[Istio 가이드 ep.32] 5부 운영 및 최적화 #2 | Sidecar Proxy 최적화: 리소스 사용량 줄이기 전략

🔹 개요

이번 글에서는 Istio의 Sidecar Proxy(Envoy)의 리소스 사용량을 줄이는 최적화 전략을 살펴보겠습니다.
Istio는 각 Pod에 Envoy 프록시를 Sidecar로 주입하여 트래픽을 관리하는데,
서비스가 많아질수록 Sidecar가 사용하는 CPU 및 메모리가 증가하여 성능 저하 및 리소스 낭비가 발생할 수 있습니다.

이 글에서는 Envoy Sidecar의 리소스 사용량을 줄이는 방법, 설정 최적화 및 실전 적용 사례를 설명하겠습니다.

---

🔹 1. Sidecar Proxy(Envoy)의 리소스 사용량 분석

✅ 1.1 Sidecar Proxy의 역할

Sidecar Proxy(Envoy)는 Istio의 데이터 플레인에서 트래픽을 관리하고 보안 정책을 적용하는 핵심 구성 요소입니다.
각 Pod에 자동으로 주입되며, 서비스 간 통신을 프록시하여 트래픽을 제어하고 모니터링하는 역할을 합니다.

Envoy Sidecar가 수행하는 작업

1️⃣ 서비스 간 트래픽 프록시 역할 수행 (L4/L7 라우팅)
2️⃣ mTLS 암호화 및 인증 (보안 강화)
3️⃣ 트래픽 로깅 및 모니터링 데이터 수집
4️⃣ 서비스 간 부하 분산 (Load Balancing)

💡 Sidecar Proxy는 강력한 기능을 제공하지만, 모든 Pod에 주입되므로 리소스 사용량이 높을 수 있습니다.

---

✅ 1.2 Sidecar Proxy의 리소스 사용량 확인

현재 실행 중인 Sidecar Proxy(Envoy)의 CPU 및 메모리 사용량을 확인하려면 다음 명령어를 실행합니다.

kubectl top pod -n default

 

출력 예제:

NAME                        CPU(cores)   MEMORY(bytes)
my-app-56d7fbb85d-xyz12      50m          200Mi
my-app-56d7fbb85d-xyz12      100m         350Mi  # istio-proxy (Sidecar)

💡 Sidecar(istio-proxy)의 CPU 및 메모리 사용량이 과도하면 최적화가 필요합니다.

---

🔹 2. Sidecar Proxy 최적화 방법

✅ 2.1 불필요한 Sidecar 자동 주입 방지

모든 네임스페이스에 Sidecar를 자동으로 주입하는 것은 불필요한 리소스 사용을 초래할 수 있습니다.
특정 네임스페이스에서만 Sidecar가 주입되도록 설정하는 것이 좋습니다.

① 특정 네임스페이스에서만 Sidecar 자동 주입 활성화

kubectl label namespace default istio-injection=enabled
kubectl label namespace kube-system istio-injection=disabled

② 특정 애플리케이션에만 Sidecar 주입 적용

아래 예제처럼 Pod에 특정 어노테이션을 추가하면 Sidecar 주입을 방지할 수 있습니다.

apiVersion: v1
kind: Pod
metadata:
  name: my-app
  namespace: default
  annotations:
    sidecar.istio.io/inject: "false"  # Sidecar 자동 주입 비활성화
spec:
  containers:
    - name: app
      image: my-app:v1

💡 불필요한 서비스에 Sidecar를 주입하지 않으면 클러스터 리소스를 절약할 수 있습니다.

---

✅ 2.2 Envoy Proxy의 CPU 및 메모리 제한 설정

Sidecar Proxy(Envoy)의 CPU 및 메모리 사용량을 제한하여 리소스 낭비를 방지할 수 있습니다.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
  namespace: default
spec:
  template:
    spec:
      containers:
        - name: my-app
          image: my-app:v1
        - name: istio-proxy
          resources:
            requests:
              cpu: "100m"   # 최소 100m CPU 요청
              memory: "256Mi" # 최소 256Mi 메모리 요청
            limits:
              cpu: "500m"  # 최대 500m CPU 제한
              memory: "512Mi" # 최대 512Mi 메모리 제한

설명:

• requests.cpu: "100m" → 최소 100m(0.1 CPU)를 사용하도록 설정
• limits.cpu: "500m" → 최대 500m(0.5 CPU)까지만 사용 가능
• requests.memory: "256Mi" → 최소 256Mi 메모리 요청
• limits.memory: "512Mi" → 최대 512Mi 메모리 제한

💡 Sidecar의 리소스를 제한하면 컨테이너가 과도한 CPU 및 메모리를 사용하지 않도록 조정할 수 있습니다.

---

✅ 2.3 필터링을 통해 트래픽 로깅 데이터 줄이기

기본적으로 Envoy Proxy는 모든 트래픽 로그를 저장하지만,
불필요한 로그를 필터링하면 리소스를 절약할 수 있습니다.

apiVersion: telemetry.istio.io/v1alpha1
kind: Telemetry
metadata:
  name: access-logs
  namespace: istio-system
spec:
  accessLogging:
    providers:
      - name: envoy
    filter:
      expression: 'response.code >= 400'  # HTTP 400 이상 에러 로그만 저장

설명:

• filter.expression: 'response.code >= 400' → HTTP 응답 코드 400 이상만 로그 저장

💡 모든 트래픽을 로깅하는 대신, 에러 로그만 저장하면 성능을 최적화할 수 있습니다.

---

✅ 2.4 Keepalive 설정을 통해 불필요한 연결 유지 방지

Envoy Proxy는 기본적으로 클라이언트와 서버 간의 연결을 유지하지만,
불필요한 연결을 줄이면 리소스를 절약할 수 있습니다.

apiVersion: networking.istio.io/v1alpha3
kind: DestinationRule
metadata:
  name: my-service-dr
  namespace: default
spec:
  host: my-service.default.svc.cluster.local
  trafficPolicy:
    connectionPool:
      http:
        http1MaxPendingRequests: 5  # 대기 중인 요청 수 제한
        maxRequestsPerConnection: 3  # 하나의 연결당 최대 요청 개수 제한
      tcp:
        maxConnections: 50  # 최대 TCP 연결 수 제한
    outlierDetection:
      consecutiveErrors: 3  # 오류가 3회 발생하면 연결 해제
      interval: 5s  # 오류 감지 주기
      baseEjectionTime: 10s  # 연결 해제 후 재시도 시간

설명:

• http1MaxPendingRequests: 5 → HTTP 요청 대기열을 5개로 제한
• maxRequestsPerConnection: 3 → 하나의 연결에서 최대 3개의 요청만 허용
• tcp.maxConnections: 50 → 최대 50개의 TCP 연결 유지
• consecutiveErrors: 3 → 3번 연속 오류가 발생하면 해당 연결 차단

💡 Envoy의 연결 수를 최적화하면 메모리 사용량을 줄이고 성능을 향상할 수 있습니다.

---

📌 결론

• 모든 서비스에 Sidecar를 자동 주입하지 않고, 필요한 서비스에만 주입하도록 설정해야 합니다.
• Envoy Proxy의 CPU 및 메모리 리소스를 제한하여 클러스터 성능을 최적화할 수 있습니다.
• 불필요한 트래픽 로깅을 줄이면 리소스 사용량을 효과적으로 줄일 수 있습니다.
• Keepalive 설정을 조정하여 불필요한 네트워크 연결을 방지하고 성능을 향상할 수 있습니다.