오늘은 먼저 Istio Ambient Mode 에 대해 간단히 알아보겠습니다. 한마디로 정의하자면 Ambient Mode란 사이드카 없이 L4 와 L7을 분리하여 사용할 수 있도록 하는 Mode입니다.공식홈에서는 이렇게 이야기하는데요. 이러한 계층적 접근 방식은 Istio를 점진적으로 도입할 수 있게 해주며, 메시가 없는 상태에서 보안이 강화된 L4 오버레이로, 그리고 필요에 따라 네임스페이스 단위로 완전한 L7 처리 및 정책 적용으로 부드럽게 전환할 수 있도록 합니다. 또한 서로 다른 Istio 데이터 플레인 모드에서 실행되는 워크로드 간에도 원활하게 상호 운용이 가능하므로, 사용자는 시간이 지남에 따라 변화하는 요구 사항에 맞춰 기능을 자유롭게 혼합하여 사용할 수 있습니다. 기존 Istio는 S..

Istio에서는 Traffic에 대한 인가를 해주는 정책이있다 바로 AuthoriationPolicy 이다.인가에 대한 설명을 잠시하자면 어떤 리소스에 접근할 수 있는지 또는 어떤 동작을 수행할 수 있는지를 검증하는 것, 즉 접근 권한을 얻는 일을 말합니다. 이번 글에서는 Istio의AuthoriationPolicy을 통한 인가 정책에 알아보겠습니다.  구성환경istio: 1.25.01. AuthorizationPolicy의 주요 구성 요소AuthorizationPolicy는 다음과 같은 주요 요소로 구성됩니다:selector: 정책을 적용할 대상(워크로드)을 지정합니다.action: 허용(allow), 거부(deny), 감사(audit) 등의 동작을 정의합니다.rules: 조건을 기반으로 특정 요청을 ..

이전 문서에서는 Istio에서 제공하는 virtualservice와 gateway를 사용한 부분을 다루었다. 하지만 2023년 3월 8일에 kuberentes 재단에서 공식적인 GatewayAPI를 정식버전으로 올린후 Istio도 그에 맞추어 GatewayAPI를 사용하기로 마음을 먹은 거같다. 사실 나는 Istio에 대해 gateway, virtualService, destinataionRule등 많은 부분들을 사용해보기도 했지만 GatewayAPI는 다소 생소한 부분이 있다. 그럼 왜 ?? GatewayAPI를 사용해야 하는지 알아보자. (GatewayAPI는 공식문서를 참조하자 나중에 쓸 일이 있을거같지만.. 공식문서 :https://gateway-api.sigs.k8s.io/) 일단 요즘 Isti..

backstage를 이용하다보면 login에 대한 연동이 꼭 필수적이다. 대부분 backstage연동을 github을 통한 로그인이 많았던거같다. 근데 현재 사내에서는 keycloak을 통해 모든 sso연동이 되어있고 또한 k8s도 sso 연동은 keycloak으로 되어있어 backstage도 keycloak을 연동해보고 싶었다!!! 그래서 이번 글에서는 keycloak을 연동해보고 로그인까지해보려고한다. 그리고 추후를 위해 keycloak catalog도 설정을 미리 해놓을려고한다. auth인증흐름은 아래와 같다.  1. keycloak에서 backstage client 만들기먼저 해줘야할 일은 keycloak의 backstage client이다. 저는 아래와 같이 만들었습니다.중요한건 redirect..

이번에는 DestistationRule에 대해 알아보겠습니다. DestinationRule은 특정 서비스에 대한 트래픽 정책을 정의하는 중요한 리소스입니다. 이번에는 깊게는 다루지않고 간단하게 어떤식으로 사용되는지에 대해 써보고자합니다.1. DestinationRule이란?로드 밸런싱(LB) 방식 지정연결 풀(Connection Pool) 설정고장 감지(Fault Detection) 및 재시도(Retry) 정책 적용TLS 설정을 통한 보안 강화서브셋(Subsets) 설정을 통한 서비스 버전 관리백엔드 장애 발생 시 트래픽 분산 및 대체 경로 제공DestinationRule은 일반적으로 VirtualService와 함께 사용되며, VirtualService가 트래픽의 라우팅을 담당한다면, Destinati..

opensource를 이용하다보면 로그인 Page가 없는경우가 있다. 그런경우는 추가 개발을 해주던가 해야하는데 이런부분을 쉽게 리버스프록시를 사용하여 해 줄 수 있는 opensource가 있는데 그게 바로 oauth2-proxy이다 또한 keycloak을 연동하면 로그인페이지를 사용하여 페이지 이동전에 로그인을하여 이동할 수 있다. 물론.. 단점은 로그아웃이 없다는 점이다..(URL을 수동으로 넣으면 로그아웃은 가능!) 아키텍쳐는 이렇다. 우리는 이번에 인증 middleware로 사용하기 위해 ingress nginx을 사용하여 oauth-proxy와 keycloak 사용해보고자한다그리고 keycloak은 20버전 위, oauth2-proxy는 7버전 위를 사용하는것을 추천한다.keycloak vers..