[Istio 가이드 ep.5] 1부 개념과 기본 설정 #5 | Sidecar 자동 주입 & Istio 네임스페이스 설정하기

🔹 개요

이번 글에서는 **Istio의 Sidecar 자동 주입(Auto Injection)**과 Istio 네임스페이스 설정 방법을 살펴보겠습니다.
Sidecar 주입은 Istio의 프록시(Proxy) 역할을 하는 Envoy를 각 서비스에 추가하는 과정이며,
Istio의 네임스페이스 설정을 통해 서비스 메시를 활성화할 수 있습니다.
이 글에서는 Sidecar 자동 주입이란 무엇인지, 어떻게 설정하는지를 실습과 함께 다루겠습니다.

---

🔹 1. Istio의 Sidecar란?

✅ 1.1 Sidecar 개념

**Sidecar(사이드카)**는 서비스 메시 내에서 각 Pod에 자동으로 추가되는 Envoy Proxy 컨테이너입니다.
이 컨테이너는 트래픽을 감시하고 제어하는 역할을 하며, 서비스 간의 보안, 라우팅, 모니터링을 담당합니다.

Sidecar Proxy의 주요 기능

• 트래픽 관리: Istio의 정책에 따라 트래픽을 라우팅 및 제어
• 보안(mTLS): 서비스 간의 암호화된 통신 지원
• 모니터링: Prometheus, Grafana와 연동하여 서비스 상태 추적
• 로깅 & 분산 추적: Jaeger, Zipkin과 연동하여 요청 흐름 분석

---

✅ 1.2 Sidecar 주입 방식

Istio에서 Sidecar Proxy를 주입하는 방법은 두 가지가 있습니다.

 

주입 방식	설명	특징
자동 주입(Auto Injection)	네임스페이스에 레이블을 추가하면 Pod 생성 시 자동으로 Envoy Proxy가 주입됨	- 편리함, 설정 간소화- 모든 Pod에 일괄 적용 가능
수동 주입(Manual Injection)	istioctl kube-inject 명령어를 사용하여 특정 Pod에 Sidecar Proxy를 추가	- 개별 Pod마다 수동으로 적용 가능- 필요할 때만 주입 가능

💡 일반적으로 "자동 주입(Auto Injection)"이 권장됩니다.

---

🔹 2. Istio 네임스페이스 설정 및 Sidecar 자동 주입

✅ 2.1 Sidecar 자동 주입 활성화

먼저 **Sidecar 자동 주입(Auto Injection)**을 활성화하려면,
Istio가 설치된 네임스페이스에 레이블을 추가해야 합니다.

kubectl label namespace default istio-injection=enabled

설명:

• kubectl label namespace default istio-injection=enabled
  → default 네임스페이스에 istio-injection=enabled 레이블을 추가하여 Sidecar 자동 주입을 활성화

---

✅ 2.2 Sidecar 자동 주입 확인

이제 default 네임스페이스에 배포된 Pod에 자동으로 Envoy Sidecar가 추가되는지 확인할 수 있습니다.
다음과 같은 샘플 애플리케이션을 배포해보겠습니다.

apiVersion: apps/v1
kind: Deployment  # Kubernetes에서 Pod을 생성하고 관리하는 Deployment 리소스
metadata:
  name: httpbin  # Deployment의 이름
  labels:
    app: httpbin  # app=httpbin 레이블을 추가하여 서비스와 연계 가능하도록 설정
spec:
  replicas: 1  # Pod을 1개 생성
  selector:
    matchLabels:
      app: httpbin  # app=httpbin 레이블을 가진 Pod을 선택
  template:
    metadata:
      labels:
        app: httpbin  # Pod 템플릿에도 동일한 레이블 추가 (필수)
    spec:
      containers:
        - name: httpbin  # 컨테이너 이름
          image: kennethreitz/httpbin  # HTTP 요청 테스트용 컨테이너 이미지
          ports:
            - containerPort: 80  # 컨테이너 내부에서 사용하는 포트 (서비스 연결에 사용)

 

배포 후 Pod 목록을 확인하면, Istio Sidecar가 자동으로 추가되었는지 확인할 수 있습니다.

kubectl get pods

 

출력 예시

NAME                       READY   STATUS    RESTARTS   AGE
httpbin-5c78cd57db-2lz7x   2/2     Running   0          30s

💡 READY 열에 2/2라고 표시되는 것은 Envoy Sidecar가 자동으로 주입되었음을 의미합니다.

---

✅ 2.3 수동으로 Sidecar가 포함되었는지 확인하는 방법

다음 명령어를 사용하여 Pod의 컨테이너 목록을 확인할 수 있습니다.

kubectl get pod httpbin-5c78cd57db-2lz7x -o jsonpath='{.spec.containers[*].name}'

 

출력 예시

httpbin istio-proxy

💡 istio-proxy 컨테이너가 추가되었으면, Istio의 Envoy Sidecar가 자동으로 주입된 것입니다.

---

🔹 3. Sidecar 수동 주입 방법 (옵션)

✅ 3.1 수동으로 Sidecar 주입하기

Sidecar 자동 주입을 사용하지 않고,
수동으로 Istio Sidecar를 추가하고 싶다면 istioctl kube-inject 명령어를 사용할 수 있습니다.

kubectl apply -f <(istioctl kube-inject -f httpbin-deployment.yaml)

설명:

• istioctl kube-inject -f httpbin-deployment.yaml
  → 기존 Deployment YAML에 Sidecar 컨테이너를 주입한 후 배포

---

✅ 3.2 Sidecar 수동 주입 확인

수동으로 Sidecar를 주입한 경우에도 kubectl get pods 명령어를 사용하여 확인할 수 있습니다.

kubectl get pods

 

출력 예시

NAME                       READY   STATUS    RESTARTS   AGE
httpbin-5c78cd57db-2lz7x   2/2     Running   0          30s

💡 자동 주입과 동일하게 2/2 상태로 표시됩니다.

---

🔹 4. Sidecar 제거 및 네임스페이스 설정 변경

✅ 4.1 특정 네임스페이스에서 Sidecar 자동 주입 비활성화

특정 네임스페이스에서 Sidecar 자동 주입을 비활성화하려면,
다음 명령어를 사용하여 레이블을 제거하면 됩니다.

kubectl label namespace default istio-injection-

설명:

• istio-injection- → 기존 네임스페이스에서 Sidecar 자동 주입 설정 제거

이제 default 네임스페이스에서 생성되는 Pod는 자동으로 Sidecar를 포함하지 않습니다.

---

✅ 4.2 기존 Pod에서 Sidecar 제거

이미 Sidecar가 포함된 Pod에서 Envoy Proxy를 제거하려면,
기존 Pod를 삭제하고 새로 생성해야 합니다.

kubectl delete pod -n default --all

그런 다음 기존 애플리케이션을 다시 배포하면,
새롭게 생성된 Pod에는 Sidecar가 포함되지 않습니다.

---

📌 결론

• **Sidecar(사이드카)**는 Istio의 프록시 컨테이너로, 트래픽 제어, 보안, 모니터링 기능을 수행합니다.
• **Sidecar 자동 주입(Auto Injection)**을 활성화하면, Pod가 생성될 때 자동으로 Envoy Proxy가 추가됩니다.
• kubectl label namespace <네임스페이스> istio-injection=enabled 명령어를 사용하여 특정 네임스페이스에 대해 자동 주입을 설정할 수 있습니다.
• 수동 주입(Manual Injection) 방법도 있으며, istioctl kube-inject를 사용하여 개별 Pod에 Sidecar를 추가할 수 있습니다.
• Sidecar 자동 주입을 비활성화하거나 제거하려면 네임스페이스의 레이블을 제거하고 Pod를 재배포해야 합니다.