1 Wasm为Envoy带来新的扩展性
Envoy是一个高性能、可编程的L3/L4和L7网络代理,许多服务网格和网关都采用Envoy作为数据面。
Envoy通过监听器(Listener)捕获网络数据包,根据数据包的内容匹配某个过滤器链(Filter Chain)中,之后按顺序执行该链中的过滤器(Network Filter)对捕获的数据包进行操作,实现用户定义的各种流量治理策略。Envoy本身自带很多种类的过滤器,这些开箱即用的过滤器 cover了大部分的应用场景,但是在某些需要自定义功能的场景下,用户必须实现自己的过滤器。
Envoy filter chains[5]
在Wasm出现之前,添加过滤器有两种方式:
-
修改Envoy代码,使用C++语言编写原生的过滤器(Native C++ filters)。在早期(2019年初),Envoy是一个静态编译的二进制文件,其所有扩展都在构建时编译。这意味着提供自定义扩展的项目必须维护和分发自己的二进制文件。这种方式需要开发者熟悉C++语言和Envoy过滤器的开发模式,在开发完成后重新编译一个新的Envoy二进制且维护它与上游社区的版本。目前Istio社区采用的就是这种方式,Istio fork了上游的Envoy,在其基础之上添加了自己定制的一些插件。然而,这种方式对开发者要求较高,且需要花费额外的精力维护。
-
使用Lua脚本编写过滤器。这种方式相比于上一种更加简单,用户可以直接在xDS配置中直接编写Lua脚本(inline)或指定本地的一个Lua脚本文件,适合过滤器逻辑非常简单的情况。然而,这种方式并不适用于过滤器逻辑复杂的情况,而且需要用户在Istio中手动创建EnvoyFilter进行额外的配置。
可以看出,上述两种扩展Envoy的方式都不是非常“优雅”。为了解决这个问题,Envoy社区提出了Wasm Filter特性,在Envoy中内嵌了一个Wasm运行时,通过proxy-wasm定义的网络代理相关接口来运行Wasm二进制。这意味着Envoy可以在运行中动态地加载用户开发的Wasm模块,并将其作为一个过滤器插入到过滤器链中。Wasm能够解决上述传统方式的各种问题,用户能够用任何支持的语言开发自己的Wasm过滤器,对Envoy本身无侵入。Envoy发起者称“Wasm是Envoy可扩展性的未来”。
Envoy与Wasm的交互
2 Istio WasmPlugin API
Envoy对Wasm的支持为Istio带来了全新的扩展机制。在早期,用户可以使用EnvoyFilter手动在Envoy配置中添加Wasm filter,这种方式非常地繁琐,用户体验并不友好,且EnvoyFilter是一个“break glass”API,社区并不保证其不同版本的向后兼容性。
为了更好地支持Wasm,Istio在1.12版本中添加了一个新的CRD,即WasmPlugin。用户可以通过WasmPlugin方便灵活地将Wasm插件下发到指定的工作负载,使得开发人员可以更简单健壮地扩展网格功能。
WasmPlugin yaml示例
上图展示了一个最基本的WasmPlugin配置,在配置中用户需要指定Wasm模块的url,该url可以是像容器镜像一样的OCI格式的Wasm,也可以是代理本地的一个文件(通常要求用户手动挂载到容器中),或者是http协议的url,用于直接获取远程Wasm模块文件。一般推荐的方式第是一种,将编写好的代码编译成Wasm二进制后,打包成一个OCI镜像,方便分发和复现。
用户可以通过selector指定要下发Wasm的proxy,如果selector为空,则代表下发到该namespace下的所有proxy。
除此之外,如果用户需要指定Wasm插件在过滤器链中执行的位置,可以通过phase和priority两个参数来控制。phase用来指定在http filter链中的何处插入此Wasm 插件,可以设置为authentication,authorization或istio stats filter之前,未设置时会在istio stats filter之后插入;priority用来控制多个WasmPlugin在同一个phase中的执行顺序,priority值大的优先。
3 Istio下发Wasm配置流程解析
Istiod推送过程
每当用户更新WasmPlugin时,istiod就会触发一次config update。首先,istiod会更新本次xDS push的context,将当前的WasmPlugin信息按照namespace分类,保存到push context中。
之后,在LDS(Listener Discovery Service)推送的过程中,istiod为proxy构建Listener的http filter时,会从push context中找出与该proxy匹配的WasmPlugin并按照priority排序,最后根据phase将Wasm filter插入到http filter chain中的某个位置。
Istio插入Wasm filter代码
注意此处插入的只是Wasm filter的名称,具体的Wasm filter配置则是通过后续的ECDS(Extension Config Discovery Service)下发的。在ECDS中,istiod会构建出实际的Wasm filter配置并推送给proxy。
Wasm filter envoy配置示例
4 Proxy接收过程
Proxy接收过程
Envoy的Wasm filter配置本身是不支持使用OCI镜像格式作为data source的。那么Istio是如何支持使用OCI镜像分发Wasm二进制的呢?
答案是通过istio-agent的代理。Istio的proxy中包含两个进程,一个是Envoy本身,另一个是istio-agent。istio-agent会代理Envoy与istiod之间的xDS通信。对于ECDS,istio-agent在收到推送时,会读取其内容,假如其中的Wasm filter使用OCI镜像或者http/https作为data source(即需要执行的Wasm二进制),那么istio-agent会从远程仓库中拉取该Wasm二进制并缓存至本地。之后会修改ECDS的内容,将Wasm filter的data source改为刚才保存的本地文件,再将修改后的ECDS内容发送给Envoy。
对Wasm为Envoy带来新的扩展性的价值简要总结:
综上,Envoy和Istio对Wasm的支持大大加强了服务网格的扩展性。用户通过Wasm能够以可扩展、灵活、安全的方式对代理进行自定义配置,应对各种场景的业务需求,例如认证、授权、Tracing、请求内容转换/检查等等。同时,Istio提供的API使Wasm成为了服务网格中的“一等公民”,用户可以方便地将Wasm下发到指定的工作负载,该过程是完全动态的,应用无需重启。这种高效率的扩展方式使得服务网格具备了可编程性。文章来源:https://www.toymoban.com/news/detail-527032.html
5 未来展望
目前,Wasm仍在快速发展,相关的特性在Istio和Envoy中还处在alpha阶段。为了加速Wasm生态,让所有Wasm程序有一个“common language”,社区正在设计一个标准的Wasm interface —— WASI(WebAssembly System Interface),用于访问和操作系统资源。未来proxy-wasm可能会与WASI融合,为Wasm程序提供一个标准的交互接口。同时,Wasm将支持更多高级语言作为前端,用于构建轻量、高性能的应用程序。随着Wasm生态的逐步成熟,期待它能在云计算领域中带来更多令人兴奋的可能性。文章来源地址https://www.toymoban.com/news/detail-527032.html
到了这里,关于WebAssembly:让Istio变得更强大的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
