[Istio 가이드 ep.16] 2부 트래픽 관리 #10 | Istio CORS 설정 및 HTTPS 트래픽 처리

Kubernetes Tools/Istio

[Istio 가이드 ep.16] 2부 트래픽 관리 #10 | Istio CORS 설정 및 HTTPS 트래픽 처리

ygtoken 2025. 3. 18. 11:41

728x90

🔹 개요

이번 글에서는 Istio에서 CORS(Cross-Origin Resource Sharing) 설정 및 HTTPS 트래픽 처리 방법을 살펴보겠습니다.
CORS는 브라우저에서 다른 도메인의 리소스에 접근할 수 있도록 허용하는 정책이며,
HTTPS는 보안 강화를 위해 TLS를 적용한 프로토콜입니다.

이 글에서는 CORS 개념과 설정 방법, Istio Gateway를 활용한 HTTPS 적용 방법,
그리고 VirtualService를 사용하여 HTTPS 트래픽을 관리하는 방법을 설명하겠습니다.

🔹 1. CORS(Cross-Origin Resource Sharing)란?

✅ 1.1 CORS 개념

CORS는 웹 브라우저에서 서로 다른 도메인 간의 요청을 허용하거나 차단하는 보안 정책입니다.
기본적으로 웹 브라우저는 보안상의 이유로 다른 도메인의 API 요청을 차단하지만,
CORS 설정을 통해 특정 도메인에서의 요청을 허용할 수 있습니다.

CORS 정책이 필요한 이유

웹 애플리케이션이 다른 도메인의 API를 호출할 때 발생하는 요청 차단 문제 해결
보안 강화를 위해 특정 도메인에서만 API 요청을 허용할 필요가 있음
프론트엔드와 백엔드가 다른 도메인에서 운영될 경우 CORS 정책을 적용해야 함

✅ 1.2 Istio에서 CORS 설정

Istio에서는 VirtualService를 활용하여 CORS 정책을 쉽게 설정할 수 있습니다.
아래는 특정 도메인에서만 요청을 허용하는 CORS 설정 예제입니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-service
spec:
  hosts:
    - my-service
  http:
    - corsPolicy:
        allowOrigin:
          - "https://allowed-domain.com"  # 특정 도메인에서만 요청 허용
        allowMethods:
          - GET
          - POST
          - OPTIONS
        allowHeaders:
          - Authorization
          - Content-Type
        maxAge: "24h"  # CORS 캐시 유지 시간
    - route:
        - destination:
            host: my-service
            port:
              number: 8080

설명:

corsPolicy.allowOrigin: "https://allowed-domain.com" → 특정 도메인에서의 요청만 허용
allowMethods: [GET, POST, OPTIONS] → 허용할 HTTP 메서드 지정
allowHeaders: [Authorization, Content-Type] → 허용할 HTTP 헤더 지정
maxAge: "24h" → CORS 캐시를 24시간 동안 유지하여 성능 최적화

💡 활용 사례:

프론트엔드와 백엔드가 다른 도메인에서 운영될 때 CORS 정책을 적용해야 함
API 요청이 브라우저에서 차단되지 않도록 허용할 도메인 설정 가능

🔹 2. HTTPS 트래픽 처리 방법

✅ 2.1 Istio Gateway를 활용한 HTTPS 설정

HTTPS를 적용하려면 TLS 인증서를 생성한 후 Istio Gateway에서 HTTPS 설정을 추가해야 합니다.

① TLS 인증서 Secret 생성

kubectl create -n istio-system secret tls my-tls-secret \
  --key tls.key \
  --cert tls.crt

② HTTPS 트래픽을 처리하는 Istio Gateway 설정

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: my-secure-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
    - port:
        number: 443  # HTTPS 포트
        name: https
        protocol: HTTPS
      tls:
        mode: SIMPLE  # HTTPS 사용
        credentialName: my-tls-secret  # Secret에서 TLS 인증서 로드
      hosts:
        - "example.com"  # 특정 도메인에 대해서만 HTTPS 적용

설명:

tls.mode: SIMPLE → TLS를 적용하여 HTTPS 활성화
credentialName: my-tls-secret → Kubernetes Secret에서 TLS 인증서를 로드
hosts: "example.com" → 특정 도메인(example.com)에만 HTTPS 적용

💡 활용 사례:

웹 애플리케이션이 HTTPS를 강제해야 하는 경우
보안 강화를 위해 외부 요청을 HTTPS만 허용하도록 설정

✅ 2.2 HTTPS VirtualService 설정

아래 VirtualService는 HTTPS 트래픽을 내부 서비스로 전달하는 설정입니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-secure-service
spec:
  hosts:
    - "example.com"
  gateways:
    - my-secure-gateway  # HTTPS 게이트웨이 적용
  http:
    - match:
        - uri:
            prefix: "/api"  # "/api" 경로 요청을 my-service로 라우팅
      route:
        - destination:
            host: my-service
            port:
              number: 8080

설명:

gateways: my-secure-gateway → HTTPS 트래픽을 처리할 Gateway 지정
match.uri.prefix: "/api" → "/api" 경로의 요청을 내부 서비스로 전달
destination.port.number: 8080 → 내부 서비스의 포트 설정

💡 활용 사례:

HTTPS를 적용한 후, 특정 경로(/api 등)에 대한 요청을 내부 서비스로 전달

🔹 3. CORS + HTTPS 통합 설정

아래 예제는 CORS와 HTTPS를 함께 적용하는 VirtualService 설정입니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: secure-api
spec:
  hosts:
    - "example.com"
  gateways:
    - my-secure-gateway
  http:
    - corsPolicy:
        allowOrigin:
          - "https://allowed-domain.com"
        allowMethods:
          - GET
          - POST
          - OPTIONS
        allowHeaders:
          - Authorization
          - Content-Type
        maxAge: "24h"
    - match:
        - uri:
            prefix: "/api"
      route:
        - destination:
            host: my-service
            port:
              number: 8080

설명:

HTTPS 트래픽을 처리하면서 CORS 정책을 함께 적용하여 특정 도메인의 요청만 허용

📌 결론

CORS(Cross-Origin Resource Sharing)는 특정 도메인에서 API 요청을 허용하는 정책이며,
Istio의 VirtualService를 활용하여 CORS 설정을 간단히 적용할 수 있음
HTTPS는 TLS를 적용하여 보안 강화를 위한 프로토콜이며,
Istio에서는 Gateway와 Secret을 활용하여 HTTPS를 쉽게 설정 가능
CORS와 HTTPS를 함께 설정하면 보안을 강화하면서도, 외부 도메인에서의 API 요청을 제어할 수 있음

728x90

저작자표시 비영리 변경금지 (새창열림)

'Kubernetes Tools > Istio' 카테고리의 다른 글

[Istio 가이드 ep.18] 3부 보안 및 인증 #2 \| Istio에서 인증서 관리 (자동 및 수동 설정) (0)	2025.03.18
[Istio 가이드 ep.17] 3부 보안 및 인증 #1 \| mTLS란? Istio에서 서비스 간 암호화 통신 설정하기 (0)	2025.03.18
[Istio 가이드 ep.15] 2부 트래픽 관리 #9 \| Istio에서 TCP, gRPC 트래픽을 관리하는 방법 (0)	2025.03.18
[Istio 가이드 ep.14] 2부 트래픽 관리 #8 \| Fault Injection을 활용한 장애 테스트 및 Chaos Engineering (0)	2025.03.18
[Istio 가이드 ep.13] 2부 트래픽 관리 #7 \| 서비스 복원력을 높이는 리트라이, 타임아웃, Circuit Breaker 설정 (0)	2025.03.18

현재글[Istio 가이드 ep.16] 2부 트래픽 관리 #10 | Istio CORS 설정 및 HTTPS 트래픽 처리

YG Tech Blog

A blog about IT, covering topics from cloud computing and DevOps to Kubernetes and system architecture. Sharing insights, solutions, and best practices for modern IT professionals

Security, langchain, RAG, Cilium, DevOps, Minio, statefulset, Istio, argocd, CI/CD, 파이썬, DaemonSet, kubernetes, k8s, 서비스_운영, 서비스메시, Python, gitops, YAML, 쿠버네티스,

Today :
Yesterday :

YG Tech Blog