분류 전체보기

이전 포스팅에서는 트래픽이 Ingress Gateway를 거쳐 클러스터 내부로 들어오면, 요청 수준에서 트래픽을 조작하고 어디로 라우팅 할지 세밀하게 제어하는 방법을 다뤘다.하지만 라우팅을 아무리 잘 제어한다고 해도, 현실에서는 여전히 다음과 같은 문제가 항상 발생한다.애플리케이션 오류네트워크 장애예측할 수 없는 시스템 실패이러한 상황은 수작업으로 대응하기엔 너무 빠르고 복잡하다. 그래서 필요한 게 바로, 문제가 발생했을 때 자동으로 대응하는 회복탄력성(resilience) 이다. Istio를 사용하면, 이 모든 복원 기능을 애플리케이션 코드를 수정하지 않고 네트워크 레벨에서 쉽게 적용할 수 있다. 이번 포스팅에서는 Istio의 다양한 회복탄력성 기법들을 어떻게 설정하고 적용하는지 살펴본다클라이언트 측 ..

이전 포스팅에서는 외부 트래픽을 클러스터로 유입시키는 방법(Istio IngressGateway)과, 그 과정에서 고려해야 할 요소들을 살펴봤다. 이번 포스팅에는 클러스터 내부로 들어온 요청이 어떻게 적절한 서비스로 라우팅 되는지에 대해 알아본다. 클러스터 안에 있는 서비스들은 서로 어떻게 통신할까? 또, 클러스터 밖에 있는 다른 서비스와 통신하려면 어떤 경로를 거쳐야 할까?Istio는 VirtualService를 통해 트래픽이 어떤 방식으로 라우팅 될지 애플리케이션 간 트래픽을 개별 요청 단위까지 세밀하게 제어할 수 있다. Istio의 다양한 트래픽 관리 기법에 대해 알아보자. 요청 라우팅(Routing requests with Istio)새로운 코드 배포 리스크 위험 줄이기Blue/Green 배포는 ..

Kubernetes의 애플리케이션 네트워킹 변화 과정Kubernetes의 네트워킹 스택은 마이크로서비스 아키텍처의 발전과 함께 진화해 왔습니다.첫 시작 : 단일 Kubernetes 클러스터 환경단일 클러스터 환경에서는 CoreDNS와 Ingress 리소스를 통해 내부 서비스 간 통신 및 외부 통신을 네이티브 하게 구현합니다. 초기에는 기본 Service 리소스(NodePort, ClusterIP, LoadBalancer)로 시작하여 점차 Ingress를 활용한 경로 기반 라우팅과 SSL/TLS 보안 기능으로 발전했습니다. 이 단계에서는 주로 기본적인 내부 통신과 외부 노출 기능에 중점을 두었습니다.워크로드의 진화: 멀티 클러스터 환경에서의 네트워킹 과제멀티 클러스터 환경으로 발전하면서 클러스터 간 통신에..

1. AI 워크로드에 대한 컨테이너 사용AI 워크로드와 컨테이너: GPU 가상화의 필요성최근, AI가 대두되면서, 더욱 복잡하고, 대용량 데이터를 처리하는 모델을 다루면서, 이러한 워크로드는 고성능 GPU 인프라를 요구한다.특히 병렬 연산에 특화된 GPU는 딥러닝 학습 속도를 크게 향상한다. 과거에는 베어메탈 환경에 직접 GPU 드라이버와 프레임워크(CUDA, cuDNN 등)를 설치해 사용하는 방식이 일반적이었다. 하지만 이 방식은 다음과 같은 문제를 안고 있었다:• 환경 구성이 복잡하고 프레임워크마다 버전 호환성이 까다롭다.• GPU 리소스가 특정 사용자에 고정되면서 전체 활용률이 낮아진다.• 대규모 분산 학습 환경으로의 확장이 어렵다. 컨테이너 기술 도입 이후 개선된 점과 한계컨테이너는 Linux 커..

Istio Ingress Gateway 란?Istio에서 Ingress Gateway는 외부에서 들어오는 트래픽을 Mesh 내부로 유입시키는 진입점 역할을 한다.기존 Kubernetes의 Ingress와 비슷한 개념이지만, 더 세밀한 제어와 L7 기반의 트래픽 정책을 지원한다. Istio Ingress Gateway의 동작과 기능에 대해 알아보도록 하자. Istio API vs Kubernetes Gateway APIKubernetes도 최근 Gateway API를 정식 채택하면서, “Gateway”라는 용어가 Kubernetes와 Istio 양쪽에서 다르게 사용되며 혼동을 줄 수 있다. 게다가 게이트웨이의 구현체에 따라 구성 방식이 달라지기 때문에, 어떤 방식으로 정의하고 구성하느냐에 따라 사용 리소스..

지난 포스팅에서는 Envoy Proxy의 기본 개념과 특징에 대해 알아보았다.이번 포스팅에서는 실습을 통해 Envoy가 실제로 어떻게 동작하는지,그리고 Istio에서는 Envoy를 어떤 방식으로 제어하고 구성하는지를 살펴보고, Istio의 동작 원리에 대해 이해해 보자.Envoy 핵심 용어 정리Istio를 학습하면서, 로그 및 설정을 분석하거나 디버깅할 때, Envoy의 개념과 용어를 명확하게 이해하고 있지 않아, 너무 헷갈렸다.Envoy의 핵심 용어들을 먼저 정리해 보도록 하자. 이후 설정 확인이나 트래픽 흐름 분석에서도 훨씬 수월해질 것이다. Upstream vs Downstream• istio-proxy를 기준으로, Upstream은 요청이 향하는 대상(서버), Downstream은 요청을 보낸 주..

Vault 개요Vault에 대해 간단히 알아보고, 쿠버네티스 환경에서 시크릿을 어떻게 안전하게 관리할 수 있는지, 그리고 CI/CD 도구(Jenkins, ArgoCD)와 어떻게 연동할 수 있는지 실습을 통해 확인해보자.Vault란?Vault는 HashiCorp에서 개발한 보안 비밀 관리 도구로,API Key, 비밀번호, 인증서 같은 민감한 정보를 안전하게 저장하고 관리할 수 있도록 지원한다.역할 기반 접근 제어(RBAC)를 통해 세밀한 권한 관리 가능정적/동적 시크릿 관리, 자동 인증서 발급, 키 로테이션 등 다양한 기능 제공오픈소스와 엔터프라이즈 버전이 있으며, 다양한 클라우드 및 온프레미스 환경과 통합 가능Vault는 단순한 키-값 저장소를 넘어, 시크릿의 수명 주기를 자동으로 관리하고, 인프라 전반..

Istio in Action 책을 기반으로, CloudNet@ 팀 가시다님의 Istio Hands-on Study 스터디를 정리한 글입니다.Istio 개요서비스 메쉬(Service Mesh)의 등장서비스 메쉬의 필요성은 컨테이너 기술의 발전과 함께 부각되었다. 서비스가 점점 더 작아지고, 그 개수는 늘어나면서 전체 시스템을 모니터링하는 일이 점점 어려워졌다. 특히 서비스 운영 중 발생하는 장애나 병목의 원인을 파악하기 힘든 상황이 자주 발생하게 되었다. 그래서 이러한 문제들을 해결하기 위해 서비스 메쉬가 등장했다. 서비스 메쉬는 옵저버빌리티외에도, 개발자가 서비스 본연의 로직에만 집중할 수 있게 도와주는 역할도 수행한다. 만약 서비스마다 보안(mTLS), 트래픽 제어, 장애 복구, 모니터링 같은 기능을 ..