Выпуск Pingora 0.7, фреймворка для создания сетевых сервисов

31.01.2026 18:55 (MSK)

Компания Cloudflare опубликовала выпуск фреймворка Pingora 0.7, предназначенного для разработки защищённых высокопроизводительных сетевых сервисов на языке Rust. Построенный при помощи Pingora прокси уже более двух лет используется в сети доставки контента Cloudflare вместо nginx и обрабатывает более 40 млн запросов в секунду. Код написан на языке Rust и опубликован под лицензией Apache 2.0.

Основные возможности Pingora:

Поддержка HTTP/1 и HTTP/2 (в планах HTTP/3), а также возможность создания сервисов, использующих свои протоколы или UDP/TCP.
Поддержка многопоточной обработки запросов в асинхронном режиме.
Возможность прикрепления callback-обработчиков и фильтров, позволяющих управлять различными стадиями обработки запроса, а также изменять, перенаправлять, блокировать и журналировать запросы и ответы.
Проксирование gRPC и WebSocket.
Подключаемые балансировщики нагрузки.
Возможность изменения конфигурации без перезапуска.
Поддержка обновления кода приложения без разрыва соединений.
Средства для переключения нагрузки в случае сбоя (failover).
Интеграция с различными системами мониторинга и ведения логов (Syslog, Prometheus, Sentry, OpenTelemetry).
Поддержка TLS-шифрования (применяется OpenSSL, BoringSSL или Rustls).
Готовые Rust-пакеты для создания HTTP-прокси, работы с сетевыми протоколами, разбора заголовков HTTP, учёта и ограничения трафика, балансировки нагрузки, работы с распределённой хэш-таблицей Ketama, поддержания кэша в оперативной памяти и асинхронной обработки таймаутов.

Среди изменений в новой версии:

В структуру SslDigest добавлено поле "extension", а для типажа TlsAccept реализован обработчик handshake_complete_callback, позволяющие прикреплять к TLS-соединению произвольные данные, специфичные для приложения. В качестве примера показано как использовать данную возможность для создания сервера, читающего информацию из сертификата клиента и возвращающего её в HTTP-ответе.
Добавлен типаж ConnectionFilter для фильтрации TCP-соединений на стадии до согласования параметров TLS, что позволяет экономить ресурсы, сбрасывая соединения на ранней стадии.
Добавлена поддержка виртуальных потоков транспортного уровня (Virtual L4 Streams), позволяющих интегрировать в pingora-proxy собственные реализации сетевых протоколов.
Реализована возможность использования опций verify_cert и verify_hostname в конфигурациях с rustls.
Для внешних crate-пакетов разрешён доступ к структуре HttpProxy для переопределения логики проксирования запросов.
Разрешено выделение фоновых обработчиков подзапросов из основного обработчика сеанса.
Предоставлена возможность отслеживания размера тела запросов HTTP1 и HTTP2, а также метрик работы прокси.
Добавлена возможность создания собственных сеансов для инкапсулированного HTTP-трафика.
Выставлено ограничения на использование версий библиотеки lru (0.16.3 или новее) из-за уязвимости в реализации итератора IterMut, приводящей к аварийному завершению из-за срабатывания проверки заимствования переменных (borrow checker).

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64710-pingora

Ключевые слова: pingora, rust

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (38)

1.1, Аноним (-), 19:12, 31/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
При том судя по тому что я вижу - кроме клаудспайвари никто их нечто особо и не юзает. Очередной театр одного актера, да еще занимающегося TLS Bumping.

2.4, Аноним (4), 19:15, 31/01/2026 [^] [^^] [^^^] [ответить]

+3 +/–

> При том судя по тому что я вижу - кроме клаудспайвари никто их нечто особо и не юзает.

А у нас много компаний такого уровня как клоудфларь?
У скольких из них свои наработки или просто NIH-синдром?

Вот то-то и оно)

3.15, Аноним (15), 20:55, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
> много компаний такого уровня как клоудфларь? Конечно нет, мало у кого есть комплекс тотального MITM-а

4.23, Аноним (23), 21:40, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
https://habr.com/ru/articles/968218/

5.32, нах. (?), 23:07, 31/01/2026 [^] [^^] [^^^] [ответить]

+/–

ну ты сравнил! полтора браузера от товарищмайора которые вы, нацпредатели, еще и ставить упрямо не желаете и вашей бабуле не дали, не говоря уж о том что добыть и расшифровать что-то из той горы мусора что на всяк случай хранят яровые с озимыми - почти нереальная задача, и вот - роешься-роешься, гигаватты тратишь, а там - опять не установили самый правильный сертификат и расшифровать ничего невозможно, тьфуй. А на госуслугах и так все твои ходы записаны, там и расшифровывать незачем.

И клаудшмразь, в которую тебя сдают добровольно и с песнями все подряд - и вот с этим ты сделать - ничегошеньки и не можешь.

2.5, Аноним (5), 19:17, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
Потому что это низкоуровневый продукт, нужный далеко не всем. Это как взять nginx и выкинуть из него всё, кроме reverse proxy, а потом ещё чуть-чуть - сразу можно считать на пальцах кому такой продукт будет нужен.

3.11, нах. (?), 20:22, 31/01/2026 [^] [^^] [^^^] [ответить]

+1 +/–

> Потому что это низкоуровневый продукт, нужный далеко не всем. Это как взять
> nginx и выкинуть из него всё, кроме reverse proxy, а потом
> ещё чуть-чуть - сразу можно считать на пальцах кому такой продукт
> будет нужен.

он даже после этого не перестанет запускаться. А "фреймворк" запустить нельзя.

Когда Сысоеву понадобился прокси - он что написал? Правильно - прокси. А не "фреймворк".
(более того, изначально им написанное было mod_accel для апача, т.е. наоборот - деталька для существовавшего и использовавшегося веб-сервера. И только когда стало ясно что одним прокси не обойтись и нужно еще и сам веб-сервер - появился nginx. Опять готовая программа а не "фреймворк". Которую любой желающий мог взять и запустить у себя - в том же точно виде, в котором ее запускал автор.)

Что там на самом деле за закрытыми дверями запускает клаудшмара, и какая часть от этого "фреймворк", и есть ли он там вообще и в каких масштабах - она признаваться не хочет, выводы в общем напрашиваются очевидные.

4.34, Аноним (34), 23:22, 31/01/2026 [^] [^^] [^^^] [ответить]

+1 +/–

> он даже после этого не перестанет запускаться. А "фреймворк" запустить нельзя.

А раскуривать в ЭТО - желающих предсказуемо будет около ноля.

> Когда Сысоеву понадобился прокси - он что написал? Правильно - прокси. А
> не "фреймворк".

Кладфларь набрала - хипстеров по объявлениям. Затонарастишкеотданон! Не какая-то фигня!
(ну и что что никто пользоваться не будет, зато отчетик пафосный)

> в каких масштабах - она признаваться не хочет, выводы в общем
> напрашиваются очевидные.

Ну так и usage этой фичи - "нужно аж целой клаудспайвари". Зато отчетики строгают какие они там все безопасТные.

2.10, нах. (?), 20:15, 31/01/2026 [^] [^^] [^^^] [ответить]

+2 +/–

> При том судя по тому что я вижу - кроме клаудспайвари никто
> их нечто особо и не юзает

так ЭТО недоразумение и невозможно юзать. Это "фреймворк", б....!!! Как ты его "юзать" собрался?
Вот попробуй поюзай, я не знаю - gtk ?

> Очередной театр одного актера, да

причем кукольный. Чья там рука в ... э... за ширмой - не показывают.

Вот ты бы, если бы вздумал косплейнуть клаудшмару - "фреймворк" бы написал? Очевидно - нет. Ты бы написал прокси-вебсервер. Но вот ЭТУ часть клаудшмара показывать почему-то не хочет. Может, ее там и нет вовсе?

Ну то есть очевидно что-то там есть, но запросто может оказаться nginx'ом при внимательном рассмотрении.

3.13, Аноним (13), 20:54, 31/01/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Сабж такая же фикция и показуха как и опенсорс, ядра макос от эпл. Если кто-то этоиму и радуется то только по причине недалёкого ума.

4.21, Аноним (23), 21:29, 31/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
https://opennet.ru/57793-cloudflare

5.28, Аноним (28), 22:35, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
Костыль ради костыля, которым никто кроме производителя пользоваться не может нормально.

4.30, нах. (?), 22:53, 31/01/2026 [^] [^^] [^^^] [ответить]

+/–

не, ну про эпл ты зря - kext'ы позволявшие запустить макос на хакинтошах были бы невозможны, если бы этот код не был настоящим.

Другой вот пользы от этого "открытого" кода действительно никакой. Но это в основном потому что нет больше энтузиастов, способных разобраться и сделать из этого что-то приемлемое.
Те немногие что еще готовы заниматья написанием операционных систем не за зарплату - либо в *bsd, либо в странные игрушки типа ресдоха играют.

3.24, Аноним (-), 21:55, 31/01/2026 [^] [^^] [^^^] [ответить]

–2 +/–

Лол, ну тебя порвало)

Наконец-то дипломированный специалист НИИ во тыренью тележек в аэропортах высказал свое ценное мнение.

> так ЭТО недоразумение и невозможно юзать. Это "фреймворк", б....!!! Как ты его "юзать" собрался?

Собрать при помощи "фреймворка" то что тебе нужно?

> Вот попробуй поюзай, я не знаю - gtk ?

Ты вообще в курсе что такое gtk?

4.35, Аноним (35), 23:35, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
> Собрать при помощи "фреймворка" то что тебе нужно? Ну и вот сколько это сделало? А то клайдспайвар релизит, релизит свой фреймворк. Примерно как эпл - ядра макоси. Ритуал ради ритуала. Ибо где real world usage этой штуки?

1.2, Аноним (2), 19:12, 31/01/2026 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

> приводящей к аварийному завершению из-за срабатывания проверки
> заимствования переменных (borrow checker)

Ого, он таки работает.
И всего лишь крешится, а не выполняет произвольный код.
Неплохо, неплохо. Будет наблюдать за их прогрессом.

2.8, Аноним (-), 19:29, 31/01/2026 [^] [^^] [^^^] [ответить]

+/–

> всего лишь крешится, а не выполняет произвольный код.

А что так можно было?! (с)

Но такой код очень расстраивает товарищей майоров.

2.14, Аноним (13), 20:55, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
Это плохо. Мониторить что запускает твой сервер гораздо проще.

1.3, Аноним (23), 19:15, 31/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Построенный при помощи Pingora прокси уже более двух лет используется в сети доставки контента Cloudflare https://www.netcraft.com/blog/december-2025-web-server-survey

2.6, Аноним (23), 19:19, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
+ подробный отчёт за весь 2025: https://radar.cloudflare.com/year-in-review/2025

2.7, Анонимусс (?), 19:22, 31/01/2026 [^] [^^] [^^^] [ответить]

+/–

Интересные цифры, спасибо.

У клаудфари хорошая динамика.

По этой статистике он уже обогнала nginx в категории
Market share: active sites и Market share: top busiest.
И видно как падает market share у nginx и Apache.

3.17, Аноним (13), 20:58, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
Доля nginx и apache падает из-за графы others. Своевременные вебчнрверы их вытесняют. Сабж ваше непричем тут.

4.20, Аноним (23), 21:10, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
Внимательнее посмотрите, долю в активных сайтах и самых посещаемых.

5.27, Аноним (28), 22:34, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
И чего там кладуфлерка если уж на то пошло просто сервис. Реальные вебсераера другие. И это уже все реже апач и нжинкс.

1.9, Мемоним (?), 20:09, 31/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Интересно бы посмотреть статистику сбоев КФ. Как-то по субъективным ощущениям густо пошло в последнее время. При Энжинксе такого не было!

1.18, Аноним (13), 20:59, 31/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Клаудфлер уже перестал падать перед тем как учить как надо трафик через себя пропускать?

2.25, Аноним (23), 22:00, 31/01/2026 Скрыто ботом-модератором [к модератору]	–1 +/–

1.19, FSA (ok), 21:10, 31/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Поддержка HTTP/1 и HTTP/2 (в планах HTTP/3), Было бы интересно, но у меня на nginx уже HTTP/3.

2.22, Аноним (23), 21:31, 31/01/2026 [^] [^^] [^^^] [ответить]	+/–
Ну так: https://opennet.ru/51695-quic

1.26, kusb (?), 22:29, 31/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Блин. Opennet за Cloudflare. Эта штука наверное используется для доступа к опеннету. Невозможно написать комментарий против rust на опеннете, чтобы его не обработала программа на Rust.

2.31, нах. (?), 22:57, 31/01/2026 [^] [^^] [^^^] [ответить]

+/–

> Блин. Opennet за Cloudflare.

уровень экспертизы...

3.33, kusb (?), 23:14, 31/01/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Уже нет? Ну ладно. Это ещё хорошо, они этой штукой отчасти ломают интернет. Точнее Cloudflare вместо интернета.

4.37, Аноним (15), 23:46, 31/01/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> Cloudflare вместо интернета Дак Штаты - первая страна, которая объявила о прекращении сетевого нейтралитета.

4.38, нах. (?), 23:49, 31/01/2026 [^] [^^] [^^^] [ответить]

+/–

достаточно десятка секунд, чтобы убедиться.

ну и да, опеннету очень важна прозрачность перед товарищмайором, а клаудшмара периодически большими кусками оказывается им заблокирована нафиг.
А включая ентот вот ваше кевеен - вы "все усилия государства чтобы подросток не столкнулся с педофилами сводите на нет". (И вон один уже столкнулся.)

3.36, Аноним (-), 23:45, 31/01/2026 [^] [^^] [^^^] [ответить]	+2 +/–
>> Блин. Opennet за Cloudflare. > уровень экспертизы... А он таки реально - за клаудспайварью. Который opennet.me. А который .ru - без клайдспайвари. Зачем так? А ктулху^W Чирков бы бы его знает!

4.39, нах. (?), 23:55, 31/01/2026 [^] [^^] [^^^] [ответить]

+/–

> Который opennet.me.

хз кто на него ходить может. Кроме ботов.

> Зачем так?

чтоб товарищмайору было виднее. (боты его разумеется не волнуют, пока не дискредитируют)

1.42, Аноним (42), 00:16, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
из топика> читающего информацию из сертификата клиента и возвращающего её в HTTP-ответе. Интересно, почему именно это их интересует? И куда уходит ответ? Что за присоединение данных в закрытое TLS?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: