본문 바로가기
클라우드/Istio

Istio, 너 혹시 텔레파시 쓰니? Envoy와 Istiod의 비밀 통신 방법 🤫

by gasbugs 2025. 11. 28.

안녕하세요! 오늘은 서비스 메쉬의 대명사, Istio의 내부 동작 원리에 대해 깊숙이 파헤쳐 보는 시간을 갖겠습니다. 🧐

마이크로서비스 아키텍처(MSA)를 운영하다 보면 수많은 서비스 간의 트래픽을 제어하고, 정책을 적용하고, 모니터링하는 것이 정말 복잡해지죠. Istio는 바로 이 문제를 해결하기 위해 등장했습니다. Istio는 서비스와 함께 배포되는 '사이드카 프록시'인 Envoy와, 이 프록시들을 중앙에서 관리하는 '컨트롤 플레인'인 Istiod로 구성됩니다.

여기서 한 가지 궁금증이 생깁니다.

"Istiod는 어떻게 그 많은 Envoy 프록시들에게 실시간으로 명령을 내리고 설정을 업데이트할까?"

마치 중앙 관제탑이 수백 대의 비행기와 실시간으로 교신하는 것과 같은 이 놀라운 통신 방식의 비밀을 지금부터 알아보겠습니다!

🏛️ 전체 그림 먼저 보기: 컨트롤 플레인 vs 데이터 플레인

본격적으로 통신 방식을 알아보기 전에, 전체적인 구조부터 이해해야 합니다.

  • 컨트롤 플레인 (Control Plane - Istiod) 🧠
    • 서비스 메쉬의 '뇌' 역할을 합니다.
    • 모든 설정과 정책을 관리하고, 서비스 디스커버리 정보를 취합합니다.
    • 개발자가 작성한 VirtualService, DestinationRule 같은 YAML 파일을 해석해서 Envoy가 알아들을 수 있는 설정으로 변환합니다.
  • 데이터 플레인 (Data Plane - Envoy Proxies) 💪
    • 서비스 메쉬의 '손과 발' 역할을 합니다.
    • 각 애플리케이션 컨테이너 옆에 사이드카 형태로 붙어서 모든 네트워크 트래픽(Inbound/Outbound)을 가로챕니다.
    • 컨트롤 플레인으로부터 받은 설정대로 트래픽 라우팅, 로드 밸런싱, 보안 정책 적용 등의 실제 작업을 수행합니다.

핵심은 '뇌(Istiod)'가 어떻게 '손과 발(Envoy)'을 실시간으로 제어하는가 입니다.

🚀 핵심은 'Push' 모델: 실시간 업데이트의 비밀

결론부터 말하자면, Istiod는 변경 사항이 발생했을 때 필요한 설정을 Envoy 프록시에게 밀어주는(Push) 방식을 사용합니다.

이것이 왜 중요할까요? 이 과정을 단계별로 살펴보겠습니다.

  1. 변화 감지 📡: Istiod는 쿠버네티스 API 서버를 끊임없이 지켜봅니다. 새로운 서비스가 배포되거나, 기존 서비스의 Pod가 스케일 아웃되거나, VirtualService 같은 라우팅 규칙이 변경되는 등 모든 변화를 즉시 감지합니다.
  2. 설정 변환 ⚙️: 변화가 감지되면, Istiod는 이 변경 사항이 어떤 Envoy 프록시들에게 영향을 미치는지 계산합니다. 그리고 해당 프록시들을 위한 새로운 설정을 생성합니다.
  3. 동적 푸시(Push) ⚡️: Istiod는 새롭게 생성된 설정을 영향을 받는 Envoy 프록시들에게 즉시 푸시합니다. 이때, 전체 설정을 다 보내는 것이 아니라 변경된 부분에 대한 최적화된 정보를 전달합니다.

이 모든 과정은 xDS(Discovery Service) API라는 표준 프로토콜을 통해, 매우 효율적인 gRPC 스트림 위에서 이루어집니다. 덕분에 매우 빠르고 안정적인 실시간 업데이트가 가능해집니다.

🗣️ 그들이 사용하는 언어: xDS API와 gRPC

Istiod와 Envoy는 그냥 대화하지 않습니다. 'xDS'라는 표준화된 언어를 사용하죠. xDS는 다양한 종류의 'Discovery Service'를 총칭하는 말입니다.

  • LDS (Listener Discovery Service): Envoy가 어떤 포트에서 어떤 트래픽을 받을지(Listen)에 대한 설정 👂
  • RDS (Route Discovery Service): 수신된 트래픽을 어떤 규칙에 따라 어디로 보낼지에 대한 라우팅 설정 🗺️
  • CDS (Cluster Discovery Service): 트래픽을 보낼 목적지 서비스(Cluster) 그룹에 대한 정보 🏢
  • EDS (Endpoint Discovery Service): 각 서비스(Cluster)에 속한 실제 Pod들의 IP 주소와 포트 목록 📍

이러한 정보들이 gRPC 스트림을 통해 지속적으로 연결된 채널 위에서 실시간으로 전달됩니다.

간단한 예시로 이해하기

만약 개발자가 reviews 서비스의 트래픽을 v1 버전과 v2 버전에 각각 90%, 10%로 나누는 VirtualService를 배포했다고 가정해 봅시다.

1. 개발자가 적용한 VirtualService (입력)

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: reviews
spec:
  hosts:
  - reviews
  http:
  - route:
    - destination:
        host: reviews
        subset: v1
      weight: 90
    - destination:
        host: reviews
        subset: v2
      weight: 10

2. Istiod의 반응

  1. Istiod는 쿠버네티스 API를 통해 위 VirtualService의 생성을 감지합니다.
  2. 이 라우팅 규칙이 reviews 서비스로 트래픽을 보내는 모든 Envoy 프록시에게 영향을 미친다는 것을 계산합니다.
  3. 영향을 받는 Envoy들에게 전달할 RDS 업데이트를 생성합니다.

3. Envoy가 받는 설정 (개념적인 Raw Data)

Envoy는 아래와 같이 변환된 설정을 xDS를 통해 푸시받습니다. (이해를 돕기 위해 단순화된 형식입니다.)

# RDS (Route Discovery Service) 응답의 일부 (개념적 표현)
# Istiod가 이와 같은 정보를 생성하여 Envoy로 Push 합니다.
{
  "name": "http.8080",
  "virtual_hosts": [
    {
      "name": "reviews:8080",
      "domains": ["reviews", "reviews:8080", ...],
      "routes": [
        {
          "match": { "prefix": "/" },
          "route": {
            "cluster": "outbound|8080|v1|reviews.default.svc.cluster.local",
            "weighted_clusters": {
              "clusters": [
                {
                  "name": "outbound|8080|v1|reviews.default.svc.cluster.local",
                  "weight": 90  // 👈 90% 트래픽 가중치
                },
                {
                  "name": "outbound|8080|v2|reviews.default.svc.cluster.local",
                  "weight": 10  // 👈 10% 트래픽 가중치
                }
              ]
            }
          }
        }
      ]
    }
  ]
}

이렇게 Envoy는 개발자가 의도한 대로 트래픽을 90:10으로 정확하게 분배하기 시작합니다. 이 모든 과정이 몇 초 안에 자동으로 일어납니다!

🤔 흔한 오해 바로잡기

Istio의 통신 방식을 이야기할 때 자주 등장하는 오해들이 있습니다. 왜 이것들이 정답이 아닌지 알아봅시다.

  • "Envoy가 주기적으로 물어보는 거 아니야? (Pull 방식)"
    • 왜 아닌가?: 만약 Envoy가 10초마다 Istiod에게 "새로운 설정 없어?"라고 물어본다고 상상해 보세요. 아무 변경이 없어도 수많은 프록시들이 불필요한 네트워크 트래픽을 유발합니다. 또한, 중요한 정책 변경이 발생해도 최대 10초의 지연 시간이 생길 수 있습니다. 이는 실시간 대응이 중요한 MSA 환경에 적합하지 않습니다.
  • "정해진 시간마다 일괄적으로 받는 거 아니야? (Fixed Interval)"
    • 왜 아닌가?: 이 역시 Pull 방식과 비슷한 단점을 가집니다. 변경이 없어도 정해진 시간이 되면 통신이 발생하고, 변경이 발생해도 다음 주기까지 기다려야 합니다. 이벤트 기반의 Push 방식에 비해 훨씬 비효율적이고 느립니다.

결론적으로, Istio의 '이벤트 기반 Push' 방식은 효율성, 실시간성, 확장성 모든 면에서 가장 뛰어난 아키텍처입니다.

✨ 정리하며

오늘은 Istio의 핵심 두뇌인 Istiod가 어떻게 데이터 플레인의 Envoy 프록시들과 '텔레파시'처럼 통신하는지 알아보았습니다.

핵심을 요약하자면, Istiod는 변경 사항을 실시간으로 감지하여, xDS API를 통해 gRPC 스트림으로 필요한 Envoy에게만 최신 설정을 동적으로 'Push' 해준다는 것입니다.

이 똑똑하고 효율적인 통신 방식 덕분에 우리는 복잡한 마이크로서비스 환경에서도 트래픽을 자유자재로 제어하고 정책을 신속하게 적용할 수 있는 것입니다. Istio를 사용하고 계시다면, 이 보이지 않는 똑똑한 교신이 지금 이 순간에도 일어나고 있다는 사실을 기억해 주세요! 😉

저작자표시 비영리 변경금지 (새창열림)

'클라우드 > Istio' 카테고리의 다른 글

내 서비스는 누가 지킬까? Istio의 깐깐한 신원 조회 방법 2가지 🕵️‍♂️  (0) 2025.11.28
Istio 프로덕션 환경, '이것'만은 꼭 확인하세요: 설치 프로필의 비밀 🤫  (0) 2025.11.28
Istio 인가 정책, 혹시 아직도 ‘활성화’하고 계신가요? (ft. 우리만 몰랐던 진실) 😲  (0) 2025.11.28
🚀 MSA 좀 한다는 회사들이 전부 '이것'을 쓰는 진짜 이유 (feat. Envoy Proxy)  (0) 2025.11.27
Istio Wasm, 아직도 EnvoyFilter 쓰세요? 😥 당신의 서비스를 지키는 가장 안전한 배포법  (0) 2025.11.27

관련글

티스토리툴바