쿠버네티스에서 자주 사용하는 istio proxy의 원리

쿠버네티스를 운영하면서 istio를 쓰고 있지만, 트래픽을 어떤 방식으로 관리하는지 알아본 적이 없었다. istio에 대해 공부하면서 이번 기회에 해당 내용을 정리해 보았다. 1. istio는 webhook을 통해 프록시를 injection한다. 2. istio-init 컨테이너가 init 컨테이너로 먼저 작동하고, istio-init은 파드의 네임스페이스에서 iptable을 변경한다. 3. istio-proxy는 사이드카 형태로 생성된다. 4. istio-proxy는 15006번 포트로 inbound 트래픽을, 15001번 포트로 outbound 트래픽을 가로챈다. 5. istio-proxy에서 파생된 트래픽이 다시 proxy로 들어가지 않도록 하기 위해 고정 UID/GID(1337)을 사용하고, 이를 iptable 규칙 조건으로 추가한다. istio를 사용한다면 트래픽이 흘러가는 구조는 이해하는 편이 좋다. 필수는 아니더라도, 추후 트러블슈팅을 할 때 어느정도 도움이 되지 않을까 싶다. https://brunch.co.kr/@growthminder/84