Istio 🌶️ 트래픽 흐름 Life of a packet

실습 환경 구성

Untitled

<aside> 👉🏻 실습 환경은 K8S v1.23.4 , 노드 OS(Ubuntu 20.04.3) , CNI(Calico v3.21.4, Direct mode) , IPTABLES proxy mode , Istio v1.13.2(Envoy v1.21.2)

</aside>

# 배포
curl -O <https://raw.githubusercontent.com/gasida/KANS/main/8/Vagrantfile>
vagrant up
vagrant status
vagrant ssh k8s-m

글 목적 : Istio 를 통한 인바운드/아웃바운드 통신을 상세히 알아보자

Istio 는 최대한 간단하게 구성(Istio Gateway/VirtualService)을 하였고, 중요도가 떨어지거나 불필요한 설명은 제외하였습니다.
실습 구성 환경은 vagrant 로 4대의 Linux 에 k8s(master, 2xnode) 와 calico cni, istio 1.21 로 구성하였습니다.

Istio 통신 : 호스트의 tcp/ip 와 iptables 과 파드 내에 iptables 와 envoy 를 경유

달리기에 비유하자면, Istio 가 없을 경우를 운동장 한바퀴라면, istio 사용 시 대략 운동장 세바퀴라고 볼 수 있습니다.
Istio 사용 시 장점도 있지만, 없을 경우 대비 **비용(지연 추가, 프로세싱 추가, 복잡한 구조 등)**이 추가됩니다. ⇒ 아래 3번 글 Sidecarless mode 참고!

외부 클라이언트 PC에서 K8S 파드(웹서버)로 접속 과정

1.1 클라이언트(요청) → 파드(인입)

트래픽 흐름

Untitled

파드 내 IPTables 적용 흐름 : 아래 (1) ~ (8) 까지의 과정을 먼저 설명합니다.