#IstioCon Extending service mesh capabilities using a streamlined way based on WASM and ORAS 王夕宁 | 阿里云服务网格ASM 2 Envoy’s Filter Chain Listener Downstre am Filter Filter Filter Cluster Upstrea envoy.http _connectio n_manage r Cluster Productp age服务 Filter Chain envoy.filters.ht tp.wasm/envo y.wasm.metad ata_exchange Istio_authn kubectl exec -it [productpage-xxx] -c istio-proxy curl loc envoy.filters .http.fault envoy.filters .http.router envoy.filters.ht tp.wasm/envo y.wasm.stats envoy.filters.ht tp.wasm/xxx- wasmfilter 5 添加新Filter的方式 ● Built-in Filter & Community Provided: ○

potentially untrusted file size Severity: Low Difficulty: High Fixed: Yes Affected components: ● pkg/wasm Vectors: ● CWE-400: Uncontrolled Resource Consumption ● CWE-770: Allocation of Resources Without Limits or Throttling ID: ADA-IST-4 Fix: https://github.com/istio/istio/pull/41894 Description The WASM fetchers allocate byte slices of a length determined by potentially untrusted data. This could lead m/httpfetcher.go#L138 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 // wasm plugin should be the only file in the tarball. func getFirstFileFromTar(b []byte) []byte { buf :=

API Gateway Security (EW) Observability Zero-trust Approval Processes Rollback Delegation WASM Multi Cluster Global Service Failover Multi Mesh 4 | Copyright © 2020 Orders Citadel Pilot © 2020 Extend Envoy Proxy with Web Assembly (Wasm) Polyglot: Envoy Filters are written in C++ and Wasm expands to any language Secure and Reliable: Wasm runs in isolated VM, can dynamically update need to recompile and maintain a build of Envoy EXTERNAL AUTH RATE LIMITING ROUTER UPSTREAM WASM gRPC TRANSCODER Why WebAssembly? 8 | Copyright © 2020 8 | Copyright © 2020 User Experience

Container Platform 4.8.12 和 OpenShift Container Platform 4.9。 1.2.2.12.4. Service Mesh WebAssembly(WASM)扩展 ServiceMeshExtensions 自定义资源定义(CRD)现已正式发布，它首次作为技术预览功能在版本 2.0 中 推出。您可以使用 CRD 构建自己的插件，但红帽并不支持您创建的插件。 Mixer，则会阻止从 Service Mesh 2.0.x 升级到 2.1。 混合器插件需要移植到 WebAssembly 扩展。 1.2.2.12.5. 3scale WebAssembly Adapter(WASM) Mixer 现已正式删除，OpenShift Service Mesh 2.1 不支持 3scale 混合器适配器。在升级到 Service Mesh 2.1 之前，删除基于 Mixer 的 始，为保持与 OpenShift Container Platform 4.8 的兼容性，apiextensions.k8s.io/v1beta1 API 已被弃用。 MAISTRA-2631 WASM 功能不起作用，因为 podman 因 nsenter 二进制不存在而失败。Red Hat OpenShift Service Mesh 生成以下出错信息：Error: error configuring

核心支付链路覆 盖 MOSN 宣布独立运营 CNCF landscape V0.13.0 发布， 进行云原生组 件生态融合 Istio 官方推荐 数据面 MOSN 和 Envoy、 Dapr、WASM 开始展开生态合作 商业化落地 江西农信 Mesh 阿里云 CDN 2019年双11 2019年12月 2020年6月 2020年7月 2020年12月 2021年 MOSN 简介 Release: 27 MOSN 简介 — 生态建设 MOSN 简介 — 2021 roadmap 云原生 • 云原生网络平台建设 • 升级 Xprotocol 框架 • 支持 WASM • 区块链网络框架 • 代码热更新 • 高性能网络层扩展 • fastGRPC • 协程收敛 epoll 模型 • CGO 性能优化 • 支持 zipkin，Jaeger 等 • east-west、north-south Gateway 技术栈不统一， 维护成本高 • Envoy C++ 编写，对于 业务方来说开发门槛高 技术趋势 • Lua extension • WASM extension • External-proc extension 可扩展性、灵活性、生态 价值意义 • 技术共享，融合 Envoy 和 MOSN 优势 • 增强 Envoy

east-west、north-south Gateway 技术栈不统一， 维护成本高 • Envoy C++ 编写，对于 业务方来说开发门槛高 技术趋势 • Lua extension • WASM extension • External-proc extension 可扩展性、灵活性、生态 价值意义 • 技术共享，融合 Envoy 和 MOSN 优势 • 增强 Envoy 和 劣势 Lua Extension Lua 编写简单业务处理方便 Lua 脚本语言,开发复杂功能不方便 支持的库（SDK）相对较少 WASM Extension 跨语言语言支持（C/C++/Rust）、 隔离性、安全性、敏捷性 处于试验阶段，性能损耗较大； WASM 目前仅对C/C++/Rust 友好， 对 GoLang Runtime 还未完全支持； 不能复用已有的 SDK，需要做网络 IO 适配改造 成本 生态 Lua Extension 高 高 高 较低 WASM Extension ES 低 高 活跃 External Processing Filter 高 低 中 N MOSN(GoLang) Extension 高 较高 低 活跃 对比：MoE 相比 ext-proc 无需跨进程 gRPC，性能高；相比 WASM 无需 网络 IO 操作转换成本；相比 Lua 生态好、能复用现有的

onNewConnection新连接建立，可以决定是否拒绝 • onData处理连接数据到达 • onWrite处理连接数据发送 • L7 HTTP过滤器 • 修改HTTP请求头，限流处理，Lua扩展、WASM扩展、开发调试支持、压缩、元数据交换、 路由等。 • decodeHeaders处理HTTP请求头部 • decodeData处理HTTP请求数据 • decodeTrailers处理HTTP请求结束位置 前的目标服务地址，作为后续负载均衡的输入。 envoy.filters.network.tcp_proxy L4网络过滤器 基于L4层1对1上下游网络连接代理 envoy.filters.network.wasm L4网络过滤器 基于WASM（WebAssembly）技术，支持沙箱、热升级、 跨语言的扩展机制，处理L4层新连接、数据收发。 envoy.filters.network.dubbo_pro xy L4网络过滤器 filters.http.local_ratelimit L7 HTTP过滤器 基于L4层请求限流，通过令牌桶防止定期时间间隔内 过多下游请求 envoy.filters.http.wasm L7 HTTP过滤器 基于WASM（WebAssembly）技术，支持沙箱、热升级、 跨语言的扩展机制，处理L7层HTTP请求编解码。 envoy.filters.http.router L7 HTTP过滤器

的人因问题就不要引入另一个。rust 和它们 是 ABI 兼容的，它们能做的能用的 rust 也可以。 • WASM/WASI？ rust 能够轻松地构建 WASM target，Apache APISIX 支持使用 WASM 做 plugin， 但本身不能轻易地使用 WASM 做扩展。另外 WASM 不是免费的，在极端情况下性 能可能只有 native 性能的50%。 感谢聆听 THANKS

WebAssembly (WASM) in Envoy - https://github.com/envoyproxy/envoy/issues/4272 - 计划在1.12版本提供（1.11版本发布于7月12日） - envoy-wasm项目：Playground for Envoy WASM filter - https://github.com/envoyproxy/envoy-wasm +Web https://github.com/envoyproxy/envoy/issues/4272 - 2018年8月28日，提出Issue - 2018年10月开始动手 - 2019年5月poc完成，创建envoy-wasm项目 - 目前放在envoy的下一个milestone 1.12中Part 3：ServiceMesh灵魂拷问三：要不要支持虚拟机？ 有了高大上的容器/k8s/云原生， 还要不要支持土里土气的

Example 3: Wasm While not a cloud service, Daprs Wasm componentʼs request handler can cause excessive resource exhaustion on the host machine which can lead to DoS of Dapr. If a request causes the Wasm handler https://github.com/dapr/components-contrib/blob/651834e9de50616be9374a933a90be69e5fcc2cc/middle ware/http/wasm/httpwasm.go#L98-L115 func (rh *requestHandler) requestHandler(next http.Handler) http.Handler { stdout.String(); len(stdout) > 0 { rh.logger.Debugf("wasm stdout: %s", stdout) } if stderr := rh.stderr.String(); len(stderr) > 0 { rh.logger.Debugf("wasm stderr: %s", stderr) } }) } Recommendation Check