Розподіл WebAssembly модулів

Istio надає можливість розширювати функціональність проксі за допомогою WebAssembly (Wasm). Однією з основних переваг розширюваності Wasm є те, що розширення можуть завантажуватися динамічно під час виконання. Ці розширення спочатку повинні бути розподілені до проксі Envoy. Istio робить це можливим, дозволяючи агенту проксі динамічно завантажувати модулі Wasm.

Налаштування тестового застосунку

Перш ніж почати це завдання, будь ласка, розгорніть демонстраційний застосунок Bookinfo.

Налаштування модулів Wasm

У цьому прикладі ви додасте розширення HTTP Basic auth до вашого mesh. Ви налаштуєте Istio для завантаження модуля Basic auth з віддаленого реєстру образів і завантаження його. Він буде налаштований для роботи при викликах до /productpage.

Щоб налаштувати фільтр WebAssembly з віддаленим модулем Wasm, створіть ресурс WasmPlugin:

$ kubectl apply -f - <<EOF
apiVersion: extensions.istio.io/v1alpha1
kind: WasmPlugin
metadata:
  name: basic-auth
  namespace: istio-system
spec:
  selector:
    matchLabels:
      istio: ingressgateway
  url: oci://ghcr.io/istio-ecosystem/wasm-extensions/basic_auth:1.12.0
  phase: AUTHN
  pluginConfig:
    basic_auth_rules:
      - prefix: "/productpage"
        request_methods:
          - "GET"
          - "POST"
        credentials:
          - "ok:test"
          - "YWRtaW4zOmFkbWluMw=="
EOF

HTTP фільтр буде впроваджено в проксі ingress gateway як фільтр автентифікації. Агент Istio інтерпретує конфігурацію WasmPlugin, завантажує віддалені модулі Wasm з реєстру образів OCI до локального файлу і впроваджує HTTP фільтр в Envoy, посилаючись на цей файл.

Перевірка налаштованого модуля Wasm

  1. Перевірте /productpage без облікових даних

    $ curl -s -o /dev/null -w "%{http_code}" "http://$INGRESS_HOST:$INGRESS_PORT/productpage"
    401
  2. Перевірте /productpage з обліковими даними

    $ curl -s -o /dev/null -w "%{http_code}" -H "Authorization: Basic YWRtaW4zOmFkbWluMw==" "http://$INGRESS_HOST:$INGRESS_PORT/productpage"
    200

Для отримання додаткових прикладів використання API WasmPlugin, будь ласка, ознайомтеся з документацією API.

Очищення модулів Wasm

$ kubectl delete wasmplugins.extensions.istio.io -n istio-system basic-auth

Моніторинг розподілу модулів Wasm

Є кілька статистик, які відстежують статус розподілу віддалених модулів Wasm.

Наступні статистики збираються агентом Istio:

  • istio_agent_wasm_cache_lookup_count: кількість перевірок кешу для віддаленого завантаження Wasm.
  • istio_agent_wasm_cache_entries: кількість перетворень конфігурації Wasm і результатів, включаючи успіх, відсутність віддаленого завантаження, помилки маркування, помилки віддаленого завантаження та пропущені підказки віддаленого завантаження.
  • istio_agent_wasm_config_conversion_duration_bucket: Загальний час у мілісекундах, який агент istio витрачає на перетворення конфігурації для модулів Wasm.
  • istio_agent_wasm_remote_fetch_count: кількість віддалених завантажень Wasm і результатів, включаючи успіх, помилки завантаження та невідповідність контрольної суми.

Якщо конфігурація фільтра Wasm відхиляється через помилку завантаження або інші причини, istiod також видасть pilot_total_xds_rejects з міткою типу type.googleapis.com/envoy.config.core.v3.TypedExtensionConfig.

Розробка розширення Wasm

Щоб дізнатися більше про розробку модулів Wasm, будь ласка, ознайомтеся з посібниками, наданими в репозиторії istio-ecosystem/wasm-extensions, який підтримується спільнотою Istio та використовується для розробки розширення Telemetry Wasm від Istio:

Обмеження

Є відомі обмеження з цим механізмом розподілу модулів, які будуть усунені в майбутніх версіях:

  • Підтримуються лише HTTP фільтри.
Чи була ця інформація корисною?
Чи є у вас пропозиції щодо покращення?

Дякуємо за ваш відгук!