Istio/Ambient 模式下 waypoint 如何加载远端 WASM 文件

本文不讨论 WasmPlugin 使用 WASM，而是通过 EnvoyFilter 的方式来更加灵活的使用 WASM。

提出问题

我们知道 envoy 可以通过远端下载 WASM 文件的方式来加载 WASM 程序。envoy 这里不仅需要提供 WASM 的 uri 地址，并且需要提供上游的 Cluster。这里的 cluster 我们可以理解为 outboundCluster。但在 istio ambient 模式下，我们没有直接的 CRD API 来声明 outboundCluster 和 waypoint(s) 的绑定关系的。

Envoy WASM Filter 配置介绍

参考 envoy 的 WASM filer 配置文档，示例配置如下所示，其中高亮部分的为 WASM 文件的远端下载配置。

                route:
                  cluster: web_service

          http_filters:
          - name: envoy.filters.http.wasm
            typed_config:
              "@type": type.googleapis.com/envoy.extensions.filters.http.wasm.v3.Wasm
              config:
                name: "my_plugin"
                root_id: "my_root_id"
                # if your wasm filter requires custom configuration you can add
                # as follows
                configuration:
                  "@type": "type.googleapis.com/google.protobuf.StringValue"
                  value: |
                    {}
                vm_config:
                  vm_id: "my_vm_id"
                  code:
                    remote:
                      http_uri:
                        uri: http://wasm.hub.xyz:9527/rate_limit_filter.wasm
                        cluster: "outbound|9527||wasm.hub.xyz"
                        timeout: 30s
                      sha256: "20776bc90c8a2d40bb1e5b6e84fa9f7e0decb0dfeb195887ad548db60f3a29aa"
          - name: envoy.filters.http.router
            typed_config:
              "@type": type.googleapis.com/envoy.extensions.filters.http.router.v3.Router
  - name: listener_1
    address:

并且从 config.core.v3.HttpUri的定义，可以很明确的知道 Cluster 为必填项。

cluster

(string, REQUIRED) A cluster is created in the Envoy “cluster_manager” config section. This field specifies the cluster name.

Example:

cluster: jwks_cluster

Specify how uri is to be fetched. Today, this requires an explicit cluster, but in the future we may support dynamic cluster creation or inline DNS resolution. See issue.

HTTP service URI (proto) — envoy 1.38.0-dev-5505ea documentationwww.envoyproxy.io

Wasm — envoy 1.38.0-dev-c2827d documentationwww.envoyproxy.io

Wasm (proto) — envoy 1.38.0-dev-5505ea documentationwww.envoyproxy.io

Common types (proto) — envoy 1.38.0-dev-d44cbf documentationwww.envoyproxy.io

Common types (proto) — envoy 1.38.0-dev-5505ea documentationwww.envoyproxy.io

---

解决问题

阅读理解一下 istio cds 的源码，不难发现，istio 可以通过 MeshConfig.ExtensionProviders 来配置 WASM hub 的地址，通过这种方式将 WASM hub 的 cds 下发给所有的 waypoint。

// extraServicesForProxy returns a subset of services referred from the proxy gateways, including:
// 1. MeshConfig.ExtensionProviders
// 2. RequestAuthentication.JwtRules.JwksUri
// 3. EnvoyFilters with explicitly annotated references
func (ps *PushContext) extraServicesForProxy(proxy *Proxy, patches *MergedEnvoyFilterWrapper) (sets.Set[NamespacedHostname], sets.String) {
	...

GitHub1sgithub1s.com

ExtensionProvider 示例如下：

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
spec:
  profile: minimal
  revision: 1-26
  meshConfig:
    enableTracing: false
    extensionProviders:
    - name: xyz
      lightstep:
        port: 9527
        service: istio-system/wasm.hub.xyz
  components:
    pilot:
      k8s:
        env:
        - name: "PILOT_ENABLE_AMBIENT"
          value: "true"