[Istio 가이드 ep.18] 3부 보안 및 인증 #2 | Istio에서 인증서 관리 (자동 및 수동 설정)

🔹 개요

이번 글에서는 Istio에서 인증서를 관리하는 방법을 살펴보겠습니다.
Istio는 기본적으로 자동 인증서 관리 기능을 제공하며,
필요에 따라 사용자가 직접 인증서를 발급하고 관리할 수도 있습니다.

이 글에서는 Istio의 자동 인증서 관리 방식,
그리고 수동 인증서를 생성하고 적용하는 방법을 설명하겠습니다.

---

🔹 1. Istio에서 인증서가 필요한 이유

✅ 1.1 서비스 간 mTLS 통신을 위한 인증서

Istio는 서비스 간 통신을 암호화(mTLS)할 때 TLS 인증서를 사용합니다.
각 서비스는 TLS 인증서를 발급받아 서로의 신원을 검증하고 암호화된 데이터를 주고받을 수 있습니다.

mTLS 인증서의 역할

• 서비스 간 신뢰할 수 있는 통신 제공
• 네트워크 내에서 데이터가 암호화되어 전송됨
• Zero Trust 환경에서 서비스 인증 가능

---

✅ 1.2 Istio의 기본 인증서 관리 방식

Istio는 **Citadel(현재는 Istiod에서 제공됨)**을 사용하여 자동으로 인증서를 생성 및 갱신합니다.

Istio의 자동 인증서 관리 기능

• 서비스 간 TLS 인증서 자동 발급 및 갱신
• CSR(Certificate Signing Request) 자동 처리
• 인증서 만료 전에 자동 갱신

💡 Istio의 기본 설정에서는 자동 인증서 관리 기능이 활성화되어 있습니다.

---

🔹 2. Istio의 자동 인증서 관리

✅ 2.1 인증서 자동 발급 및 확인

Istio를 설치하면, 각 서비스는 자동으로 TLS 인증서를 발급받아 사용합니다.
서비스 간 mTLS를 활성화하면, Istio가 인증서를 관리하면서 자동으로 암호화된 통신을 수행합니다.

서비스의 자동 TLS 인증서 확인 방법

kubectl exec -it <pod-name> -n <namespace> -- openssl s_client -showcerts -connect <service-name>:443

이 명령어를 실행하면, 서비스가 사용 중인 TLS 인증서 정보를 확인할 수 있습니다.

💡 기본적으로 Istio는 내부적으로 자동 인증서를 생성하므로, 추가 설정 없이 mTLS를 사용할 수 있습니다.

---

🔹 3. 사용자 정의 인증서 적용 (수동 설정)

✅ 3.1 인증서를 수동으로 발급해야 하는 경우

Istio의 기본 인증서 관리 기능을 사용하지 않고,
기업 내부의 인증서(CA) 또는 Let's Encrypt와 같은 공인 인증 기관에서 발급한 인증서를 적용하려는 경우
사용자가 직접 TLS 인증서를 발급하고 Istio에 등록해야 합니다.

---

✅ 3.2 사용자 정의 인증서 생성 및 Secret 등록

Istio의 Ingress Gateway에서 HTTPS 트래픽을 처리하기 위해 사용자 정의 TLS 인증서를 적용하는 방법을 살펴보겠습니다.

① OpenSSL을 사용하여 인증서 생성

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout tls.key -out tls.crt -subj "/CN=example.com"

② 생성한 인증서를 Kubernetes Secret으로 저장

kubectl create -n istio-system secret tls my-custom-tls-secret --key=tls.key --cert=tls.crt

💡 my-custom-tls-secret이라는 이름으로 Secret을 생성하며, Istio Gateway에서 이를 사용할 수 있습니다.

---

✅ 3.3 Ingress Gateway에서 사용자 인증서 적용

위에서 생성한 TLS 인증서를 Istio Gateway에서 사용하려면 다음과 같이 설정합니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: my-secure-gateway
spec:
  selector:
    istio: ingressgateway
  servers:
    - port:
        number: 443
        name: https
        protocol: HTTPS
      tls:
        mode: SIMPLE
        credentialName: my-custom-tls-secret  # 사용자 정의 인증서 적용
      hosts:
        - "example.com"

설명:

• tls.mode: SIMPLE → HTTPS 활성화
• credentialName: my-custom-tls-secret → 위에서 생성한 Secret 사용
• hosts: "example.com" → 해당 도메인에서만 HTTPS 적용

💡 이 설정을 적용하면, example.com에서 HTTPS 요청을 받을 때 사용자가 생성한 인증서를 사용하게 됩니다.

---

🔹 4. 인증서 갱신 및 관리

✅ 4.1 Istio의 자동 인증서 갱신 기능

Istio의 Citadel(Istiod)은 기본적으로 TLS 인증서를 자동 갱신합니다.
그러나 수동으로 생성한 인증서는 자동 갱신되지 않으므로, 사용자가 직접 관리해야 합니다.

자동 인증서 갱신이 정상적으로 동작하는지 확인하는 방법

kubectl get secret -n istio-system istio-ca-secret -o yaml

이 명령어를 실행하면, 현재 사용 중인 인증서 정보를 확인할 수 있습니다.

---

✅ 4.2 사용자 인증서 갱신 방법

수동으로 등록한 인증서가 만료되면 새로운 인증서를 생성하여 기존 Secret을 업데이트해야 합니다.

① 새로운 인증서 생성

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout new-tls.key -out new-tls.crt -subj "/CN=example.com"

② 기존 Secret 업데이트

kubectl create -n istio-system secret tls my-custom-tls-secret --key=new-tls.key --cert=new-tls.crt --dry-run=client -o yaml | kubectl apply -f -

💡 Secret을 업데이트하면 Istio가 자동으로 새 인증서를 로드하여 사용합니다.

---

📌 결론

• Istio는 기본적으로 자동으로 TLS 인증서를 발급하고 갱신하는 기능을 제공합니다.
• 기본 설정을 유지하면, 모든 서비스 간 통신이 자동으로 mTLS로 암호화됩니다.
• 수동 인증서를 적용해야 하는 경우, OpenSSL을 사용하여 직접 생성 후 Kubernetes Secret으로 등록할 수 있습니다.
• Ingress Gateway에서 사용자 정의 인증서를 적용하여 HTTPS 트래픽을 처리할 수 있습니다.
• Istio의 자동 인증서 관리 기능을 활용하면 운영 부담을 줄일 수 있으며, 수동 인증서는 주기적으로 갱신해야 합니다.