[Istio 가이드 ep.6] 1부 개념과 기본 설정 #6 | Istio의 기본적인 리소스 개념 (VirtualService, Gateway 등)

🔹 개요

이번 글에서는 Istio의 핵심 리소스 개념을 살펴보겠습니다.
Istio는 Kubernetes의 네트워크 트래픽을 관리하는 여러 리소스를 제공하며,
그중에서도 VirtualService, DestinationRule, Gateway가 가장 중요한 요소입니다.
이 글에서는 각각의 역할과 설정 방법을 설명하고, 실제 YAML 예제를 통해 활용 방법을 알아보겠습니다.

---

🔹 1. Istio의 주요 네트워크 리소스

✅ 1.1 VirtualService (트래픽 라우팅 제어)

VirtualService는 트래픽을 특정 서비스로 라우팅하는 역할을 합니다.
Kubernetes의 기본 Service 리소스만으로는 세밀한 트래픽 관리가 어렵기 때문에,
Istio의 VirtualService를 활용하면 트래픽을 보다 정교하게 제어할 수 있습니다.

VirtualService의 주요 기능

• 호스트 기반 라우팅: 여러 서비스 도메인(host)으로 트래픽을 전달
• 트래픽 분배: 특정 서비스 버전(v1/v2)에 트래픽을 가중치(weight) 기반으로 배분
• 리트라이 & 타임아웃: 트래픽을 보낼 때 요청 실패 시 재시도, 일정 시간이 지나면 자동 종료
• Fault Injection(장애 테스트): 의도적으로 네트워크 장애 상황을 만들어 테스트 가능

---

✅ 1.2 DestinationRule (서비스별 트래픽 정책 설정)

DestinationRule은 특정 서비스의 트래픽 정책을 정의하는 역할을 합니다.
VirtualService와 함께 사용하여, 서비스 간 트래픽 흐름을 세밀하게 조정할 수 있습니다.

DestinationRule의 주요 기능

• 로드 밸런싱 설정: 트래픽을 특정 방식(Round Robin, Least Connection 등)으로 분배
• 연결 풀 관리: 최대 연결 수, 연결 유지 시간 등 설정 가능
• 서킷 브레이커 적용: 연속된 요청 실패 시 서비스 차단

---

✅ 1.3 Gateway (외부 트래픽 관리)

Gateway는 외부에서 Kubernetes 클러스터로 들어오는 트래픽을 관리하는 역할을 합니다.
기본적으로 Kubernetes의 Ingress Controller와 비슷한 역할을 수행하지만,
Istio Gateway는 L4(Layer 4)에서의 제어뿐만 아니라, L7(Layer 7) 기반의 트래픽 관리도 가능합니다.

Gateway의 주요 기능

• Ingress Gateway: 외부 트래픽을 내부 서비스로 라우팅
• Egress Gateway: 내부에서 외부 서비스로 나가는 트래픽을 제어
• TLS 및 HTTPS 지원: SSL/TLS를 활용하여 보안 설정 가능

---

🔹 2. Istio 리소스 예제 및 설정 방법

✅ 2.1 VirtualService 예제 (트래픽 라우팅 설정)

아래 예제에서는 VirtualService를 활용하여 특정 서비스(v1, v2)로 트래픽을 분배합니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService  # VirtualService 리소스 정의
metadata:
  name: my-service  # VirtualService의 이름
spec:
  hosts:
    - my-service  # 트래픽을 라우팅할 서비스 이름
  http:
    - route:
        - destination:
            host: my-service  # 대상 서비스 이름
            subset: v1  # v1 버전의 서비스로 트래픽 전달
          weight: 70  # 70%의 트래픽을 v1으로 분배
        - destination:
            host: my-service
            subset: v2  # v2 버전의 서비스로 트래픽 전달
          weight: 30  # 30%의 트래픽을 v2로 분배

설명:

• VirtualService → 특정 호스트(서비스 이름)에 대한 트래픽 라우팅 규칙을 설정
• destination.host → 트래픽이 향할 서비스의 이름
• subset → 서비스의 특정 버전으로 트래픽을 라우팅
• weight → 트래픽 분배 비율(예: v1 70%, v2 30%)

---

✅ 2.2 DestinationRule 예제 (서비스별 트래픽 정책 설정)

아래 예제에서는 DestinationRule을 활용하여 서비스의 서브셋(subset)과 로드 밸런싱 정책을 설정합니다.

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule  # DestinationRule 리소스 정의
metadata:
  name: my-service  # DestinationRule의 이름
spec:
  host: my-service  # 대상 서비스 이름
  subsets:
    - name: v1  # v1 버전 서비스 정의
      labels:
        version: v1
    - name: v2  # v2 버전 서비스 정의
      labels:
        version: v2
  trafficPolicy:
    loadBalancer:
      simple: ROUND_ROBIN  # 라운드 로빈 방식으로 로드 밸런싱 설정

설명:

• DestinationRule → 서비스의 트래픽 정책을 정의
• subsets → 특정 서비스 버전(v1, v2)을 구분
• trafficPolicy.loadBalancer → 트래픽 로드 밸런싱 방식을 설정 (ROUND_ROBIN: 순차적 배분)

---

✅ 2.3 Gateway 예제 (외부 트래픽 관리)

아래 예제에서는 Gateway를 활용하여 외부에서 내부 서비스로의 트래픽을 관리합니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway  # Gateway 리소스 정의
metadata:
  name: my-gateway  # Gateway의 이름
spec:
  selector:
    istio: ingressgateway  # Istio Ingress Gateway 사용
  servers:
    - port:
        number: 80  # HTTP 80 포트에서 수신
        name: http
        protocol: HTTP
      hosts:
        - "*"  # 모든 도메인 허용

설명:

• Gateway → 외부 트래픽을 내부로 전달하는 역할
• selector.istio: ingressgateway → Istio의 기본 Ingress Gateway를 사용
• servers.port.number: 80 → HTTP 80 포트에서 트래픽을 수신
• hosts: "*" → 모든 도메인의 트래픽을 허용

---

📌 결론

• VirtualService: 서비스 간 트래픽을 세밀하게 제어하고, 가중치 기반 라우팅, A/B 테스트, Canary 배포 등을 수행할 수 있습니다.
• DestinationRule: 특정 서비스의 트래픽 정책을 설정하여 로드 밸런싱 방식 및 서브셋(서비스 버전별 라우팅) 적용이 가능합니다.
• Gateway: 외부 트래픽을 내부 서비스로 전달하며, TLS/HTTPS 설정 및 네트워크 엑세스 제어를 수행할 수 있습니다.
• VirtualService + DestinationRule + Gateway를 조합하면 Istio의 트래픽 관리 기능을 극대화할 수 있습니다. 🚀