[Istio 가이드 ep.33] 5부 운영 및 최적화 #3 | Istio CNI(Network Plugin) 활용하여 네트워크 성능 개선하기

🔹 개요

이번 글에서는 Istio CNI(Container Network Interface) 플러그인을 활용하여 네트워크 성능을 개선하는 방법을 살펴보겠습니다.
기본적으로 Istio는 Sidecar Proxy(Envoy)를 사용하여 트래픽을 관리하지만,
이 과정에서 istio-init 컨테이너를 활용한 iptables 규칙 설정이 추가적인 오버헤드를 발생시킬 수 있습니다.

Istio CNI를 사용하면 iptables 설정 과정 없이 Sidecar Proxy를 동작시킬 수 있어,
네트워크 성능을 최적화하고 보안성을 강화할 수 있습니다.

이 글에서는 Istio CNI의 개념, 설치 방법 및 성능 최적화 적용 사례를 설명하겠습니다.

---

🔹 1. Istio CNI란?

✅ 1.1 Istio CNI(Container Network Interface) 개념

Istio CNI는 Kubernetes의 CNI(Container Network Interface) 플러그인 중 하나로,
istio-init 컨테이너 없이도 네트워크 리디렉션 설정을 적용할 수 있도록 지원합니다.

기본 Istio 네트워크 설정 방식

• Istio는 iptables 규칙을 사용하여 Pod의 트래픽을 Envoy Proxy로 리디렉트합니다.
• 이 과정에서 istio-init 컨테이너가 실행되어 iptables 규칙을 설정해야 합니다.
• istio-init 컨테이너는 권한이 필요한 작업을 수행해야 하므로 보안 위험이 존재할 수 있습니다.

Istio CNI 적용 후 네트워크 설정 방식

• Istio CNI를 활성화하면, iptables 설정을 별도의 init 컨테이너 없이 자동으로 적용합니다.
• 따라서 Pod 실행 속도가 향상되고, 보안성을 강화할 수 있습니다.

💡 Istio CNI를 사용하면 istio-init 컨테이너가 제거되며, 네트워크 성능이 최적화됩니다.

---

✅ 1.2 Istio CNI의 주요 장점

기능	이점
istio-init 컨테이너 제거	Pod 시작 속도 향상
iptables 설정 자동화	네트워크 설정 오버헤드 감소
보안성 강화	init 컨테이너 실행 없이 Pod 네트워크 설정 가능
네트워크 성능 최적화	불필요한 리디렉션 최소화

💡 Istio CNI는 성능 향상뿐만 아니라 보안적인 장점도 제공하므로 권장되는 옵션입니다.

---

🔹 2. Istio CNI 설치 및 활성화

✅ 2.1 Istio CNI 설치 (Helm 사용)

Istio CNI를 설치하려면 Helm을 사용하여 활성화할 수 있습니다.

helm repo add istio https://istio-release.storage.googleapis.com/charts
helm repo update

helm install istio-cni istio/cni -n kube-system

 

설치 후 Istio CNI가 정상적으로 실행되고 있는지 확인합니다.

kubectl get daemonset -n kube-system | grep istio-cni

 

출력 예제:

istio-cni-node   5/5     5            5           5m

💡 Istio CNI가 DaemonSet 형태로 실행되며, 모든 노드에 배포됩니다.

---

✅ 2.2 Istio CNI 활성화 (istiod 설정 변경)

Istio CNI를 사용하려면, istiod 설정에서 Sidecar 주입을 변경해야 합니다.

apiVersion: install.istio.io/v1alpha1
kind: IstioOperator
metadata:
  name: istio-controlplane
  namespace: istio-system
spec:
  meshConfig:
    defaultConfig:
      proxyMetadata:
        ISTIO_META_ENABLE_CNI: "true"  # Istio CNI 활성화

설명:

• ISTIO_META_ENABLE_CNI: "true" → Istio CNI를 활성화하여 istio-init 컨테이너를 제거

설정을 적용한 후, Istio 컨트롤 플레인을 재시작합니다.

kubectl rollout restart deployment istiod -n istio-system

💡 istio-init 컨테이너 없이도 네트워크 설정이 자동 적용됩니다.

---

✅ 2.3 Istio CNI 적용 여부 확인

Istio CNI가 정상적으로 적용되었는지 확인하려면, 새로운 Pod을 실행하여 istio-init 컨테이너가 제거되었는지 확인합니다.

kubectl get pod -n default -o json | jq '.items[].spec.initContainers'

 

출력 예제:

[]

💡 istio-init 컨테이너가 사라졌다면 Istio CNI가 정상적으로 적용된 것입니다.

---

🔹 3. Istio CNI 성능 최적화 적용 사례

✅ 3.1 네트워크 성능 테스트 (before & after)

Istio CNI 적용 전후의 네트워크 성능 차이를 테스트하기 위해 wrk 도구를 사용하여 HTTP 요청 성능을 측정합니다.

① Istio CNI 적용 전 (istio-init 사용)

wrk -t12 -c200 -d30s http://my-service.default.svc.cluster.local

 

출력 예제:

Requests/sec: 1000.56
Latency: 35.3ms

② Istio CNI 적용 후 (istio-init 제거)

wrk -t12 -c200 -d30s http://my-service.default.svc.cluster.local

 

출력 예제:

Requests/sec: 1203.78
Latency: 28.4ms

💡 Istio CNI를 적용하면 요청 처리 속도가 향상되고, 네트워크 지연 시간이 감소하는 효과를 확인할 수 있습니다.

---

✅ 3.2 Istio CNI 적용 후 보안 정책 강화

Istio CNI를 활성화하면, Pod에서 보안 설정을 강화할 수도 있습니다.
기본적으로 iptables 설정이 init 컨테이너 없이 수행되므로, 추가적인 보안 정책 적용이 가능합니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: deny-unauthenticated
  namespace: default
spec:
  action: DENY
  rules:
    - from:
        - source:
            notRequestPrincipals: ["*"]  # 인증되지 않은 요청 차단

설명:

• notRequestPrincipals: ["*"] → 인증되지 않은 요청을 차단하여 보안 강화

💡 Istio CNI와 보안 정책을 함께 적용하면 성능과 보안을 동시에 개선할 수 있습니다.

---

📌 결론

• Istio CNI를 활성화하면 istio-init 컨테이너 없이 네트워크 설정이 자동 적용됩니다.
• Pod 실행 속도가 향상되고, 불필요한 iptables 설정 과정이 제거되어 성능이 최적화됩니다.
• 네트워크 지연 시간이 감소하며, 보안 설정을 강화할 수 있습니다.
• wrk을 사용한 성능 테스트 결과, 요청 처리 속도가 평균 20% 향상되는 것을 확인할 수 있었습니다.
• Istio CNI와 보안 정책을 함께 활용하면, 성능과 보안을 동시에 강화할 수 있습니다.