深入理解nginx stream proxy 模块的ssl连接原理

1. 源起

我一直来对ssl建立连接的过程一知半解，以前分析nginx代码的时候一旦碰到ssl连接部分的代码都是直接跳过，前面在分析ngx_http_upstream_dynamic_module的时候正好想到了是不是可以给它添加一个能够支持https健康检查的功能，所以今天决定沉下心来仔细分析一下nginx本身的与上游服务器建立连接的实现逻辑。

为了简单起见，我决定选用ngx_stream_proxy_module模块作为分析学习的目标，因为相对于ngx_http_stream_proxy_module来说，前者逻辑上更加纯粹，少了七层的业务逻辑，让我能够更加专注地去分析关于ssl连接处理逻辑部分。

希望这次通过分析，能够对ssl连接的建立以及其后续的读写交互的实现逻辑有个整体的把握，在此基础上，将来为ngx_http_upstream_dynamic_module实现一个能够支持https主动健康检测的功能。

这次，我准备采用官方原生的最新稳定版nginx 1.24.0作为分析对象。为什么不用tengine呢？因为现在的tengine还夹杂了国密openssl的支持逻辑，采用官方原生版本更加纯粹，让分析的目标更加聚焦。

2. 分析验证环境的配置

配置一个分析验证环境来进行测试分析还是非常简单的，过程如下：

1. 从官网下载好nginx 1.24.0版本后进行解压，然后用以下命令进行配置：

代码语言：javascript

复制

./configure --prefix=`pwd` --with-stream --with-stream_ssl_module

这样nginx从源码层面就开启了支持ssl的TCP代理能力。

2. 对nginx.conf文件进行配置，配置内容如下：

代码语言：javascript

复制

#user  nobody;

worker_processes  1;
#error_log  logs/error.log;

#error_log  logs/error.log  notice;

#error_log  logs/error.log  info;
#pid        logs/nginx.pid;
events {

worker_connections  1024;

}
stream {

server {

listen 9000;

proxy_ssl on;               /* 连接上游服务器采用ssl协议 */

proxy_pass 104.193.88.77:443;

}

}

3. 启动nginx，进行curl测试：

代码语言：javascript

复制

 curl "http://127.0.0.1/test/" -v

Trying 127.0.0.1:9000...
Connected to 127.0.0.1 (127.0.0.1) port 9000 (#0)

> GET /test/ HTTP/1.1

> Host: 127.0.0.1:9000

> User-Agent: curl/7.81.0

> Accept: /

>
Mark bundle as not supporting multiuse

< HTTP/1.1 500 Internal Server Error

< Content-Length: 0

< Content-Type: text/plain; charset=utf-8

< Date: Wed, 07 Feb 2024 02:57:01 GMT

< Server: bfe

<
Connection #0 to host 127.0.0.1 left intact

从上面的信息中已经可以看到上游服务器已经响应了，只不过它响应是500错误，这个无所谓，至少表明https透明代理的功能已经正常工作了。

3. 源码分析

本文主要聚焦在ssl连接逻辑的分析，所以中间会跳过和ssl逻辑不太相关的代码，虽然可能这部分对nginx本身的功能逻辑非常重要。另外，本文也假设只是TCP代理，不对UDP代理进行分析。

下面直接进入主题，从代理模块的请求入口点开始分析。

3.1 代理模块的请求入口点分析

代理模块的请求入口点是ngx_stream_proxy_handler函数，一旦客户端和nginx建立了TCP连接后，nginx就会调用代理模块的这个函数，开始与上游服务器建立连接。

该函数源码主要就是以下列出的三个步骤：

代码语言：javascript

复制

static void
ngx_stream_proxy_handler(ngx_stream_session_t *s)
{
  /* 创建ngx_stream_upstream_t上下文,对它进行必要的初始化，
     并关联到ngx_stream_session_t中 */
  /* 如果上游服务器的地址已经解析好就调用ngx_stream_proxy_connect开始连接上游服务器 */
  /* 如果上游服务器的地址需要域名解析则开启异步解析流程 */   
}

因此，我们需要重点关注的是ngx_stream_proxy_connect，它负责与上游服务器建立TCP连接。

3.2 发起与上游服务器的连接

代码语言：javascript

复制

static void

ngx_stream_proxy_connect(ngx_stream_session_t *s)

{

ngx_int_t                     rc;

ngx_connection_t             *c, *pc;

ngx_stream_upstream_t        *u;

ngx_stream_proxy_srv_conf_t  *pscf;
c = s-&gt;connection;

c-&gt;log-&gt;action = &#34;connecting to upstream&#34;;

pscf = ngx_stream_get_module_srv_conf(s, ngx_stream_proxy_module);

u = s-&gt;upstream;

u-&gt;connected = 0;
u-&gt;proxy_protocol = pscf-&gt;proxy_protocol;

if (u-&gt;state) {
    u-&gt;state-&gt;response_time = ngx_current_msec - u-&gt;start_time;
}

u-&gt;state = ngx_array_push(s-&gt;upstream_states);
if (u-&gt;state == NULL) {
    ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
    return;
}

ngx_memzero(u-&gt;state, sizeof(ngx_stream_upstream_state_t));

u-&gt;start_time = ngx_current_msec;

u-&gt;state-&gt;connect_time = (ngx_msec_t) -1;
u-&gt;state-&gt;first_byte_time = (ngx_msec_t) -1;
u-&gt;state-&gt;response_time = (ngx_msec_t) -1;

/* 创建SOCKET，并发起异步连接请求*/

rc = ngx_event_connect_peer(&u->peer);
ngx_log_debug1(NGX_LOG_DEBUG_STREAM, c-&gt;log, 0, &#34;proxy connect: %i&#34;, rc);

if (rc == NGX_ERROR) {
    ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
    return;
}

u-&gt;state-&gt;peer = u-&gt;peer.name;

if (rc == NGX_BUSY) {
    ngx_log_error(NGX_LOG_ERR, c-&gt;log, 0, &#34;no live upstreams&#34;);
    ngx_stream_proxy_finalize(s, NGX_STREAM_BAD_GATEWAY);
    return;
}

if (rc == NGX_DECLINED) {
  /* 连接失败，则通过负载均衡请求下一个上游服务器 */
    ngx_stream_proxy_next_upstream(s);
    return;
}

/* rc == NGX_OK || rc == NGX_AGAIN || rc == NGX_DONE */

pc = u-&gt;peer.connection;

pc-&gt;data = s;
pc-&gt;log = c-&gt;log;
pc-&gt;pool = c-&gt;pool;
pc-&gt;read-&gt;log = c-&gt;log;
pc-&gt;write-&gt;log = c-&gt;log;

if (rc != NGX_AGAIN) {
  /* 如果连接已经建立成功了，则进一步初始化 */
    ngx_stream_proxy_init_upstream(s);
    return;
}

/* 设置连接的epoll读写回调函数 */

pc->read->handler = ngx_stream_proxy_connect_handler;

pc->write->handler = ngx_stream_proxy_connect_handler;
/* 开启连接超时定时器 */

ngx_add_timer(pc->write, pscf->connect_timeout);

}

这个函数就是发起向上游服务器的一个TCP连接请求，并设置epoll读写的回调函数，本身还和ssl没有太多的关系，其中几个关键步骤已经通过源码注释进行了解释。

3.3 连接回调

一旦连接成功或者连接超时，nginx的epoll框架最终都会回调到ngx_stream_proxy_connect_handler函数。代码如下：

代码语言：javascript

复制

static void
ngx_stream_proxy_connect_handler(ngx_event_t *ev)
{
    ngx_connection_t      *c;
    ngx_stream_session_t  *s;
c = ev-&gt;data;
s = c-&gt;data;

/* 连接超时，通过负载均衡请求下一个上游服务器 /

if (ev->timedout) {

ngx_log_error(NGX_LOG_ERR, c->log, NGX_ETIMEDOUT, "upstream timed out");

ngx_stream_proxy_next_upstream(s);

return;

}

/ 连接成功了，删除超时定时器 */

ngx_del_timer(c->write);
ngx_log_debug0(NGX_LOG_DEBUG_STREAM, c-&gt;log, 0,
               &#34;stream proxy connect upstream&#34;);

/* 检验是否连接成功，如果没有成功，则通过负载均衡请求下一个上游服务器 /

if (ngx_stream_proxy_test_connect(c) != NGX_OK) {

ngx_stream_proxy_next_upstream(s);

return;

}

/ 如果连接已经建立成功了，则进一步初始化 */

ngx_stream_proxy_init_upstream(s);

}

这里，进入到最关键的环节了，即ngx_stream_proxy_init_upstream。

3.4 TCP连接建立成功后为上下游数据透传做准备

tcp连接建立成功后，需要在业务层面进一步进行初始化，这就是ngx_stream_proxy_init_upstream的功能。对于非ssl连接，那么tcp socket连接建立后就可以进入到本函数进行处理了；但是对于ssl连接，却需要两次进入本函数进行处理，第一次的时候会发现ssl握手还没有执行，就先跑去执行ssl 握手操作，等握手成功以后，会重新回调本函数执行和非ssl连接一样的后续流程。源码如下：

代码语言：javascript

复制

static void
ngx_stream_proxy_init_upstream(ngx_stream_session_t *s)
{
    u_char                       *p;
    ngx_chain_t                  *cl;
    ngx_connection_t             *c, *pc;
    ngx_log_handler_pt            handler;
    ngx_stream_upstream_t        *u;
    ngx_stream_core_srv_conf_t   *cscf;
    ngx_stream_proxy_srv_conf_t  *pscf;
u = s-&gt;upstream;
pc = u-&gt;peer.connection;

cscf = ngx_stream_get_module_srv_conf(s, ngx_stream_core_module);

if (pc-&gt;type == SOCK_STREAM
    &amp;&amp; cscf-&gt;tcp_nodelay
    &amp;&amp; ngx_tcp_nodelay(pc) != NGX_OK)
{
    ngx_stream_proxy_next_upstream(s);
    return;
}

pscf = ngx_stream_get_module_srv_conf(s, ngx_stream_proxy_module);

#if (NGX_STREAM_SSL)
if (pc-&gt;type == SOCK_STREAM &amp;&amp; pscf-&gt;ssl_enable) {

    if (u-&gt;proxy_protocol) {
        if (ngx_stream_proxy_send_proxy_protocol(s) != NGX_OK) {
            return;
        }

        u-&gt;proxy_protocol = 0;
    }
/* 如果开启了ssl但是ssl还没有进行握手，就先进行握手操作，
   握手成功后会重新回调本函数进行后续处理
*/
    if (pc-&gt;ssl == NULL) {
        ngx_stream_proxy_ssl_init_connection(s);
        return;
    }
}

#endif
c = s-&gt;connection;

if (c-&gt;log-&gt;log_level &gt;= NGX_LOG_INFO) {
    ngx_str_t  str;
    u_char     addr[NGX_SOCKADDR_STRLEN];

    str.len = NGX_SOCKADDR_STRLEN;
    str.data = addr;

    if (ngx_connection_local_sockaddr(pc, &amp;str, 1) == NGX_OK) {
        handler = c-&gt;log-&gt;handler;
        c-&gt;log-&gt;handler = NULL;

        ngx_log_error(NGX_LOG_INFO, c-&gt;log, 0,
                      &#34;%sproxy %V connected to %V&#34;,
                      pc-&gt;type == SOCK_DGRAM ? &#34;udp &#34; : &#34;&#34;,
                      &amp;str, u-&gt;peer.name);

        c-&gt;log-&gt;handler = handler;
    }
}

u-&gt;state-&gt;connect_time = ngx_current_msec - u-&gt;start_time;

if (u-&gt;peer.notify) {
    u-&gt;peer.notify(&amp;u-&gt;peer, u-&gt;peer.data,
                   NGX_STREAM_UPSTREAM_NOTIFY_CONNECT);
}

if (u-&gt;upstream_buf.start == NULL) {
    p = ngx_pnalloc(c-&gt;pool, pscf-&gt;buffer_size);
    if (p == NULL) {
        ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
        return;
    }

    u-&gt;upstream_buf.start = p;
    u-&gt;upstream_buf.end = p + pscf-&gt;buffer_size;
    u-&gt;upstream_buf.pos = p;
    u-&gt;upstream_buf.last = p;
}

if (c-&gt;buffer &amp;&amp; c-&gt;buffer-&gt;pos &lt;= c-&gt;buffer-&gt;last) {
    ngx_log_debug1(NGX_LOG_DEBUG_STREAM, c-&gt;log, 0,
                   &#34;stream proxy add preread buffer: %uz&#34;,
                   c-&gt;buffer-&gt;last - c-&gt;buffer-&gt;pos);

    cl = ngx_chain_get_free_buf(c-&gt;pool, &amp;u-&gt;free);
    if (cl == NULL) {
        ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
        return;
    }

    *cl-&gt;buf = *c-&gt;buffer;

    cl-&gt;buf-&gt;tag = (ngx_buf_tag_t) &amp;ngx_stream_proxy_module;
    cl-&gt;buf-&gt;temporary = (cl-&gt;buf-&gt;pos == cl-&gt;buf-&gt;last) ? 0 : 1;
    cl-&gt;buf-&gt;flush = 1;

    cl-&gt;next = u-&gt;upstream_out;
    u-&gt;upstream_out = cl;
}

/* proxy_protocol 协议处理，发送proxy_protocol请求报文 */

if (u->proxy_protocol) {

ngx_log_debug0(NGX_LOG_DEBUG_STREAM, c->log, 0,

"stream proxy add PROXY protocol header");
    cl = ngx_chain_get_free_buf(c-&gt;pool, &amp;u-&gt;free);
    if (cl == NULL) {
        ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
        return;
    }

    p = ngx_pnalloc(c-&gt;pool, NGX_PROXY_PROTOCOL_V1_MAX_HEADER);
    if (p == NULL) {
        ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
        return;
    }

    cl-&gt;buf-&gt;pos = p;

    p = ngx_proxy_protocol_write(c, p,
                                 p + NGX_PROXY_PROTOCOL_V1_MAX_HEADER);
    if (p == NULL) {
        ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
        return;
    }

    cl-&gt;buf-&gt;last = p;
    cl-&gt;buf-&gt;temporary = 1;
    cl-&gt;buf-&gt;flush = 0;
    cl-&gt;buf-&gt;last_buf = 0;
    cl-&gt;buf-&gt;tag = (ngx_buf_tag_t) &amp;ngx_stream_proxy_module;

    cl-&gt;next = u-&gt;upstream_out;
    u-&gt;upstream_out = cl;

    u-&gt;proxy_protocol = 0;
}

/* 设置上下游数据传输速率 */

u->upload_rate = ngx_stream_complex_value_size(s, pscf->upload_rate, 0);

u->download_rate = ngx_stream_complex_value_size(s, pscf->download_rate, 0);
u-&gt;connected = 1;

/* 这里重新设置连接的epoll读写回调函数 */

pc->read->handler = ngx_stream_proxy_upstream_handler;

pc->write->handler = ngx_stream_proxy_upstream_handler;
if (pc-&gt;read-&gt;ready) {
    ngx_post_event(pc-&gt;read, &amp;ngx_posted_events);
}

ngx_stream_proxy_process(s, 0, 1);

}

这个函数和SSL连接相关的重点部分就是以下这部分代码了。

代码语言：javascript

复制

#if (NGX_STREAM_SSL)
if (pc->type == SOCK_STREAM && pscf->ssl_enable) {
if (u->proxy_protocol) {

if (ngx_stream_proxy_send_proxy_protocol(s) != NGX_OK) {

return;

}
u-&gt;proxy_protocol = 0;

}
if (pc->ssl == NULL) {

ngx_stream_proxy_ssl_init_connection(s);

return;

}

}

#endif

代码语言：javascript

复制

这段代码首先判断是否开启了proxy_protocol协议向上游服务器发起请求，关于proxy_protocol的内容可以参考网络协议之:haproxy的Proxy Protocol代理协议，这里略过。
接下去就是关键的初始化连接的ssl上下文了“ngx_stream_proxy_ssl_init_connection”。

连接建立成功后（包括非ssl的tcp连接建立和ssl的握手成功两种情况），最后都需要设置读写回调函数：

代码语言：javascript

复制

    pc->read->handler = ngx_stream_proxy_upstream_handler;

pc->write->handler = ngx_stream_proxy_upstream_handler;

代码语言：javascript

复制

在这个ngx_stream_proxy_upstream_handler回调函数中，可以预见就是接收数据，然后发送到对端，这里的逻辑和ssl关系不大，不再赘述。
但是有一个问题，普通的tcp连接和ssl连接在ngx_stream_proxy_upstream_handler里面最终都要操作系统的recv/send 或者read/write 之类的函数进行socket数据的读写，但是ssl连接通过操作系统的这些函数读取到的肯定是ssl加密后的数据，而write也必然需要发送加密的数据，这是如何做到的呢？这里暂且留一个悬念，留待3.7节进行说明。

3.5 TCP连接的ssl上下文初始化

代码语言：javascript

复制

static void

ngx_stream_proxy_ssl_init_connection(ngx_stream_session_t *s)

{

ngx_int_t                     rc;

ngx_connection_t             *pc;

ngx_stream_upstream_t        *u;

ngx_stream_proxy_srv_conf_t  *pscf;
u = s-&gt;upstream;

/* 获取与上游的连接 */

pc = u->peer.connection;
/* 获取stream proxy模块配置*/

pscf = ngx_stream_get_module_srv_conf(s, ngx_stream_proxy_module);
/* 创建ssl上下文，并将当前的socket句柄绑定到ssl上下文中 */

if (ngx_ssl_create_connection(pscf->ssl, pc, NGX_SSL_BUFFER|NGX_SSL_CLIENT)

!= NGX_OK)

{

ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);

return;

}
/* 如果设置了上游服务器需要校验客户端证书或者通过proxy_ssl_server_name设置了SNI则

需要将上游服务器的hostname绑定到ssl上下文中， ngx_stream_proxy_ssl_name函数

最终会调用SSL_set_tlsext_host_name函数进行绑定

*/

if (pscf->ssl_server_name || pscf->ssl_verify) {

if (ngx_stream_proxy_ssl_name(s) != NGX_OK) {

ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);

return;

}

}
/* 如果设置了客户端证书， 这里进行证书的绑定 */

if (pscf->ssl_certificate

&& pscf->ssl_certificate->value.len

&& (pscf->ssl_certificate->lengths

|| pscf->ssl_certificate_key->lengths))

{

if (ngx_stream_proxy_ssl_certificate(s) != NGX_OK) {

ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);

return;

}

}
/* 如果开启了ssl会话的复用功能，这里进行相关设置 */

if (pscf->ssl_session_reuse) {

pc->ssl->save_session = ngx_stream_proxy_ssl_save_session;
    if (u-&gt;peer.set_session(&amp;u-&gt;peer, u-&gt;peer.data) != NGX_OK) {
        ngx_stream_proxy_finalize(s, NGX_STREAM_INTERNAL_SERVER_ERROR);
        return;
    }
}

s-&gt;connection-&gt;log-&gt;action = &#34;SSL handshaking to upstream&#34;;

/* 发起调用openssl底层接口进行异步ssl握手 */

rc = ngx_ssl_handshake(pc);
if (rc == NGX_AGAIN) {

/* 如果异步握手操作尚未完成，则设置连接超时定时器 */
    if (!pc-&gt;write-&gt;timer_set) {
        ngx_add_timer(pc-&gt;write, pscf-&gt;connect_timeout);
    }

/* 设置ssl握手成功后的回调函数 */
    pc-&gt;ssl-&gt;handler = ngx_stream_proxy_ssl_handshake;
    return;
}

/* openssl底层握手已经成功，进行后续的处理 */

ngx_stream_proxy_ssl_handshake(pc);

}

这个函数的逻辑基本上可以分为两个部分，第一部分是创建ssl的上下文然后准备ssl握手的相关信息；第二部分是发起异步ssl握手操作。由于是异步操作，因此可能是立即完成了，或者要等后续epoll框架等待网络i/o事件发生后才能完成，这个时候就需要设置回调函数ngx_stream_proxy_ssl_handshake来接收完成事件。无论怎样，只要连接最终ssl握手成功，都会进入到ngx_stream_proxy_ssl_handshake函数中。

3.6 ssl握手成功后的处理

接下来在来看看ngx_stream_proxy_ssl_handshake的实现：

代码语言：javascript

复制

static void

ngx_stream_proxy_ssl_handshake(ngx_connection_t *pc)

{

long                          rc;

ngx_stream_session_t         *s;

ngx_stream_upstream_t        *u;

ngx_stream_proxy_srv_conf_t  *pscf;
s = pc-&gt;data;

pscf = ngx_stream_get_module_srv_conf(s, ngx_stream_proxy_module);

if (pc-&gt;ssl-&gt;handshaked) {  /* 如果已经握手成功 */

    if (pscf-&gt;ssl_verify) { /* 如果设置了上游服务器证书有效性验证则需要检查验证结果*/
        rc = SSL_get_verify_result(pc-&gt;ssl-&gt;connection);

        if (rc != X509_V_OK) {
            ngx_log_error(NGX_LOG_ERR, pc-&gt;log, 0,
                          &#34;upstream SSL certificate verify error: (%l:%s)&#34;,
                          rc, X509_verify_cert_error_string(rc));
            goto failed;
        }

        u = s-&gt;upstream;
        
  /* 检查握手收到的上游服务器响应信息中的服务器hostname是否和期望的一致*/
        if (ngx_ssl_check_host(pc, &amp;u-&gt;ssl_name) != NGX_OK) {
            ngx_log_error(NGX_LOG_ERR, pc-&gt;log, 0,
                          &#34;upstream SSL certificate does not match \&#34;%V\&#34;&#34;,
                          &amp;u-&gt;ssl_name);
            goto failed;
        }
    }

/* 握手已经成功了，可以删除连接超时定时器了 */
    if (pc-&gt;write-&gt;timer_set) {
        ngx_del_timer(pc-&gt;write);
    }
    
/* 进入和非ssl一样的流程，为开始透传数据进行准备工作 */
    ngx_stream_proxy_init_upstream(s);

    return;
}

failed:

/* 如果握手失败，则选择下一个可用的上游服务器进行连接 */

ngx_stream_proxy_next_upstream(s);

}

可以很清晰地看到，ssl连接最终还是回调了ngx_stream_proxy_init_upstream准备数据透传工作。ngx_stream_proxy_init_upstream的分析参考3.4节。

3.7 连接数据的收与发

以上ssl连接建立成功后，接下去需要进行数据的收和发，因为和上游建立的是ssl连接，那么收到的上游服务器的报文需要解密后发送给下游客户端，反过来，从下游客户端收到的报文又需要经过加密后发送给上游服务器。加解密这个过程必然是openssl帮我们来解决，如果openssl的上层应用能够透明使用那就再好不过了，事实上也的确如此。如下图所示：

在上文3.5节中没有分析到的ngx_ssl_handshake函数内部，有一段如下代码：

代码语言：javascript

复制

c->recv = ngx_ssl_recv;
c->send = ngx_ssl_write;
c->recv_chain = ngx_ssl_recv_chain;
c->send_chain = ngx_ssl_send_chain;
c->read->ready = 1;

c->write->ready = 1;

意思是握手成功后，将socket的读写函数替换为对应的ssl的读写函数，譬如ngx_ssl_recv它就是对openssl中对应的SSL_read进行了二次封装，其他几个函数也是类似的。具体在这里就不再展开了。

再补充一下，如果是非ssl连接，nginx默认进行如下设置：

代码语言：javascript

复制

c->recv = ngx_recv;

c->send = ngx_send;

c->recv_chain = ngx_recv_chain;

c->send_chain = ngx_send_chain;

而这个是在ngx_event_connect_peer函数中完成的。

至此，ngx_stream_upstream_module的ssl连接的处理过程就全部分析完毕了。总体上来说处理过程还是比较清晰了，后面有时间就可以来考虑一下如何利用这个分析的结果来实现https主动健康检测功能了。