Istio Ambient Mesh 기술 검토

이 게시물은 Istio Ambient Mesh의 아키텍처와 구현, 그리고 대규모 빅데이터 플랫폼 환경에서의 적합성에 대해 상세히 설명합니다.

주요 내용

• Ambient Mesh는 사이드카 없는 데이터 플레인으로, 노드별 ztunnel 프록시와 선택적 L7 웨이포인트 프록시를 활용합니다.
• ztunnel은 L4 레벨에서 트래픽 암호화 및 정책 집행을 담당하며, 웨이포인트는 L7 기능을 처리합니다.
• 새로운 트래픽 리디렉션 모델은 Pod 네트워크 네임스페이스 내부에서 iptables를 활용해 투명한 트래픽 캡처를 구현해 기존 CNI와의 충돌을 방지합니다.
• 이 접근법은 리소스 오버헤드를 줄이고, 운영 복잡성을 낮추며, mTLS를 통한 제로 트러스트 보안을 제공합니다.
• 그러나 제조 빅데이터 환경과 같이 대규모 분산 트랜잭션 처리에는 ztunnel 경유 트래픽의 병목 현상과 네트워크 효율성 문제로 인해 적합하지 않다는 결론을 내렸습니다.

기술적 특징

• Rust 기반의 ztunnel 구현으로 성능과 안정성 향상
• HBONE 프로토콜을 활용한 HTTP/2 터널링으로 L7 트래픽 전달
• 네임스페이스 단위 웨이포인트 프록시 배포로 확장성과 운영 효율성 개선

결론

• Istio Ambient Mesh는 사이드카 모델의 한계를 극복할 수 있는 혁신적 아키텍처이나, 대규모 제조 빅데이터 서비스에는 병목과 효율성 문제로 적합하지 않습니다.
• 대체 네트워크 최적화 기술 검증 및 적용이 필요하며, 사이드카와 Ambient 모드의 혼합 운영도 가능함을 제시합니다.