Envoy WASM网络过滤器与访问日志数据传递实践

背景介绍

在Envoy代理的实际应用中，开发者经常需要将WASM网络过滤器提取的数据传递到Envoy的访问日志中。本文通过一个LDAP代理的案例，深入探讨了如何实现这一功能的技术细节和解决方案。

技术挑战

在Envoy的WASM网络过滤器中提取客户端数据后，开发者面临将这些数据传递到访问日志的挑战。常见的问题包括：

1. 数据在WASM过滤器中被正确提取，但无法在访问日志中显示
2. 使用DYNAMIC_METADATA和FILTER_STATE机制时遇到困难
3. 数据格式和访问日志配置不匹配

解决方案详解

1. WASM过滤器数据设置

在Rust实现的WASM过滤器中，正确的数据设置方式应该使用set_property方法。该方法会自动添加"wasm."前缀到过滤状态键中。例如：

self.set_property(vec!["filter_state", "ldap_ou"], Some(ou_value.as_bytes()));
self.set_property(vec!["filter_state", "ldap_dc"], Some(dc_value.as_bytes()));
self.set_property(vec!["filter_state", "ldap_samaccountname"], Some(sam_value.as_bytes()));

2. 访问日志配置

在Envoy配置文件中，访问日志部分需要正确引用这些过滤状态值。关键点在于：

• 必须使用FILTER_STATE而非DYNAMIC_METADATA
• 键名前需要添加"wasm."前缀

示例配置：

access_log:
  - name: envoy.access_loggers.file
    typed_config:
      "@type": "type.googleapis.com/envoy.extensions.access_loggers.file.v3.FileAccessLog"
      path: "/var/log/envoy/ldap_access.log"
      json_format:
        timestamp: "%START_TIME%"
        client_ip: "%DOWNSTREAM_REMOTE_ADDRESS%"
        upstream_host: "%UPSTREAM_HOST%"
        bytes_received: "%BYTES_RECEIVED%"
        bytes_sent: "%BYTES_SENT%"
        connection_id: "%CONNECTION_ID%"
        ldap:
          ou: "%FILTER_STATE(wasm.ldap_ou)%"
          dc: "%FILTER_STATE(wasm.ldap_dc)%"
          samaccountname: "%FILTER_STATE(wasm.ldap_samaccountname)%"

常见问题排查

1. 数据未显示：检查WASM过滤器是否在正确的时机设置了属性值
2. 显示为"-"：确认键名前缀是否正确添加了"wasm."
3. 格式错误：确保访问日志配置使用了正确的JSON格式

最佳实践建议

1. 在WASM过滤器中设置数据时，考虑添加默认值处理逻辑
2. 使用结构化的JSON格式记录访问日志，便于后续分析
3. 在开发阶段，同时监控Envoy的调试日志和访问日志，便于问题定位

总结

通过正确使用Envoy的WASM过滤器和访问日志机制，开发者可以有效地将网络层提取的数据传递到访问日志中。关键在于理解过滤状态的命名规则和访问日志的引用方式。本文提供的解决方案已在LDAP代理场景中得到验证，可适用于类似的数据传递需求。