[Istio 가이드 ep.7] 2부 트래픽 관리 #1 | Ingress Gateway란? 외부 트래픽을 안전하게 관리하는 방법

🔹 개요

이번 글에서는 Istio의 Ingress Gateway를 활용하여 외부 트래픽을 안전하게 관리하는 방법을 살펴보겠습니다.
Ingress Gateway는 외부에서 클러스터 내부로 들어오는 트래픽을 제어하며,
기본적인 Kubernetes Ingress보다 더 세밀한 트래픽 제어와 보안 기능을 제공합니다.

이 글에서는 Ingress Gateway의 개념, 기본 설정 방법, 그리고 VirtualService와 연계하여 트래픽을 제어하는 방법을 다룹니다.

---

🔹 1. Ingress Gateway란?

✅ 1.1 Ingress Gateway 개념

Ingress Gateway는 외부에서 Kubernetes 클러스터로 들어오는 트래픽을 관리하는 Istio의 네트워크 리소스입니다.
기본적으로 Kubernetes의 Ingress Controller와 유사한 역할을 하지만,
Istio의 Ingress Gateway는 보다 강력한 트래픽 관리 기능을 제공합니다.

Ingress Gateway의 주요 기능

• 외부 트래픽을 내부 서비스로 안전하게 라우팅
• VirtualService와 함께 사용하여 트래픽 제어
• TLS/HTTPS 인증을 통해 보안 강화
• L7 기반 트래픽 정책 적용 가능 (예: 특정 경로별 라우팅, CORS 설정 등)

---

✅ 1.2 Ingress Gateway vs Kubernetes Ingress

Kubernetes의 기본 Ingress와 Istio의 Ingress Gateway는 역할이 비슷하지만,
Istio는 더 강력한 트래픽 제어 기능과 보안 기능을 제공합니다.

  

기능 비교	Kubernetes Ingress	Istio Ingress Gateway
트래픽 관리	기본적인 호스트 기반 라우팅 제공	L7 기반 트래픽 제어 가능
로드 밸런싱	기본 Kubernetes 서비스의 로드 밸런싱 사용	Istio의 세부 로드 밸런싱 설정 가능
보안 (TLS)	기본적인 TLS 설정 가능	mTLS, JWT 인증 등 고급 보안 기능 제공
CORS 설정	직접 설정 어려움	VirtualService를 통해 손쉽게 적용 가능

---

🔹 2. Ingress Gateway 설정 방법

✅ 2.1 Ingress Gateway 기본 설정

먼저 Ingress Gateway 리소스를 생성하여, 외부 트래픽을 허용할 포트를 설정합니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway  # Istio Gateway 리소스 정의
metadata:
  name: my-ingress-gateway  # Gateway 이름
spec:
  selector:
    istio: ingressgateway  # Istio Ingress Gateway 사용
  servers:
    - port:
        number: 80  # HTTP 80번 포트에서 수신
        name: http
        protocol: HTTP
      hosts:
        - "*"  # 모든 도메인 허용 (예: 특정 도메인만 허용 가능)

설명:

• Gateway → Istio의 Ingress Gateway 리소스를 정의
• selector.istio: ingressgateway → Istio의 기본 Ingress Gateway를 사용하도록 지정
• port.number: 80 → HTTP 80 포트에서 외부 트래픽을 수신
• hosts: "*" → 모든 도메인의 요청을 허용 (특정 도메인만 허용하려면 example.com처럼 설정 가능)

---

✅ 2.2 Ingress Gateway + VirtualService 설정

Ingress Gateway를 설정한 후, VirtualService를 사용하여 트래픽을 내부 서비스로 라우팅합니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService  # 트래픽 라우팅 설정
metadata:
  name: my-service
spec:
  hosts:
    - "*"  # 모든 도메인의 요청을 수락
  gateways:
    - my-ingress-gateway  # 위에서 생성한 Gateway를 사용
  http:
    - match:
        - uri:
            prefix: "/api"  # "/api" 경로로 들어오는 요청을 my-service로 라우팅
      route:
        - destination:
            host: my-service  # 내부 서비스 이름
            port:
              number: 8080  # 내부 서비스가 수신하는 포트

설명:

• VirtualService → Gateway와 연계하여 트래픽을 내부 서비스로 라우팅
• hosts: "*" → 모든 도메인에서 요청 허용
• gateways: my-ingress-gateway → 이 VirtualService가 특정 Gateway를 사용하도록 설정
• match.uri.prefix: "/api" → "/api" 경로로 들어오는 트래픽만 이 규칙을 적용
• destination.host: my-service → Istio가 내부의 my-service 서비스로 트래픽을 전달

---

🔹 3. Ingress Gateway와 TLS 설정

✅ 3.1 HTTPS를 통한 보안 강화 (TLS 적용)

TLS를 사용하여 HTTPS를 적용하려면, 인증서와 키를 Secret으로 저장한 후 Gateway에서 TLS를 설정해야 합니다.

① TLS 인증서 Secret 생성

kubectl create -n istio-system secret tls my-tls-secret \
  --key tls.key \
  --cert tls.crt

② TLS 지원 Ingress Gateway 설정

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: my-secure-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
    - port:
        number: 443  # HTTPS 포트
        name: https
        protocol: HTTPS
      tls:
        mode: SIMPLE  # HTTPS 사용 (mTLS는 MUTUAL)
        credentialName: my-tls-secret  # 위에서 생성한 TLS Secret 사용
      hosts:
        - "example.com"  # 특정 도메인에만 HTTPS 적용

설명:

• tls.mode: SIMPLE → TLS를 적용하여 HTTPS 활성화
• credentialName: my-tls-secret → 위에서 생성한 TLS Secret을 사용
• hosts: "example.com" → 특정 도메인에 대해서만 HTTPS 적용

---

📌 결론

• Istio의 Ingress Gateway는 외부에서 내부로 들어오는 트래픽을 제어하는 중요한 역할을 합니다.
• Kubernetes Ingress보다 강력한 트래픽 관리 기능을 제공하며, L7 기반 라우팅, TLS, mTLS, CORS 설정 등을 지원합니다.
• Ingress Gateway + VirtualService 조합을 사용하면, 트래픽을 특정 경로별로 라우팅 가능합니다.
• TLS 인증서를 적용하여 HTTPS를 설정하면 보안을 강화할 수 있습니다.