[Istio 가이드 ep.4] 1부 개념과 기본 설정 #4 | Istio 기본 구성 요소: Pilot, Envoy, Citadel, Galley

🔹 개요

이번 글에서는 Istio의 주요 구성 요소를 다룹니다.
Istio는 서비스 메시를 관리하는 다양한 컴포넌트들로 구성되어 있으며,
각 컴포넌트는 트래픽 관리, 보안, 모니터링 등 특정 역할을 수행합니다.
이 글에서는 Pilot, Envoy, Citadel, Galley의 역할을 설명하고,
각 구성 요소가 서비스 메시 내부에서 어떻게 동작하는지를 살펴보겠습니다.

---

🔹 1. Istio 주요 구성 요소

✅ 1.1 Istio의 기본 아키텍처

Istio는 크게 두 가지 플레인(Plane)으로 나뉩니다.

• 컨트롤 플레인 (Control Plane): Istio의 전체 네트워크 정책을 관리
• 데이터 플레인 (Data Plane): 서비스 간 트래픽을 처리

컨트롤 플레인과 데이터 플레인은 각각 아래의 주요 구성 요소들로 이루어져 있습니다.

플레인	구성 요소	역할
컨트롤 플레인	Pilot	트래픽 라우팅 관리 및 서비스 디스커버리
	Citadel	서비스 간 보안 및 인증 (mTLS) 관리
	Galley	Istio의 정책 및 설정 관리
데이터 플레인	Envoy	프록시 역할, 트래픽 제어 및 로드 밸런싱

---

🔹 2. 데이터 플레인 구성 요소

✅ 2.1 Envoy: Istio의 프록시 (Proxy) 역할

Envoy는 Istio의 데이터 플레인을 담당하는 프록시입니다.
각 서비스에 사이드카(Sidecar) 형태로 배포되어, 서비스 간 통신을 관리하고 보호하는 역할을 합니다.

Envoy의 주요 기능

• 트래픽 라우팅: 서비스 간 요청을 라우팅 및 로드 밸런싱
• 보안 (mTLS): 서비스 간 암호화된 통신을 수행
• 트래픽 제어: 서킷 브레이커, 리트라이, 타임아웃 설정 가능
• 분산 추적: Jaeger, Zipkin과 같은 툴과 연동하여 트래픽 흐름 추적

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: my-service
spec:
  host: my-service
  trafficPolicy:
    loadBalancer:
      simple: LEAST_CONN  # 최소 연결된 서버로 트래픽 분배

설명:

• DestinationRule: 트래픽을 제어하는 규칙을 설정
• loadBalancer.simple: 트래픽을 최소 연결된 서버로 보내는 설정

---

🔹 3. 컨트롤 플레인 구성 요소

✅ 3.1 Pilot: Istio의 트래픽 컨트롤러

Pilot은 Istio의 컨트롤 플레인에서 트래픽 흐름을 제어하는 역할을 합니다.
서비스 간 트래픽 라우팅을 설정하고, Envoy 프록시에 트래픽 규칙을 전달합니다.

Pilot의 주요 기능

• 서비스 디스커버리: Kubernetes 서비스 목록을 감지
• 트래픽 라우팅: VirtualService를 통해 트래픽 흐름을 설정
• 로드 밸런싱: Envoy에게 트래픽 분배 정책 전달

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-service
spec:
  hosts:
    - my-service
  http:
    - route:
        - destination:
            host: my-service
            subset: v1
          weight: 80  # 80%의 트래픽을 v1으로 전달
        - destination:
            host: my-service
            subset: v2
          weight: 20  # 20%의 트래픽을 v2로 전달

설명:

• VirtualService: 트래픽을 특정 서비스로 라우팅하는 역할
• weight: 트래픽을 여러 버전의 서비스에 분배하는 설정

---

✅ 3.2 Citadel: 서비스 보안 및 인증

Citadel은 Istio의 보안 담당 컴포넌트로,
서비스 간 mTLS 인증을 관리하고 보안 정책을 적용합니다.

Citadel의 주요 기능

• mTLS 인증: 서비스 간 암호화된 통신을 위한 인증서 발급
• 서비스 ID 관리: 서비스 간의 신뢰할 수 있는 인증 관리
• RBAC(Role-Based Access Control): 권한 관리

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
spec:
  mtls:
    mode: STRICT  # 모든 서비스 간 트래픽을 암호화 (mTLS 적용)

설명:

• PeerAuthentication: Istio의 보안 정책을 설정
• mode: STRICT: mTLS를 강제 적용하여 모든 서비스 간 통신을 암호화

---

✅ 3.3 Galley: Istio의 정책 및 설정 관리

Galley는 Istio의 구성 파일을 관리하고, 컨트롤 플레인에 전달하는 역할을 합니다.

Galley의 주요 기능

• Kubernetes 설정 파일을 수집하여 Istio에 적용
• 정책을 검증하고 유효성을 확인
• 컨트롤 플레인과 동기화하여 지속적인 정책 적용

Galley는 Istio 1.5 이후부터 기능이 istiod에 통합되었지만,
기본적으로 정책 관리 기능을 수행합니다.

---

🔹 4. Istio 구성 요소 간의 상호작용

✅ 4.1 Istio의 주요 구성 요소 간 관계

Istio는 컨트롤 플레인과 데이터 플레인이 협력하여 서비스 메시를 구성합니다.

1. Pilot → Envoy: Pilot이 Envoy에 트래픽 라우팅 규칙을 전달
2. Citadel → Envoy: Citadel이 Envoy에 mTLS 인증서를 제공
3. Galley → Pilot & Citadel: Galley가 Istio의 정책 및 설정을 관리

이렇게 각 요소가 서로 협력하여, 서비스 메시 내에서 트래픽을 효율적으로 관리하고,
보안을 강화하며, 운영을 최적화합니다.

---

📌 결론

• Envoy는 데이터 플레인에서 서비스 간의 트래픽을 처리하는 프록시 역할을 합니다.
• Pilot은 컨트롤 플레인에서 트래픽 라우팅을 관리하고 Envoy에 트래픽 규칙을 전달합니다.
• Citadel은 서비스 간 보안을 강화하고 mTLS 인증을 제공합니다.
• Galley는 Istio의 설정과 정책을 관리하며, 컨트롤 플레인과 동기화합니다.
• 이 모든 구성 요소들이 협력하여 Istio의 서비스 메시를 완성합니다.