jive.blog
  • 자기소개/ETC
    • 내가 학습하는 방향
  • 👷‍♂️문제 회고
    • 엔지니어링 위키 2024/01 ~
    • 코어 API V2.0 리팩토링 2023/12 ~
    • 페토그램 2023/06 ~
      • 서비스 설계 및 구현 경험
      • 테스트 관련 경험
      • 서비스 운영/배포 경험
      • CI/CD
    • 주키퍼 분산설정 리팩토링 2023/01~
    • 주요 고객사 장애 대응 2023/06 ~
    • 국방부 해커톤 2021/10 ~
    • 나무로움 (창업) 2019/10 ~ 2020/10
    • 연계규칙 주문 처리 리팩토링 2018/05~
  • 😁회고록
    • 2023년 회고록
    • 2024년 1분기 회고록
  • 😀NEXTSTEP(우아한형제교육기관) 강의들
    • 🍋자바 플레이그라운드 WITH TDD 2023/06~
      • 요약
      • 1주차 숫자야구게임 - 단위테스트
      • 2주차 자동차 경주 -TDD
      • 3주차 좌표 계산기 - 상속, 인터페이스
      • 4주차 - 함수형 프로그래밍
      • 5주차 회고
    • 🍏ATDD, 클린 코드 with Spring(넥스트스텝) 2023/06 ~ 08
      • 요약 및 회고
      • 1주차 인수 테스트와 E2E 테스트
      • 2주차 인수테스트와 TDD
      • 3주차 인수 테스트와 인증
      • 4주차 인수 테스트와 리팩터링
    • 🍎만들면서 배우는 JPA 2023/10 ~ 2023/11
      • 요약 및 회고
      • 1주차 SQL 쿼리 빌더 구현
      • 2주차 Entity 구현
      • 3주차 Association
      • 4주차 Metadata n Event
    • 🍊TOMCAT, MVC 구현 2024-02 ~ 04
  • 🧑‍🎓영한님의 강좌들
    • 1주차 HTTP 웹 기본 지식
    • 2주차 Spring MVC 1편
    • 3주차 Spring JPA 기본편
    • 4주차 Spring JPA 활용 1편
    • 5주차 Spring JPA 활용 2편
    • 6주차 회고
  • 🌻실험실/메모
    • MySQL
      • Lock
      • Transaction
    • 객체지향
      • Untitled
    • Java
      • Page 4
      • Hashing
      • Collections API
      • AOP
      • Reflection
      • Page
      • Log4j/slf4j/logback
    • JPA
      • @Transaction
      • Entity 맵핑
      • 페이지네이션
      • JOOQ
      • Auditing
      • QueryDSL
    • Test/Docs
      • RestAssured
      • JUnit
      • Swagger
      • Spring Test
    • Spring
      • Spring Batch
      • Spring Security
      • Spring Micrometer
      • Multi Module
      • Spring Data JPA
      • Spring ApplicationEvent
      • OAuth
      • Hibernate
    • 덤벼라 JVM
      • Garbage Collection
      • JVM 메모리구조
      • JVM 메모리 구조
    • 멀티모듈
    • 이벤트 드리븐 아키텍쳐
      • Spring Event
      • SQS
  • 🚌기술 블로그 아티클 리뷰
    • 아티클 리뷰
      • [아티클 리뷰] 카오스 마스터하기 - 넷플릭스의 MSA 여정 - 조쉬에반스
      • [아티클 리뷰] 데이터 엔지니어링의 Future
      • [아티클 리뷰] MSA 제대로 디자인하기 Design Microservice Architectures the Right Way- Michael bryznek
    • 책 리뷰
      • [책 리뷰] 오브젝트
      • [책 리뷰] 객체지향의 사실과 오해
      • [책 리뷰] 도커 교과서
      • [책 리뷰] Effective Java
      • [책 리뷰] 클린코드
      • [책 리뷰] Real MySQL 8.0
      • [책 리뷰] 만들면서 배우는 클린 아키텍처
    • 컨퍼런스 리뷰
      • [테크 컨퍼런스 리뷰] 카카오 뱅크 밋업
  • 🥲Devops
    • Docker
    • AWS - CLF 자격증
    • AWS - SAA 자격증
    • 포트폴리오
    • AWS EKS Workshop Study 2기 (@CloudNet)
      • 1주차 EKS 실습 환경 배포, K8S/EKS 소개
      • 2주차 Networking - VPC CNI, AWS LB Ctrl, CoreDNS/ExternalDNS
      • 2주차 Networking - VPC CNI, AWS LB Ctrl, CoreDNS/ExternalDNS 실습편
      • 3주차 - EKS Storage & Nodegroup
      • 4주차 - EKS Observability - Prometheus, Grafana, Loki
      • 5주차 - EKS Autoscaling - HPA/KEDA, VPA, CA, CPA, Karpenter
      • 6주차 - Security - EKS 인증/인가, IRSA, Pod Identity, Secrets Mgmt, Kyverno
      • 7주차 - CI/CD - Argo CD, Argo rollouts, Flux
      • 8주차 - Automation - ACK, Crossplane, Pulumi
    • Terraform 101 [4기] (@CloudNet)
      • 1주차 테라폼 기초 - 주요커맨드/HCL/블록/리소스
      • 2주차 테라폼 기초 - 데이터 소스/ 입력 변수 variable/ local 지역 값/ 출력/ 반복문
      • 3주차 테라폼 기초 - 반복문, 조건문, 함수, 프로비저, null_resource와 terraform_data, moved 블록, CLI를 위한 시스템 변수
      • 4주차 Provider & State
      • 5주차 Module & Runner
      • 7주차 테라폼으로 AWS EKS 배포
      • 8주차 - OpenTofu
    • Kubernetes Advanced Networking Study 3기 (@CloudNet)
      • 1주차 [1] - 도커 컨테이너 격리
      • 2주차 [1] - 쿠버네티스와 Kind 소개
      • 2주차 [2] - 파드와 PAUSE 컨테이너
      • 2주차 [3] - Flannel CNI
      • 3주차 [1] - Calico CNI
      • 3주차 [2] - Calico CNI Network mode
      • 4주차 [1] - Service: ClusterIP
      • 4주차 [2] - Service: NodePort
      • 5주차 - LoadBalancer(MetalLB)
      • 5주차 - IPVS
      • 6주차 - Ingress
      • 6주차 - Gateway API
      • 6주차 - CoreDNS
      • 7주차 - Service Mesh: Envoy
      • 7주차 - Service Mesh: Istio 기능들
      • 7주차 - Istio Traffic 보안 & 통신 흐름
      • 8주차 - Cillium CNI
      • 8주차 - Hubble
      • 9주차 - AWS EKS : VPC CNI & LB Controller & External DNS
      • 9주차 - AWS EKS : VPC CNI & LB Controller & External DNS [실습]
Powered by GitBook
On this page
  • 1. Istio 요약
  • 2. Istio 아키텍처 및 구성요소
  • 3. [실습] 설치
  • 4. [실습] Istio sidecar auto injection
  • 5. [실습] Istio 외부 노출
  • 6. [실습] Istio Gateway/Virtual Serivce 설정
  • 7. [실습] Istio를 통한 Nginx 파드 접속 테스트
  • 8. [실습] 유닉스 도메인 소켓 통신 확인
  1. Devops
  2. Kubernetes Advanced Networking Study 3기 (@CloudNet)

7주차 - Service Mesh: Istio 기능들

Previous7주차 - Service Mesh: EnvoyNext7주차 - Istio Traffic 보안 & 통신 흐름

Last updated 6 months ago

1. Istio 요약

  • 목적성

    • msa 환경에서 내부 통신을 하게되면 N(N-1) 의 경우의 수가 생기는데 모니터링의 어려움이 생깁니다.

    • 내부자 권한 처리나 요구사항들이 계속 생기게 됩니다.

    • 이러한 요구사항을 충족시키기 위해 Envoy와 같은 프록시로 통신시키고 모니터링하고 컨트롤 하는 것을 Service Mesh 로 대표적인 구현체로 Istio가 있습니다.

  • 제공하는 기능들

    • 트래픽 모니터링

    • 트래픽 컨트롤

      • 트래픽 시프팅: 신규 앱에 전달하는 트래픽을 단계적으로 적용 - TRAFFIC SIFTING

      • 서킷 브레이커: 목적지 마이크로 서비스에 문제가 있을 경우, 접속 차단 (연쇄 에러 방지)

      • 폴트 인젝션: 의도적으로 실패 구현 - FAULT INJECTION

      • 속도 제한: 요청 제한 - RATE LIMITER

      • 트래픽 미러링: 동일한 트래픽을 다른 서비스에 복사가 가능합니다.

2. Istio 아키텍처 및 구성요소

  • Control Plane

    • Istiod

      • Pilot(파일럿) : 모든 Envoy 사이드카에서 프록시 라우팅 규칙을 동기하고 서비스 디스커버리와 로드 밸런싱 설정을 제공합니다.

      • Galley(갤리) : Istio와 쿠버네티스를 연결해주는 역할을 합니다. 서비스 메시 구성 데이터를 검증하고 변환합니다. (Controller 같은 역할)

      • Citadel(시타델) : 보안 기능을 담당하고 TLS 인증을 발급하고 서비스간 통신을 암호화합니다.

  • Data Plane

    • Istio Proxy: Envoy를 래핑하고, istiod와 통신해 서비스 트래픽을 통제하고 메트릭을 수집합니다.

  • Istio Proxy는 Side Car 패턴을 사용하게 되는데 원리는 다음과 같습니다.

  • 파드 내에 컨테이너로 주입되어서 동작하고 Proxy 컨테이너가 Application 트래픽을 가로채서 iptable rules에 맞게 라우팅합니다.

    • proxy 에서 istiod(pilot) 과 변경된 iptables 에 대해 동기화를 동적으로 해주게 됩니다.

    • 사담으로, pod의 모든 컨테이너는 동일한 루프백 네트워크 인터페이스를 공유합니다.

3. [실습] 설치

// istio를 설치합니다.
export ISTIOV=1.23.2
echo "export ISTIOV=1.23.2" >> /etc/profile
curl -s -L https://istio.io/downloadIstio | ISTIO_VERSION=$ISTIOV TARGET_ARCH=x86_64 sh -
tree istio-$ISTIOV -L 2 # sample yaml 포함
cp istio-$ISTIOV/bin/istioctl /usr/local/bin/istioctl
istioctl version --remote=false

// demo 프로파일 컨트롤 플레인 배포하고 egressGateway 없이 실습 환경 구성했습니다.
istioctl profile list
istioctl profile dump default
istioctl profile dump --config-path components.ingressGateways
istioctl profile dump --config-path values.gateways.istio-ingressgateway
istioctl profile dump demo

// 해당 프로파일로 istio 설치
istioctl install -f demo-profile.yaml -y


// istio-ingressgateway 의 envoy 버전 확인
kubectl exec -it deploy/istio-ingressgateway -n istio-system -c istio-proxy -- envoy --version

# istio-ingressgateway 서비스 NodePort로 변경
kubectl patch svc -n istio-system istio-ingressgateway -p '{"spec":{"type":"NodePort"}}'

# istio-ingressgateway 서비스 확인
kubectl get svc,ep -n istio-system istio-ingressgateway

## istio-ingressgateway 서비스 포트 정보 확인
kubectl get svc -n istio-system istio-ingressgateway -o jsonpath={.spec.ports[*]} | jq

4. [실습] Istio sidecar auto injection 

// istio 사이다카를 모두 자동 생성하게 끔 훅을 생성합니다.

kubectl label namespace default istio-injection=enabled

5. [실습] Istio 외부 노출

aws ec2 describe-instances --query "Reservations[*].Instances[*].{PublicIPAdd:PublicIpAddress,InstanceName:Tags[?Key=='Name']|[0].Value,Status:State.Name}" --filters Name=instance-state-name,Values=running --output text


# istio ingress gw NodePort(HTTP 접속용) 변수 지정 : 아래 ports[0] 은 어떤 용도의 포트일까요?
export IGWHTTP=$(kubectl get service -n istio-system istio-ingressgateway -o jsonpath='{.spec.ports[1].nodePort}')
echo $IGWHTTP
IGWHTTP=<각자 자신의 NodePort>


MYDOMAIN=<각자 자신의 www 도메인> # 단, 사용하고 있지 않는 공인 도메인을 사용 할 것
MYDOMAIN=www.simonsichangpark.com
echo "<istio-ingressgateway 파드가 있는 워커 노드> $MYDOMAIN" >> /etc/hosts

export MYDOMAIN=www.gasida.dev
echo -e "192.168.10.10 $MYDOMAIN" >> /etc/hosts
echo -e "export MYDOMAIN=$MYDOMAIN" >> /etc/profile


# istio ingress gw 접속 테스트 : 아직은 설정이 없어서 접속 실패가 된다
curl -v -s $MYDOMAIN:$IGWHTTP





cat <<EOF | kubectl create -f -
apiVersion: v1
kind: ServiceAccount
metadata:
  name: kans-nginx
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: deploy-websrv
spec:
  replicas: 1
  selector:
    matchLabels:
      app: deploy-websrv
  template:
    metadata:
      labels:
        app: deploy-websrv
    spec:
      serviceAccountName: kans-nginx
      terminationGracePeriodSeconds: 0
      containers:
      - name: deploy-websrv
        image: nginx:alpine
        ports:
        - containerPort: 80
---
apiVersion: v1
kind: Service
metadata:
  name: svc-clusterip
spec:
  ports:
    - name: svc-webport
      port: 80
      targetPort: 80
  selector:
    app: deploy-websrv
  type: ClusterIP
EOF

// 사이드카 배포 확인
kubectl get pod,svc,ep,sa -o wide

6. [실습] Istio Gateway/Virtual Serivce 설정

cat <<EOF | kubectl create -f -
apiVersion: networking.istio.io/v1
kind: Gateway
metadata:
  name: test-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
  - port:
      number: 80
      name: http
      protocol: HTTP
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1
kind: VirtualService
metadata:
  name: nginx-service
spec:
  hosts:
  - "$MYDOMAIN"
  gateways:
  - test-gateway
  http:
  - route:
    - destination:
        host: svc-clusterip
        port:
          number: 80
EOF

7. [실습] Istio를 통한 Nginx 파드 접속 테스트

// istio ingress gw 를 통해서 접속 테스트를 해봅니다.
# istio ingress gw 를 통한 접속 테스트
curl -s $MYDOMAIN:$IGWHTTP | grep -o "<title>.*</title>"
curl -v -s $MYDOMAIN:$IGWHTTP
curl -v -s <유동공인이IP>:$IGWHTTP



# istio-proxy 사용자 정보 확인 : uid(1337):gid(1337) 확인 -> iptables rule 에서 사용됨
kubectl exec -it deploy/deploy-websrv -c istio-proxy -- tail -n 3 /etc/passwd

8. [실습] 유닉스 도메인 소켓 통신 확인

🥲
설치 버전 확인
istio 설치
k8s에서 crd들 확인
설정 확인
POD 2개 생성
POD 내에 CONTAINER 2개 PROXY도 뜬것 확인
https://devlos.tistory.com/100