

配置選項如下：

```ini
bridge.mqtt.emqx.quic_initial_rtt=60
bridge.mqtt.emqx.quic_send_idleTimeout=60
```

## IDL 序列化程式碼生成工具

此前我們提到需要使用者自己根據 IDL 格式來開發轉 JSON 的序列化/反序列化程式碼，未來將提供一個自動化的程式碼生成工具。為了方便 MQTT 使用者能夠簡單快速上手 DDS Proxy 功能，3 月這一工具正式釋出：NanoMQ 推出了 IDL 生成器功能：[idl-serial-code-gen](https://github.com/nanomq/idl-serial)。此工具能夠根據使用者的 DDS IDL 檔案來自動生成 JSON 序列化和反序列化程式碼。

由於 DDS 協議為不可讀不可直接分析的二進位制流，為了提高系統的可互操作性，需要將 DDS 系統的資料在 NanoMQ 中進行必要的轉換以供其他中介軟體如 eKuiper 分析使用。idl-serial-code-gen 工具可以自動生成程式碼來完成 IDL 結構體和 JSON 格式文字之間的互相轉換。

目前 idl-serial-code-gen 工具支援以下 IDL 特性。

- Primitive types
- Structs
- String and string with template
- Sequence template
- Enums
- Part of Annotations

在上一版本的 NanoMQ DDS Proxy 中，預設所有主題都使用同一個 IDL 結構體定義，這限制了單例項能夠轉接的資料型別。新版本新增了 DDS 主題和 [MQTT 主題](https://www.emqx.com/zh/blog/advanced-features-of-mqtt-topics)的對應配置選項，供使用者配置轉發的 Topic 對應關係。

```nginx
forward_rules = {
      ## DDS to MQTT
    dds_to_mqtt = {
        from_dds = "MQTTCMD/topic1"
        to_mqtt = "DDS/topic1"
        struct_name = "remote_control_result_t"
    }
    ## MQTT to DDS
    mqtt_to_dds = {
        from_mqtt = "DDSCMD/topic1"
        to_dds = "MQTT/topic1"
        struct_name = "remote_control_req_t"
    }
}
```

同理 nanomq_cli 工具命令列啟動時也需要指定結構體名稱：啟動DDS客戶端訂閱DDS主題 MQTT/topic1 並指定接收的結構體名稱 remote_control_req_t。

```jboss-cli
$ ./nanomq_cli ddsproxy sub -t "MQTT/topic1" --struct "remote_control_req_t"
```

目前預設 DDS 和 MQTT 主題之間一一對應，不允許一個 MQTT 主題上轉接多個 DDS 主題。

### 編譯 IDL 生成器 idl-serial-code-gen

編譯 `IDL` 生成器 `idl-serial`

```shell
$ git clone https://github.com/nanomq/idl-serial.git
$ cd idl-serial
$ mkdir build && cd build
$ cmake -G Ninja ..
$ ninja 
$ sudo ninja install
```

編譯完成生成可執行檔案 `idl-serial-code-gen`

### 生成 JsonStruct 轉換程式碼

使用 `idl` 檔案 `dds_structs.idl` 生成 `C` 程式碼 `idl_convert.c` 和 `idl_convert.h`

```shell
## 生成C程式碼 idl_convert.c 和 idl_convert.h
$ ./idl-serial-code-gen  dds_structs.idl  idl_convert
```

### 編譯NanoMQ與DDS Proxy

1. 將以上步驟中生成的程式碼檔案 `idl_convert.c` 和 `idl_convert.h` 複製到 `nanomq_cli/dds2mqtt` 路徑下
2. 透過 cmake 引數 `IDL_FILE_PATH` 指定 `idl` 檔案路徑 (不指定則預設為工程路徑下的 `etc/idl/dds_type.idl`)

```shell
$ git clone https://github.com/emqx/nanomq.git
$ cd nanomq
## 複製以上生成的檔案到 nanomq_cli/dds2mqtt/路徑下
$ cp {YOUR_PATH}/idl_convert.* nanomq_cli/dds2mqtt
$ mkdir build && cd build
$ cmake -G Ninja -DIDL_FILE_PATH={IDL_PATH} -DCMAKE_PREFIX_PATH={DDS_LIBRARY_PATH} -DBUILD_DDS_PROXY=ON ..
$ ninja 
$ sudo ninja install
```

目前雖然有了自動化程式碼生成工具，但 DDS Porxy 功能編譯安裝過程較為繁瑣，對於不熟悉工程結構和 DDS 操作的使用者來說比較困難。下一版本將透過 Cmake 來整合這一工具並自動化編譯過程，無需再手動生成原始碼檔案和複製檔案到工程下。

## NanoSDK 0.9 版本釋出

與 NanoMQ 0.17 一同釋出的還有 NanoSDK 0.9 版本。這一版本將 NanoMQ 中創新的 MQTT over QUIC 多流連線功能和在橋接中使用的新的回撥函式同步至 NanoSDK。NanoSDK 0.10 版本也在籌備開發中，將提供 MQTT5 over QUIC 協議支援和繼續增加類 Paho 的使用方法。

## 其他修復和更新

NanoMQ 0.17 版本還有一些小功能更新：

1. **支援 Retain 訊息持久化至 SQLite3**： 根據使用者需求，為 NanoMQ 新增了，當開啟 SQLite 的訊息快取和持久化功能時預設儲存所有的 Retain 訊息至 SQLite。
2. **MQTT5 橋接增加更多配置引數：** 為 MQTT5 橋接新增了遺願訊息相關的配置引數。

此外還有一些問題修復和最佳化：

1. 修復橋接連線中拒絕接受帶有 Subscription Identifier 訊息的問題。
2. 修復橋接連線接收到 Retain 訊息時會造成資料型別不相容而導致的協議錯誤斷開。
3. 修正了 HTTP API `api/v4/clients` 中獲取到的錯誤的會話保持狀態。
4. 修改了 Broker 的行為：當客戶端使用會話保持功能並斷開連線時， 之前 Broker 希望能夠複用此 Socket 等待客戶端自動重連，而不會主動關閉。如今已修改為普通關閉操作。此功能的討論：[點選檢視](https://github.com/emqx/nanomq/discussions/1108)
5. 在 NanoNNG 模組中更新了新的 `nng_mqtt_quic_open_conf` API 用於開啟 QUIC 連線。
6. 最佳化 CMakeList 修復 OpenSSL 和 MbedTLS 庫在編譯階段造成的不相容問題。

## 即將到來

NanoMQ 專案目前的重點是提升 NanoSDK 的易用性和支援 MQTT5 over QUIC 橋接，並且將繼續完善 DDS 協議代理功能和提供更多更豐富的文件和教程。原計劃中的 SOME/IP 協議代理將推遲至下一個版本釋出。

>版權宣告： 本文為 EMQ 原創，轉載請註明出處。
>
>原文連結：[https://www.emqx.com/zh/blog/nanomq-newsletter-202303](https://www.emqx.com/zh/blog/nanomq-newsletter-202303)

QUIC 雙向認證、DDS 代理功能升級

相關文章