안녕하세요! 오늘은 쿠버네티스(Kubernetes) 운영 환경에서 '표준(Standard)'이라고 불리는 아키텍처에 대해 깊이 있게 다뤄보려고 합니다.
쿠버네티스를 처음 접하면 단순히 NodePort나 LoadBalancer 타입으로 서비스를 외부에 노출하곤 하는데요. 실제 프로덕션(운영) 환경에서는 왜 별도의 Edge Node를 두고, 내부에 Service Mesh를 구성하는 것이 정석일까요?
그 이유와 함께, 이 구조가 해결해 주는 고질적인 네트워크 문제들까지 싹 정리해 드립니다. 🚀
🏗️ 표준 아키텍처: Edge Node와 Service Mesh의 만남
현대적인 쿠버네티스 운영 환경은 크게 두 가지 영역으로 명확히 나뉩니다.
- Edge Node (성문 🏰): 외부 트래픽이 들어오는 유일한 입구
- Service Mesh (내부 도로망 🛣️): 내부 서비스(Pod) 간의 안전하고 효율적인 통신망
이 구조는 단순히 멋있어 보이려고 하는 것이 아니라, 보안, 안정성, 가시성이라는 세 마리 토끼를 잡기 위해 고안된 설계입니다.
1. 트래픽의 명확한 분리 (North-South vs East-West)
- North-South 트래픽 (외부 ↔️ 내부): 사용자가 우리 서비스에 접속하는 트래픽입니다. 이는 Edge Node에 위치한 Ingress Controller(또는 Gateway)가 전담합니다. 실제 애플리케이션이 도는 워커 노드를 인터넷에 직접 노출하지 않아 보안성을 극대화합니다.
- East-West 트래픽 (내부 ↔️ 내부): 마이크로서비스끼리 데이터를 주고받는 트래픽입니다. 이는 Service Mesh(예: Istio, Linkerd)가 담당하여 복잡한 통신 로직을 처리합니다.
2. 제로 트러스트(Zero Trust) 보안 🛡️
"내부망에 들어왔다고 해서 믿지 마라!"
이 아키텍처의 핵심 철학입니다.
- mTLS 암호화: 서비스 메시는 내부 통신을 자동으로 암호화합니다. 해커가 침투하더라도 데이터를 엿볼 수 없습니다.
- 세밀한 권한 제어: "주문 서비스는 결제 서비스에만 접근 가능" 같은 정책을 코드가 아닌 인프라 레벨에서 강제할 수 있습니다.
💡 핵심: NodePort의 고질적인 문제 해결
많은 분들이 이 아키텍처를 도입하는 결정적인 이유는 바로 기존 NodePort 방식이 가진 네트워크 비효율성과 보안 문제를 해결하기 위함입니다.
문제 1: 트래픽이 핑퐁처럼 튄다? (Traffic Hop 현상) 🏓
- NodePort 상황: 클라이언트가 Node A로 요청을 보냈는데, 실제 파드는 Node B에 있다면? 쿠버네티스 내부 네트워크(kube-proxy)를 통해 트래픽이 Node A → Node B로 한 번 더 이동해야 합니다. 불필요한 지연(Latency)이 발생하죠.
- Edge Node 해결책 (Smart Routing): Edge Node의 Ingress Controller는 전체 파드의 위치를 이미 알고 있습니다. 요청을 받자마자 해당 파드가 있는 노드로 다이렉트로 꽂아줍니다. 불필요한 홉(Hop)이 사라져 속도가 빨라집니다.
문제 2: 고객님의 진짜 IP가 사라졌다? (Source IP 유실) 🕵️♂️
- NodePort 상황: 트래픽이 노드 간을 건너뛸 때(SNAT), 패킷의 출발지 IP가 노드의 IP로 바뀌어버립니다. 애플리케이션 로그를 까보면 모든 요청이 내부 IP에서 온 것처럼 보여서, 실제 사용자가 누구인지, 어디서 접속했는지 알 수가 없습니다.
- Edge Node 해결책 (IP 보존):
- L4 레벨: Edge Node 설정(externalTrafficPolicy: Local)을 통해 들어오는 트래픽의 원본 IP를 유지합니다.
- L7 레벨: Ingress가 백엔드로 트래픽을 넘길 때, X-Forwarded-For라는 헤더에 **"원래 이 사람이 보냈음"**이라고 꼬리표를 붙여줍니다. 덕분에 애플리케이션은 사용자의 진짜 IP를 정확히 식별할 수 있습니다.
📝 요약: 왜 이것이 '표준'인가?
| 구분 | NodePort / 단순 구성 | Edge Node + Service Mesh (표준) |
| 보안 | 워커 노드가 외부에 노출됨 (위험 ⚠️) | 입구를 단일화하여 방어 및 통제 용이 (안전 🔒) |
| 트래픽 경로 | 노드를 건너다니며 지연 발생 (Hop) | 파드로 직행하는 최적 경로 (Direct) |
| 클라이언트 IP | 노드 IP로 변경되어 식별 불가 | 헤더 등을 통해 실제 IP 식별 가능 |
| 장애 대응 | 장애 발생 시 연쇄 오류 위험 | 서킷 브레이커로 장애 격리 및 차단 |
결국 이 아키텍처는 "개발자는 비즈니스 로직에만 집중하고, 복잡한 네트워크와 보안은 인프라가 알아서 처리한다"는 클라우드 네이티브의 이상을 실현해 줍니다.
처음 구축하는 데는 노력이 좀 들지만, 운영 단계에서의 안정성과 디버깅 편의성을 생각하면 선택이 아닌 필수에 가깝습니다. 여러분의 클러스터는 지금 어떤 모습인가요? 🤔
'클라우드 > 쿠버네티스' 카테고리의 다른 글
| Kubernetes Ingress, 이제 정말 보내줘야 할까요? Gateway API 전격 파헤치기 🚀 (0) | 2025.12.05 |
|---|---|
| 🚀 골든 쿠버스트로넛을 향한 여정 (8/15): ICA 합격, 넷째의 탄생과 4시간의 기적 (feat. 실습의 반전) (0) | 2025.12.01 |
| [쿠버네티스 구조] 사용자가 Deployment를 생성하면 내부에서는 무슨 일이 일어날까? (0) | 2025.11.26 |
| [Linux Network] Netfilter가 eBPF에게 자리를 내어주는 이유: 완벽 비교 분석 🚀 (0) | 2025.11.25 |
| [Kubernetes] 마스터(Master), 워커(Worker) 말고 '인프라 노드(Infra Node)'도 있다구요? 🧐 (0) | 2025.11.25 |
