Istio服务网格Wasm过滤器及测试样例

最新推荐文章于 2024-08-19 10:18:21 发布
最新推荐文章于 2024-08-19 10:18:21 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: istio 文章标签: 云原生 服务网格 istio mesh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a605692769/article/details/122262262
版权
本文介绍了WASM如何提升服务网格如Istio的敏捷性和可维护性,以及WASM在Envoy中的Proxy-WASM ABI规范。通过Proxy-Wasm-go-sdk和TinyGo,展示了如何构建和测试WASM过滤器,包括部署、构建和应用到服务网格中。文章还探讨了WASM在服务网格中的优缺点和潜在问题。
摘要由CSDN通过智能技术生成

背景信息

2019年前,Envoy是以静态编译的二进制文件方式来运行的,这意味着其所有扩展等均需要在构建阶段完成编译。因此其他工程(例如Istio)只能发布他们自己维护的自定义Envoy版本,一旦有更新或者Bug修复就不得不构建一个新的二进制版本、发布、重新部署到生产环境中。

上述问题虽然没有一个完美的解决方案,但是部分场景下可以通过C++的动态可加载性来实现,即在一种标准的二进制应用接口(ABI, Application Binary Interface)下编写、交付WebAssembly(WASM)模块,

WASM 本身是源自前端的技术,是为了解决日益复杂的前端 Web 应用以及有限的 JS 脚本解释性能而诞生的技术,通过该技术可以使用非 JavaScript 编程语言编写代码并且能在浏览器上运行。

随着WASM的发展,现在WASM不仅仅可以用于浏览器, 它已经被定义为一个可移植、体积小、加载快并且兼容 Web 的全新格式为一种可移植的二进制格式。

本文讨论的WASM用于以接近本机的速度在一个内存安全(memory-safe)的沙箱中执行多种语言编写的代码,在沙箱内有明确的资源限制和API来与内嵌的主机环境(例如Envoy)通信。

优点

  • 敏捷性:WASM可以动态加载到正在运行的Envoy进程中,而无需停止或重新编译

  • 可维护性:不必更改Envoy自身基础代码库即可扩展其功能

  • 多样性:可以将流行的编程语言(例如C/C++和TinyGo)编译为WASM,因此开发人员可以选择实现过滤器的编程语言

  • 可靠性和隔离性:过滤器会被部署到VM沙箱中,因此与Envoy进程本身是隔离的;即使当WasmFilter出现问题导致崩溃时,它也不会影响Envoy进程

  • 安全性:过滤器通过预定义API与Envoy代理进行通信,因此它们可以访问并只能修改有限数量的连接或请求属性

缺点

  • 内存消耗:WASM虚拟机的使用将锁定使用一部分内存

  • 性能损耗:报文数据在沙箱内外进行拷贝与转码

Proxy-wasm

Proxy-Wasm是WASM扩展模块与L4/L7代理之间的二进制应用接口(ABI)规范与标准,其明确定义了主机环境与Wasm虚拟机之间、函数调用、内存管理等通信接口。

当前Proxy-wasm提供了AssemblyScript SDKC++ SDKGo (TinyGo) SDKRust SDKZig SDK SDK,支持EnvoyIstio Proxy (Istio基于Envoy的扩展)、MOSN等代理主机环境中运行。

整体架构

在每个Envoy工作线程上(事件驱动),内置的WASM运行时将创建一个Wasm虚拟机,通过Proxy-Wasm规范来校验、实例化WASM模块(本地磁盘文件或控制面板XDS推送的方式)。

WASM模块通过扩展接口进行调用时,Proxy-Wasm通过一个垫片进行转码、翻译在Wasm虚拟机上运行。

: Envoy 使用单进程 - 多线程的架构模型。一个 master 线程管理各种琐碎的任务,而一些 worker 线程则负责执行监听、过滤和转发。当监听器接收到一个连接请求时,该连接将其生命周期绑定到一个单独的 worker 线程。

运行时

Envoy内嵌了基于LLVM的WAVMV8两个C/C++ Wasm 运行时,在WASM模块配置时可进行选择。

Proxy-wasm-go-sdk

Go (TinyGo) SDK是一种基于Tinygo语言的Proxy-Wasm实现。

本文基于该项目标签v0.14.0进行阐述。

TinyGo

TinyGo是一个Go编译器,旨在用于微控制器,WebAssembly(WASM)和命令行工具等小型场景。它重用了Go语言工具和LLVM一起使用的库,以提供编译用Go编程语言编写的程序的另一种方法。

官方的Go编译器无法产生Proxy-Wasm所兼容的二进制文件,并且TinyGo相比较于Go另一个最主要的的差异是二进制尺寸。

根据TinyGo官方描述,最简单的"Hello world"程序,在strip命令加持下(移除所有符号标志与调试信息),Go编译器产生837kb大小的二进制,而TinyGo则为10kb,接近于1%的尺寸缩减效率。

使用TinyGo也存在一些限制和约束:

  • 部分Go库不可用(可导入,但运行时异常)

  • 部分系统调用不可用,如crypto/rand包

  • 不支持反射

  • 部分语言特性不支持,如recovergoroutine

虽然不支持创建协程,但是Proxy-Wasm定义了OnTick函数,类似于定时器触发函数,可用于处理一些异步调用任务。

术语

  • 虚拟机(Wasm VM): Envoy中Wasm虚拟机是在每个工作线程中被创建的,并且相互之间隔离

  • 插件(Plugin): Envoy中的过滤器类型(Http Filter, Network(Tcp) Filter, 和 Wasm Service)。每个扩展模块都可以进行配置,单个虚拟机中相同的Wasm模块经过不同的配置便形成了多个插件

    • Http Filter: 在工作线程虚拟机中处理HTTP协议,可操作Http请求的头、正文、尾部内容

    • Network Filter: 在工作线程虚拟机中处理Tcp协议,可操作Tcp数据帧,连接信息

    • Wasm Service: 运行于Envoy主线程的单例虚拟中,可用于并发处理一些额外的任务如集成metrics,日志等

Envoy配置

Envoy中Wasm过滤器配置如下:

 vm_config:
   vm_id: "foo"
   runtime: "envoy.wasm.runtime.v8"
   configuration:
     "@type": type.googleapis.com/google.protobuf.StringValue
     value: '{"my-vm-env": "dev"}'
   code:
     local:
       filename: "example.wasm"
 configuration:
   "@type": type.googleapis.com/google.protobuf.StringValue
   value: '{"my-plugin-config": "bar"}'
字段 描述
vm_config 配置Wasm虚拟机
最低0.47元/天 解锁文章
a605692769
关注
专栏目录
Istio 实战:WasmPlugin(Proxy-Wasm 插件)开发(实现限流和修改请求和响应的 header)
MaoVazquez的博客
01-10 778
此 SDK 由 TinyGo 提供支持,不支持官方的 Go 编译器。因此需要安装 tinygo(示例使用的 kubernetes 版本为 1.23.4。以 windows 安装为例,官网提供了四种安装方式。注意和之前的 httpbin 程序在同一命名空间。示例使用的 istio 版本为 1.16.3。如下所示,下载压缩包后解压到指定位置。),本实例以 go 语言为例(kubernetes 安装省略。参考 httpbin 程序(istio 安装省略。
Istio1.5 & Envoy 数据面 WASM 实践
ServiceMesher
04-27 799
Istio 1.5 回归单体架构,并抛却原有的 out-of-process 的数据面扩展方式,转而拥抱基于 WASM 的 in-proxy 扩展,以期获得更好的性能。本文基于网易杭州研...
WebAssembly:让Istio变得更强大
HarmonyCloud_的博客
07-03 702
目前,Wasm仍在快速发展,相关的特性在Istio和Envoy中还处在alpha阶段。同时,Istio提供的API使Wasm成为了服务网格中的“一等公民”,用户可以方便地将Wasm下发到指定的工作负载,该过程是完全动态的,应用无需重启。上图展示了一个最基本的WasmPlugin配置,在配置中用户需要指定Wasm模块的url,该url可以是像容器镜像一样的OCI格式的Wasm,也可以是代理本地的一个文件(通常要求用户手动挂载到容器中),或者是http协议的url,用于直接获取远程Wasm模块文件。
如何使用 go-wasm-http-server 开源项目
最新发布
gitblog_00414的博客
08-19 691
如何使用 go-wasm-http-server 开源项目 go-wasm-http-serverEmbed your Go HTTP handlers in a ServiceWorker and emulate an HTTP server!项目地址:https://gitcode.com/gh_mirrors/go/go-wasm-http-server 一、项目目录结构及介绍 在深入探讨...
Istio Wasm插件
weixin_39246554的博客
12-16 1204
WebAssembly(简称为 Wasm)的诞生源自前端,是一种为了解决日益复杂的 Web 前端应用以及有限的 JavaScript 性能而诞生的技术。它本身并不是一种语言,而是一种字节码标准。WASM 字节码和机器码非常接近,因此可以非常快速的装载运行。任何一种语言,都可以被编译成 WASM 字节码,然后在 WASM 虚拟机中执行,理论上,所有语言,包括 JavaScript、C、C++、Rust、Go、Java 等都可以编译成 WASM 字节码并在 WASM 虚拟机中执行。
Istio 实战:WasmPlugin(Proxy-Wasm 插件)功能拓展
MaoVazquez的博客
01-16 648
配置文件的方式与代码里写死的区别就是只需要生成一次镜像,每次改动 header 的配置不需要修改代码重新生成镜像,直接修改 wasmplugin 的 yaml 文件后重新 apply 就可以了。获取到 yaml 中配置的数据,创建对应的结构体,通过 json 解析并存储,然后再对数据做处理后添加到对应的 header 上。可以看到手动配置的 header 已经在 request 和 response 的 header 上了。可以作为所有操作的唯一标识。添加 header,同理可以实现 header 的。
wasmbrowsertest:在浏览器中运行WASM测试
02-06
消费测试 在您的浏览器中轻松运行Go wasm测试。 如果您有针对wasm平台的代码库,则很可能要在浏览器中测试代码。 目前,该过程有点麻烦: 该测试需要编译为wasm文件。 然后将其与wasm_exec.js一起加载到HTML文件中。 最后,这需要与静态文件服务器一起使用,然后再加载到浏览器中。 该工具可自动执行所有操作。 因此,您只需要键入GOOS=js GOARCH=wasm go test ,它将自动在浏览器中执行测试! 快速开始 go get github.com/agnivade/wasmbrowsertest 。 它将二进制文件放在$ GOPATH / bin或$ G
Beyond Istio OSS——Istio服务网格的现状与未来
ServiceMesher
07-25 672
作者:宋净超(Jimmy Song),原文地址:https://jimmysong.io/blog/beyond-istio-oss/本文根据笔者在 GIAC 深圳 2022 年大会上的的演讲《Beyond Istio OSS —— Istio 的现状及未来》[1]整理而成,演讲幻灯片见腾讯文档[2]。本文回顾了 Istio 开源近五年来的发展,并展望了 Isti...
wasmserve:用于测试Wasm的HTTP服务
05-01
用于Wasm测试的HTTP服务器(例如gopherjs serve 安装 go get -u github.com/hajimehoshi/wasmserve 用法 Usage of wasmserve -allow-origin string Allow specified origin (or * for all origins) to make ...
服务网格Istio中lua过滤器测试样例
a605692769的博客
12-31 2084
Envoy中除了功能强大的http连接管理器之外,envoy还内置了诸多的http过滤器(L7),用于自定义扩展http请求代理功能,如故障注入、外部授权、限流等。 其中lua过滤器允许在请求和响应流期间运行 Lua 脚本,该特性为扩展自定义处理流程预留了很大的操作空间。
Ontology Wasm测试网上线,赋予dApp更广阔的星空与大海
ontologycoding
05-22 217
首先,本体君给大家讲一个故事: 从前,有一位勤奋好学又高瞻远瞩的开发者,暂且称他为小程。经过几个月的潜心研究与废寝忘食地开发,他基于某知名公有链平台上线了一款益智类游戏 dApp。从上线的这一天开始,随着用户数量直线飙升,机智的小程并没有沉湎于眼前的成功,马上开始思考下一步的方向:
对补wasm环境的一些测试
qq_59848320的博客
06-20 1386
前言开始对这个网站wasm加密有研究过一段时间,后来有事,就没继续研究了,最近,没啥事,又来研究一下。1.某网站视频加密的wasm略谈 - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn https://www.52pojie.cn/thread-1533409-1-1.html2.某网站视频加密的wasm略谈 - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn https://www
Istio代理(Envoy)proxy-wasm扩展(oci)
weixin_40814867的博客
02-06 896
场景描述 部署在istio的http服务需要拦截请求做处理,使用proxy-wasm作为envoy的扩展,harbor2作为仓库 安装WebAssembly Hub CLI 安装cli curl -sL https://run.solo.io/wasme/install | sh export PATH=$HOME/.wasme/bin:$PATH 验证cli wasme --version wasme version 0.0.32 初始化filter项目 可以修改assemblyscript的代码
Istio 1.12 引入 Wasm 插件配置 API 以扩展 Istio 生态
ServiceMesher
12-27 724
作者:胡渐飞,Tetrate 工程师Istio 中新的 WebAssembly 基础设施使其能够轻松地将额外的功能注入网格部署中。经过三年的努力,Istio 现在有了一个强大的扩展机制,...
envoy实现_Istio进阶学习系列 基于WebAssembly实现Envoy与Istio的功能扩展
weixin_39921224的博客
12-04 1070
背景Istio 从发布开始就使用 Envoy 作为自己的数据平面,充分利用了 Envoy 提供的服务发现、路由、熔断、负载均衡等功能。与此同时,Istio 项目也一直致力于提供一个便于灵活扩展的平台,以满足用户多样化的需求。在过去的一年半中, Google 的团队一直在努力用 WebAssembly 技术为 Envoy 代理添加动态扩展,并推出了针对 Envoy 代理的 WebAssem...
用 WebAssembly 为 Istio 扩展插上灵活的翅膀
云原生实验室
08-15 334
Sealos 公众号已接入了 GPT-4,完全免费!欢迎前来调戏????❝作者:cuisongliu。Sealos 核心 Maintainer,Kubernetes、Helm、Sealer、Openyurt和 NVIDIA 等项目commiter。Istio 引入了 WebAssembly 扩展的概念,允许开发者通过将自定义的 WebAssembly 模块插入 Istio 的 Envoy 代理来扩展 ...
【Rust日报】2023-08-28 WASM 微运行时与 Rust
Rust语言学习交流
08-29 310
WASM 微运行时与 Rust传统上,微控制器只能运行 C 代码。固件开发人员通常会使用 Eclipse 基于 IDE 以及定制的编译器工具链来编译代码。但是,MicroPython 最近变得流行起来。RaspberryPi Pico、ExpressIf 的 ESP32 是一些对 MicroPython 支持相当不错的微控制器。可以将 WebAssembly (WASM) 二进制文件在浏览器外部运...
java wasm_Wasm介绍之2:指令集和栈
weixin_34053992的博客
02-28 1419
上一篇文章介绍了WebAssembly(后文简称Wasm)二进制格式,这一篇文章将介绍Wasm指令集、操作数栈和部分指令。Wasm指令集和真实的机器码一样,Wasm二进制文件中的代码也由一条一条的指令构成。同样,Wasm指令也包含两部分信息:操作码(Opcode)和操作数 (Operands)。Wasm操作码固定为一个字节,因此最多能表示256条指令,这一点和Java字节码一样。Wasm1.0规范...
wasm中的网络I/O
qq_33541826的博客
12-08 1394
wasm中的网络I/O
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值