[Istio 가이드 ep.40] 6부 트러블슈팅 #5 | Istio와 Kubernetes 네트워크 정책 충돌 문제 해결

🔹 개요

이번 글에서는 Istio와 Kubernetes 네트워크 정책(NetworkPolicy) 간의 충돌 문제를 해결하는 방법을 살펴보겠습니다.
Istio는 서비스 메시 레이어에서 트래픽을 제어하지만, Kubernetes 자체 네트워크 정책과 충돌할 경우 예기치 않은 네트워크 차단, 접속 불가, 라우팅 오류 등의 문제가 발생할 수 있습니다.

이 글에서는 Istio와 Kubernetes 네트워크 정책이 충돌하는 주요 원인, 디버깅 방법 및 해결책을 설명하겠습니다.

---

🔹 1. Istio와 Kubernetes 네트워크 정책 충돌의 주요 원인

 

문제 유형	설명
Pod 간 통신 차단	Kubernetes 네트워크 정책이 Istio의 트래픽 흐름을 차단
Ingress 및 Egress 트래픽 제한 문제	Istio Ingress/Egress Gateway가 Kubernetes 네트워크 정책으로 인해 차단
Envoy Proxy가 네트워크 정책 적용을 우회	Istio의 Sidecar Proxy(Envoy)가 네트워크 정책을 우회하여 적용되지 않는 문제
TLS 인증 문제	Istio의 mTLS와 Kubernetes 네트워크 정책이 충돌하여 인증 실패

💡 Istio와 Kubernetes 네트워크 정책을 함께 사용할 경우, 각 정책의 동작을 명확하게 이해하는 것이 중요합니다.

---

🔹 2. 네트워크 정책 충돌 문제 디버깅 방법

✅ 2.1 현재 적용된 Kubernetes 네트워크 정책 확인

네트워크 정책이 Pod 간 통신을 차단하고 있는지 확인하려면 다음 명령어를 실행합니다.

kubectl get networkpolicy -n default

 

출력 예제:

NAME          POD-SELECTOR     AGE
deny-all      <none>           10m
allow-http    app=frontend     5m

네트워크 정책의 상세 내용을 확인하려면 다음 명령어를 실행합니다.

kubectl describe networkpolicy deny-all -n default

 

출력 예제:

Name:         deny-all
Namespace:    default
PodSelector:  <none> (Allowing the specified traffic to all pods in this namespace)
PolicyTypes:  Ingress, Egress

💡 PodSelector: <none>은 모든 Pod이 네트워크 정책의 영향을 받음을 의미합니다.

---

✅ 2.2 Istio Proxy의 네트워크 흐름 확인

Istio Proxy가 트래픽을 차단하는지 확인하려면 다음 명령어를 실행합니다.

istioctl proxy-config endpoints <pod-name> -n default

 

출력 예제:

ENDPOINT       STATUS
10.42.1.100    HEALTHY
10.42.1.101    UNHEALTHY

💡 네트워크 정책으로 인해 일부 엔드포인트가 UNHEALTHY 상태가 될 수 있습니다.

---

✅ 2.3 Istio Ingress 및 Egress Gateway 문제 확인

Ingress 및 Egress 트래픽이 차단되는 경우, Istio Gateway 설정을 점검해야 합니다.

kubectl get gateway -n istio-system

 

출력 예제:

NAME            AGE
istio-ingress   20m
istio-egress    20m

Gateway의 상태를 확인하려면 다음 명령어를 실행합니다.

kubectl describe gateway istio-ingress -n istio-system

 

출력 예제:

Selector: istio=ingressgateway

💡 네트워크 정책이 Ingress/Egress Gateway의 트래픽을 차단하고 있는지 확인해야 합니다.

---

🔹 3. 네트워크 정책 충돌 해결 방법

✅ 3.1 Pod 간 통신이 차단된 경우 해결 방법

🛠️ 해결 방법:

• Istio가 적용된 네임스페이스에서 Pod 간 트래픽을 허용하는 네트워크 정책 추가

네트워크 정책 예제 (Pod 간 통신 허용)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-istio-traffic
  namespace: default
spec:
  podSelector: {}  # 모든 Pod에 적용
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - namespaceSelector: {}  # 같은 네임스페이스 내 모든 Pod에서의 트래픽 허용
  egress:
    - to:
        - namespaceSelector: {}  # 모든 네임스페이스로의 트래픽 허용

💡 Pod 간 통신을 허용하면 Istio의 Sidecar Proxy가 정상적으로 작동할 수 있습니다.

---

✅ 3.2 Istio Ingress/Egress Gateway가 차단된 경우 해결 방법

🛠️ 해결 방법:

• Ingress 및 Egress Gateway의 네트워크 정책을 수정하여 트래픽 허용

네트워크 정책 예제 (Ingress 및 Egress Gateway 허용)

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: allow-ingress-egress
  namespace: istio-system
spec:
  podSelector:
    matchLabels:
      istio: ingressgateway  # Istio Ingress Gateway 선택
  policyTypes:
    - Ingress
    - Egress
  ingress:
    - from:
        - namespaceSelector: {}  # 모든 네임스페이스에서의 트래픽 허용
  egress:
    - to:
        - namespaceSelector: {}  # 모든 네임스페이스로의 트래픽 허용

💡 Istio Gateway의 트래픽을 차단하지 않도록 네트워크 정책을 설정해야 합니다.

---

✅ 3.3 TLS 인증 문제 해결 (mTLS와 네트워크 정책 충돌 시)

🛠️ 해결 방법:

• PeerAuthentication을 PERMISSIVE 모드로 변경하여 mTLS와 일반 HTTP 트래픽을 모두 허용

PeerAuthentication 설정 예제

apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
  name: default
  namespace: istio-system
spec:
  mtls:
    mode: PERMISSIVE  # mTLS를 강제 적용하지 않고 클라이언트의 선택에 따름

💡 mTLS를 강제 적용하면, Kubernetes 네트워크 정책과 충돌할 수 있으므로 필요에 따라 PERMISSIVE로 설정해야 합니다.

---

📌 결론

• Istio와 Kubernetes 네트워크 정책이 충돌하면 서비스 간 트래픽이 차단될 수 있습니다.
• Pod 간 통신이 차단된 경우, 네트워크 정책을 수정하여 Istio 트래픽을 허용해야 합니다.
• Ingress 및 Egress Gateway가 차단된 경우, 네트워크 정책에서 트래픽을 허용해야 합니다.
• mTLS가 활성화된 경우, Kubernetes 네트워크 정책과의 충돌을 방지하기 위해 PeerAuthentication 설정을 점검해야 합니다.
• 네트워크 정책을 적용할 때, Istio의 트래픽 흐름을 고려하여 설정하는 것이 중요합니다.