在 APISIX 中使用 Wasm 插件

APISIX 支持按照 Proxy-Wasm 规范 开发的 WebAssembly (Wasm) 插件，该规范将 Wasm 功能扩展到代理。

使用 Wasm 开发 APISIX 插件有几个好处：

• 能够将许多编程语言编译为 Wasm。这允许你在开发 APISIX 插件时利用现有技术栈的功能。
• 在 APISIX 内本机运行 Wasm 插件，但在单独的 VM 中运行。即使插件崩溃，APISIX 也可以继续运行。
• APISIX 对 Wasm 的持续支持。这避免了维护针对不同编程语言的多个外部插件运行器。

本指南将帮助你了解 APISIX 如何支持 Wasm，以及如何使用 Proxy-Wasm Go SDK 在 Go 中开发示例 Wasm 插件，并将插件加载到 APISIX 中。

APISIX 如何支持 Wasm

APISIX 实现了 Proxy-Wasm 规范。该规范最初是为 Envoy 代理开发的，后来发展成为为代理编写 Wasm 插件的标准。任何使用 Proxy-Wasm SDK 编写的插件都可以在 APISIX 中运行。

APISIX 使用以下编程模型来处理 Wasm 插件。在编写自定义 Wasm 插件时，应实现所有这些接口。

每个插件都有自己的 VMContext，它可以为每条路由创建多个 PluginContext。例如，每个 PluginContext 对应于一个插件实例，因此如果服务配置了 Wasm 插件并且两个路由继承自该服务，则每个路由都将拥有自己的 PluginContext。

同样，一个 PluginContext 是多个 HTTPContext 的父级。每个命中配置的 HTTP 请求也将拥有自己的 HttpContext。例如，如果你同时配置了全局规则和路由，则 HTTP 请求将具有两个 HTTPContext，一个用于来自全局规则的 PluginContext，另一个用于来自路由的 PluginContext。

构建并将 Wasm 插件加载到 APISIX

在本节中，你将学习如何在 Go 中构建一个最小的 Wasm 插件，只要有传入请求，该插件就会在代理中记录一条警告消息，将源代码编译为 Wasm，并将 Wasm 插件加载到 APISIX 中。

前置条件

• 安装 Docker。
• 安装 cURL 以向服务发送请求进行验证。
• 按照 快速入门教程 在 Docker 或 Kubernetes 中启动一个新的 APISIX 实例。
• 安装 Go。
• 安装 TinyGo 将 Go 源代码编译为 Wasm。
• 安装 Proxy-Wasm Go SDK 以在 Go 中开发符合 Proxy-Wasm 的插件。

用 Go 编写插件逻辑

创建一个包含以下代码的文件：

main.go

package main

// 导入 proxy-wasm-go-sdk 包以构建 Wasm 插件
import (
    "github.com/tetratelabs/proxy-wasm-go-sdk/proxywasm"
    "github.com/tetratelabs/proxy-wasm-go-sdk/proxywasm/types"
)

func main() {
    // 将 VM 上下文设置为 vmContext 结构体的新实例
    proxywasm.SetVMContext(&vmContext{})
}

// vmContext 结构体表示 VM 上下文
type vmContext struct {
    // 嵌入来自 proxywasm/types 包的 DefaultVMContext 类型
    types.DefaultVMContext
}

// 当创建新的插件上下文时调用 NewPluginContext 函数
func (*vmContext) NewPluginContext(contextID uint32) types.PluginContext {
    // 返回一个带有指定 contextID 的 pluginContext 结构体新实例
    return &pluginContext{contextID: contextID}
}

// pluginContext 结构体表示插件上下文
type pluginContext struct {
    // 嵌入来自 proxywasm/types 包的 DefaultPluginContext 类型
    types.DefaultPluginContext
    conf      string
    contextID uint32
}

// 当插件启动时调用 OnPluginStart 函数
func (ctx *pluginContext) OnPluginStart(pluginConfigurationSize int) types.OnPluginStartStatus {
    // 获取插件配置数据
    data, err := proxywasm.GetPluginConfiguration()
    if err!= nil {
        // 如果读取配置出错，记录严重错误日志
        proxywasm.LogCriticalf("error reading plugin configuration: %v", err)
        return types.OnPluginStartStatusFailed
    }
    // 将配置数据存储到 conf 字段
    ctx.conf = string(data)
    // 返回启动成功状态
    return types.OnPluginStartStatusOK
}

// 当插件结束时调用 OnPluginDone 函数
func (ctx *pluginContext) OnPluginDone() bool {
    proxywasm.LogInfo("do clean up...")
    return true
}

// 当创建新的 HTTP 上下文时调用 NewHttpContext 函数
func (ctx *pluginContext) NewHttpContext(contextID uint32) types.HttpContext {
    // 返回一个带有指定 contextID 和 conf 的 httpLifecycle 结构体新实例
    return &httpLifecycle{
        pluginCtxID: ctx.contextID,
        conf: ctx.conf,
        contextID: contextID,
    }
}

// httpLifecycle 结构体表示 HTTP 生命周期
type httpLifecycle struct {
    // 嵌入来自 proxywasm/types 包的 DefaultHttpContext 类型
    types.DefaultHttpContext
    pluginCtxID uint32
    contextID   uint32
    conf        string
}

// 当接收到 HTTP 请求头时调用 OnHttpRequestHeaders 函数
func (ctx *httpLifecycle) OnHttpRequestHeaders(numHeaders int, endOfStream bool) types.Action {
    // 记录包含插件上下文 ID、配置以及 HTTP 上下文 ID 的警告日志
    proxywasm.LogWarnf("run plugin ctx %d with conf %s in http ctx %d", ctx.pluginCtxID, ctx.conf, ctx.contextID)
    // 返回继续处理请求的动作
    return types.ActionContinue
}

上面的代码为 httpLifecycle 结构实现了 OnHttpRequestHeaders 方法。只要收到 HTTP 请求头，就会调用该函数。请参阅 [下面的部分](#Proxy-Wasm 回调函数和 APISIX 阶段) 以了解有关 Proxy-Wasm 回调函数与 APISIX 阶段之间相关性的更多信息。

将代码编译为 Wasm

将上述 Go 源代码编译为 .wasm 文件：

tinygo build -o log.go.wasm -scheduler=none -buildmode=wasi-legacy -target=wasi ./main.go

如果编译成功，你应该在当前目录中看到一个 log.go.wasm 文件。

将插件加载到 APISIX 中

Docker

将 log.go.wasm 复制到 /usr/local/bin 目录中：

docker cp log.go.wasm apisix-quickstart:/usr/local/bin/

使用 Wasm 插件相关信息更新 配置文件：

conf/config.yaml

wasm:
  plugins:
    - name: wasm_log
      priority: 7999
      file: /usr/local/bin/log.go.wasm

❶ name：Wasm 插件的名称。

❷ priority：插件的 执行优先级。

❸ file：Wasm 文件的绝对路径。

重新加载 APISIX 以使配置更改生效：

docker exec apisix-quickstart apisix reload

Kubernetes

从 log.go.wasm 文件创建 ConfigMap：

kubectl create configmap wasm-log --from-file=log.go.wasm

要挂载 ConfigMap，首先导出所有值（包括默认值）：

helm get values -n ingress-apisix apisix --all > values.yaml

在 values 文件中，更新以下部分值如下：

values.yaml

extraVolumes:
  - name: wasm-log
    configMap:
      name: wasm-log
extraVolumeMounts:
  - name: wasm-log
    mountPath: /usr/local/bin/log.go.wasm
    subPath: log.go.wasm
...
apisix:
  wasm:
    enabled: true
    plugins:
      - name: wasm_log
        priority: 7999
        file: /usr/local/bin/log.go.wasm

升级发布：

helm upgrade -n ingress-apisix apisix apisix/apisix -f values.yaml

在 APISIX 中使用插件

创建一个带有 wasm_log 插件的示例路由：

Admin API

curl "http://127.0.0.1:9180/apisix/admin/routes" -X PUT -d '
{
  "id": "wasm-log-plugin",
  "uri": "/anything",
  "plugins": {
    "wasm_log": {
      "conf": "hello apisix"
    }
  },
  "upstream": {
    "type": "roundrobin",
    "nodes": {
      "httpbin.org:80": 1
    }
  }
}'

❶ conf：配置插件要记录的字符串。

ADC

adc.yaml

services:
  - name: Wasm Plugin Service
    routes:
      - uris:
          - /anything
        name: wasm-log-plugin
        plugins:
          wasm_log:
            conf: hello apisix
    upstream:
      type: roundrobin
      nodes:
        - host: httpbin.org
          port: 80
          weight: 1

❶ conf：配置插件要记录的字符串。

将配置同步到 APISIX：

adc sync -f adc.yaml

Ingress Controller

Gateway API

wasm-route.yaml

apiVersion: v1
kind: Service
metadata:
  name: httpbin-external-domain
spec:
  type: ExternalName
  externalName: httpbin.org
---
apiVersion: apisix.apache.org/v1alpha1
kind: PluginConfig
metadata:
  name: wasm-log-plugin-config
spec:
  plugins:
    - name: wasm_log
      config:
        conf: hello apisix
---
apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: wasm-log-plugin
spec:
  parentRefs:
  - name: apisix
  rules:
  - matches: 
    - path:
        type: Exact
        value: /anything
    filters:
    - type: ExtensionRef
      extensionRef:
        group: apisix.apache.org
        kind: PluginConfig
        name: wasm-log-plugin-config
    backendRefs:
    - name: httpbin-external-domain
      port: 80

APISIX CRD

wasm-route.yaml

apiVersion: apisix.apache.org/v2
kind: ApisixUpstream
metadata:
  name: httpbin-external-domain
spec:
  externalNodes:
  - type: Domain
    name: httpbin.org
---
apiVersion: apisix.apache.org/v2
kind: ApisixRoute
metadata:
  name: wasm-log-plugin
spec:
  ingressClassName: apisix
  http:
    - name: wasm-log-plugin
      match:
        paths:
          - /anything
      plugins:
      - name: wasm_log
        enable: true
        config:
          conf: hello apisix
      upstreams:
      - name: httpbin-external-domain

将配置应用到你的集群：

kubectl apply -f wasm-route.yaml

向路由发送请求：

curl -i "http://127.0.0.1:9080/anything"

你应该收到 HTTP/1.1 200 OK 响应。

导航到错误日志，你应该看到 wasm_log 插件创建的以下日志条目：

2025/09/04 09:58:54 [warn] 53#53: *3331 run plugin ctx 1 with conf hello apisix in http ctx 2, client: 127.0.0.1, server: _, request: "GET /anything HTTP/1.1", host: "127.0.0.1:9080"

Proxy-Wasm 回调函数和 APISIX 阶段

下表显示了 Proxy-Wasm 回调函数与 APISIX 阶段 之间的对应关系。

Proxy-Wasm Callbacks	APISIX Phases
proxy_on_configure	当新配置没有插件上下文时运行一次，例如当第一个请求到达没有配置 Wasm 插件的路由时。
proxy_on_http_request_headers	在 access 或 rewrite 阶段 运行，具体取决于 http_request_phase 的配置。
proxy_on_http_request_body	在与 proxy_on_http_request_headers 相同的 阶段 运行。要运行此回调，请在 proxy_on_http_request_headers 中将属性 wasm_process_req_body 设置为非空值。
proxy_on_http_response_headers	在 header_filter 阶段运行。
proxy_on_http_response_body	在 body_filter 阶段 运行。要运行此回调，请在 proxy_on_http_response_headers 中将属性 wasm_process_resp_body 设置为非空值。

下一步

对 Proxy-Wasm API 的支持是一项持续的工作。要关注最新进展，请查看 wasm-nginx-module。

一些 APISIX 插件，例如 fault-injection 和 response-rewrite，已经在 Wasm 中重新实现。浏览 /t/wasm 目录以了解更多信息。

一个实际用例是将 APISIX 与 Coraza WAF 集成以保护上游资源。这是通过将 coraza-proxy-wasm 模块加载到 APISIX 中并在 APISIX 资源上配置插件来完成的。请参阅 与 Coraza WAF 集成 文档。