오늘은 먼저 Istio Ambient Mode 에 대해 간단히 알아보겠습니다. 한마디로 정의하자면 Ambient Mode란 사이드카 없이 L4 와 L7을 분리하여 사용할 수 있도록 하는 Mode입니다.공식홈에서는 이렇게 이야기하는데요. 이러한 계층적 접근 방식은 Istio를 점진적으로 도입할 수 있게 해주며, 메시가 없는 상태에서 보안이 강화된 L4 오버레이로, 그리고 필요에 따라 네임스페이스 단위로 완전한 L7 처리 및 정책 적용으로 부드럽게 전환할 수 있도록 합니다. 또한 서로 다른 Istio 데이터 플레인 모드에서 실행되는 워크로드 간에도 원활하게 상호 운용이 가능하므로, 사용자는 시간이 지남에 따라 변화하는 요구 사항에 맞춰 기능을 자유롭게 혼합하여 사용할 수 있습니다. 기존 Istio는 S..

Istio에서는 Traffic에 대한 인가를 해주는 정책이있다 바로 AuthoriationPolicy 이다.인가에 대한 설명을 잠시하자면 어떤 리소스에 접근할 수 있는지 또는 어떤 동작을 수행할 수 있는지를 검증하는 것, 즉 접근 권한을 얻는 일을 말합니다. 이번 글에서는 Istio의AuthoriationPolicy을 통한 인가 정책에 알아보겠습니다.  구성환경istio: 1.25.01. AuthorizationPolicy의 주요 구성 요소AuthorizationPolicy는 다음과 같은 주요 요소로 구성됩니다:selector: 정책을 적용할 대상(워크로드)을 지정합니다.action: 허용(allow), 거부(deny), 감사(audit) 등의 동작을 정의합니다.rules: 조건을 기반으로 특정 요청을 ..

이전 문서에서는 Istio에서 제공하는 virtualservice와 gateway를 사용한 부분을 다루었다. 하지만 2023년 3월 8일에 kuberentes 재단에서 공식적인 GatewayAPI를 정식버전으로 올린후 Istio도 그에 맞추어 GatewayAPI를 사용하기로 마음을 먹은 거같다. 사실 나는 Istio에 대해 gateway, virtualService, destinataionRule등 많은 부분들을 사용해보기도 했지만 GatewayAPI는 다소 생소한 부분이 있다. 그럼 왜 ?? GatewayAPI를 사용해야 하는지 알아보자. (GatewayAPI는 공식문서를 참조하자 나중에 쓸 일이 있을거같지만.. 공식문서 :https://gateway-api.sigs.k8s.io/) 일단 요즘 Isti..

이번에는 DestistationRule에 대해 알아보겠습니다. DestinationRule은 특정 서비스에 대한 트래픽 정책을 정의하는 중요한 리소스입니다. 이번에는 깊게는 다루지않고 간단하게 어떤식으로 사용되는지에 대해 써보고자합니다.1. DestinationRule이란?로드 밸런싱(LB) 방식 지정연결 풀(Connection Pool) 설정고장 감지(Fault Detection) 및 재시도(Retry) 정책 적용TLS 설정을 통한 보안 강화서브셋(Subsets) 설정을 통한 서비스 버전 관리백엔드 장애 발생 시 트래픽 분산 및 대체 경로 제공DestinationRule은 일반적으로 VirtualService와 함께 사용되며, VirtualService가 트래픽의 라우팅을 담당한다면, Destinati..

SNI(Server Name Indication)는 TLS 핸드셰이크 과정에서 클라이언트가 접속하려는 도메인 이름을 명시하는 기능입니다. Istio에서는 이를 활용하여 도메인 기반의 트래픽 라우팅을 설정할 수 있습니다.(SNI에 대한 관련사항은 자세히 다루지는 않습니다.. 참고를 https://www.cloudflare.com/ko-kr/learning/ssl/what-is-sni/ 하면 좋을듯합니다.. ) 기본적으로 Istio의 Gateway는 Host 헤더 기반의 HTTP 라우팅을 수행하지만, TLS 트래픽의 경우 SNI를 활용하여 특정 서비스로 라우팅할 수도 있습니다. 이는 멀티 테넌트 환경에서 특정 도메인별로 트래픽을 라우팅하거나, 특정 클러스터로 트래픽을 분산할 때 유용합니다. 또한 이런 방식은..

Istio는 서비스 메시에 대한 강력한 관리 기능을 제공하는 오픈소스 프로젝트입니다. Istio를 사용하면 트래픽 라우팅, 서비스 디스커버리, 로드 밸런싱, 보안 정책 등을 세밀하게 제어할 수 있습니다.흐름도는 이와 같다.gateway는 외부 트래픽이 내부로 들어오게해주는 진입점이라 생각하면 된다. 그렇다면 virtualservice는 무엇일까? 해당 트래픽이 내부에 들어오게 되면 서비스 메시 내 특정 서비스로 가져올 방법이 필요한데 이것을 도와주는 리소스가 virtualservice이다. 그렇기에 이 글에서는 gateway의 배포와 virtuaservice에 대한부분을 간략하게 적어보고자 한다.1. Istio Gateway란?Gateway는 외부 트래픽을 클러스터 내부의 서비스로 라우팅하는 역할을 합니..