Envoy代理中外部授权过滤器failure_mode_allow参数行为解析

在Envoy代理的实际使用过程中，外部授权过滤器（ext_authz）的failure_mode_allow参数行为存在一个值得注意的技术细节。该参数在文档中描述为：当设置为true时，即使与授权服务的通信失败或授权服务返回HTTP 5xx错误，过滤器仍会允许客户端请求通过。然而在实际gRPC实现中，这个"失败"的定义与开发者常规理解存在差异。

核心机制在于Envoy对gRPC通信状态的判定逻辑。授权服务返回的CheckResponse可能包含两种状态信息：

1. gRPC协议层面的通信状态（由响应头中的状态码决定）
2. 业务逻辑层面的拒绝响应（通过denied_response字段传递）

关键区别在于：

• 只有当gRPC通信层面出现异常（如连接超时、协议错误等）时，才会触发failure_mode_allow的容错机制
• 若gRPC调用成功完成，即使业务逻辑返回了HTTP 500错误，仍被视为成功响应，此时会直接返回500状态码而不会触发容错

这个设计体现了Envoy的分层处理思想：

1. 传输层故障（真正需要容错的场景）
2. 业务层错误（应由授权服务明确控制）

对于开发者而言，需要特别注意：

1. 授权服务的实现应该区分系统错误和业务拒绝
2. 对于需要降级的业务错误，建议在gRPC响应中返回OK状态，通过denied_response中的状态码控制
3. 系统级故障才依赖failure_mode_allow的容错机制

这种设计既保证了系统可用性，又确保了业务逻辑的精确控制，是微服务架构中典型的故障隔离实践。理解这一机制有助于开发者正确设计授权服务，避免出现意料之外的系统行为。