YG Tech Blog

이 글에서는 Cilium의 성능 최적화 방법과 실제 운영 환경에서 만날 수 있는 한계점들을 살펴봅니다. 네트워크 성능 테스트 도구를 활용한 병목 현상 탐지부터 eBPF 프로그램 튜닝, 그리고 대규모 환경에서의 리소스 관리까지 실무에 바로 적용할 수 있는 최적화 기법을 다룹니다. 또한 Cilium 사용 시 주의해야 할 잠재적 리스크와 이를 완화하기 위한 전략도 함께 살펴보겠습니다.📌 Cilium 성능 진단 및 측정Cilium의 성능을 최적화하기 전에 먼저 현재 성능을 정확히 측정하고 진단하는 것이 중요합니다. 이를 통해 어떤 부분에 최적화가 필요한지 파악할 수 있습니다.✅ 성능 테스트 도구 소개# 1. 기본적인 네트워크 연결 테스트# Pod 간 기본 연결 지연시간 측정 (간단한 ICMP 테스트)kubec..

이 글에서는 Cilium을 프로덕션 환경에서 안정적으로 운영하기 위한 전략과 베스트 프랙티스를 알아봅니다. Helm을 이용한 체계적인 관리 방법부터 롤링 업데이트 전략, 그리고 장애 발생 시 신속한 복구 절차까지 실제 현업에서 필요한 실무 지식을 다룰 예정입니다. 특히 대규모 클러스터에서 CNI 업데이트와 같은 민감한 작업을 안전하게 수행하는 방법과 장애 상황에서의 문제 해결 프로세스를 중점적으로 살펴보겠습니다.📌 Helm으로 관리하는 CiliumHelm은 쿠버네티스 애플리케이션의 패키징과 배포를 간소화하는 도구로, Cilium과 같은 복잡한 CNI 컴포넌트를 효율적으로 관리하는 데 매우 적합합니다.✅ Helm 기반 Cilium 설치 준비먼저 Helm을 통한 Cilium 설치 및 관리를 위한 기본 환경..

이 글에서는 Cilium의 강력한 네트워크 가시성 도구인 Hubble의 고급 사용법에 대해 알아봅니다. 기본적인 명령어부터 시작해 실제 현업에서 활용할 수 있는 복잡한 필터링, 실시간 모니터링, 그리고 네트워크 이슈 디버깅까지 다양한 시나리오를 다룰 예정입니다. 특히 Hubble CLI와 Hubble UI를 통해 쿠버네티스 네트워크 트래픽을 실시간으로 분석하고 시각화하는 방법을 실습 중심으로 살펴보겠습니다.📌 Hubble 개요 및 기본 구성 확인Hubble은 Cilium의 네트워크 관찰성(Observability) 계층으로, eBPF를 기반으로 한 강력한 네트워크 모니터링 및 보안 가시성 도구입니다. 이를 통해 우리는 쿠버네티스 클러스터 내의 네트워크 트래픽을 세밀하게 관찰하고 분석할 수 있습니다.✅ ..

이 글에서는 Cilium의 ID 기반 정책과 보안 강화 방법에 대해 알아보겠습니다. Cilium은 단순한 IP와 포트 기반의 네트워크 정책이 아닌, 워크로드의 정체성(Identity)에 기반한 강력한 접근 제어를 제공합니다. 쿠버네티스 Pod의 라벨을 기반으로 생성되는 Identity의 작동 원리와 Pod 간 ID 맵핑 구조를 이해하고, 실무에서 활용할 수 있는 ID 기반 보안 정책 구성 방법을 살펴보겠습니다. Identity 기반 접근 제어를 통해 동적으로 변화하는 클라우드 네이티브 환경에서도 일관된 보안 정책을 유지하는 방법을 배워봅시다.📌 Cilium Identity의 개념✅ 기존 네트워크 정책의 한계전통적인 네트워크 정책은 주로 다음과 같은 요소를 기반으로 합니다:IP 주소 및 CIDR 범위포트..

이 글에서는 CiliumClusterwideNetworkPolicy를 사용하여 네임스페이스에 상관없이 클러스터 전체 범위의 네트워크 정책을 적용하는 방법에 대해 알아보겠습니다. 지금까지 살펴본 Cilium 네트워크 정책들이 주로 특정 네임스페이스 내에서 적용되었다면, 이번에는 클러스터 전체에 적용되는 글로벌 정책을 통해 여러 네임스페이스에 걸친 일관된 보안 규칙을 구현하는 방법을 실습합니다. matchLabels를 활용한 타겟 선택 방법과 함께 실무에서 유용하게 활용할 수 있는 다양한 클러스터 전체 정책 패턴을 살펴보겠습니다.📌 CiliumClusterwideNetworkPolicy의 필요성✅ 기존 네트워크 정책의 한계지금까지 살펴본 CiliumNetworkPolicy는 해당 리소스가 생성된 네임스페이..

이 글에서는 Cilium의 CIDR과 Entity 기반 네트워크 정책을 통해 외부 접근을 정밀하게 제어하는 방법을 살펴봅니다. 앞서 살펴본 L3/L4 및 L7 정책들이 주로 클러스터 내부 통신을 제어하는 데 중점을 두었다면, 이번에는 외부 네트워크와의 통신을 세밀하게 관리하는 방법을 실습합니다. 특정 IP 대역만 허용하거나, world, host, remote-node와 같은 사전 정의된 엔터티들에 대한 접근 제어를 수행하는 방법을 배우고, 이를 통해 쿠버네티스 클러스터의 보안을 한층 더 강화할 수 있습니다.📌 CIDR 기반 정책의 이해✅ CIDR(Classless Inter-Domain Routing)이란?CIDR은 IP 주소를 할당하고 라우팅하기 위한 방법으로, IP 주소와 그 뒤에 슬래시('/')..

이 글에서는 Cilium을 활용하여 HTTP 외의 다른 L7(애플리케이션 계층) 프로토콜인 Kafka와 DNS 트래픽을 제어하는 방법을 실습합니다. 이전 글에서 HTTP 트래픽에 대한 경로, 메서드, 호스트 기반 필터링을 살펴봤다면, 이번에는 메시징 시스템과 도메인 이름 조회 등 다양한 프로토콜에 대한 세밀한 보안 정책을 구현하는 방법을 알아보겠습니다. 특히 toFQDNs, toEndpoints와 같은 Cilium의 고급 기능을 활용하여 실제 마이크로서비스 환경에서 유용하게 적용할 수 있는 실전 예제를 다룹니다.📌 L7 Kafka 정책✅ Kafka 프로토콜 개요Kafka는 대용량 실시간 데이터 스트리밍을 위한 분산 메시징 시스템으로, 마이크로서비스 아키텍처에서 많이 사용됩니다. Kafka의 주요 개념을..

이 글에서는 Cilium을 활용하여 L7(애플리케이션 계층) 수준에서 HTTP 트래픽을 제어하는 방법을 실습합니다. 지금까지 살펴본 L3/L4 정책이 IP와 포트 기반으로 트래픽을 제어했다면, L7 정책은 HTTP 요청의 경로(Path), 호스트(Host), 메서드(Method) 등 더 세부적인 요소를 기반으로 트래픽을 필터링할 수 있습니다. Envoy 프록시를 활용한 이 기능은 Cilium의 가장 강력한 기능 중 하나로, 마이크로서비스 환경에서 세밀한 보안 정책을 구현할 수 있게 합니다.📌 L7 네트워크 정책의 필요성✅ L3/L4 정책의 한계L3/L4 정책만으로는 다음과 같은 세부적인 제어가 불가능합니다:특정 URL 경로(/admin, /api/v1)만 차단하기HTTP 메서드(GET, POST, DE..

이 글에서는 Cilium의 네트워크 정책과 쿠버네티스 기본 NetworkPolicy의 차이점을 상세히 비교해 보겠습니다. 두 정책 유형은 같은 목적을 가지고 있지만, 리소스 정의 방식, 기능 범위, 그리고 내부 동작에 있어 중요한 차이가 있습니다. 이번 글에서는 각 정책 유형의 특징, 문법적 차이, 지원하는 기능의 범위, 그리고 실제 환경에서 두 정책을 함께 사용할 때 고려해야 할 호환성 사항까지 살펴보겠습니다.📌 네트워크 정책의 기본 개념쿠버네티스에서 네트워크 정책은 Pod 간의 통신을 제어하는 규칙을 정의합니다. 이를 통해 애플리케이션의 보안을 강화하고, "최소 권한 원칙"을 구현할 수 있습니다.  ✅ 네트워크 정책의 필요성쿠버네티스는 기본적으로 모든 Pod 간 통신을 허용하는 "플랫 네트워크" 모..

이 글에서는 Cilium의 핵심 기능 중 하나인 네트워크 정책 설정에 대해 알아보겠습니다. 특히 L3(IP) 및 L4(포트) 수준에서 트래픽을 제어하는 CiliumNetworkPolicy 리소스의 기본 사용법과 실제 적용 방법을 실습을 통해 상세히 다룹니다. 전체 트래픽을 차단하는 기본 정책부터 시작하여 특정 Pod와 포트 기반의 허용 정책 작성, 그리고 정책 적용 후 상태 확인 및 로그 분석 방법까지 실무에 바로 적용할 수 있는 내용을 소개합니다.📌 네트워크 정책의 필요성쿠버네티스 환경에서는 기본적으로 모든 Pod 간 통신이 허용됩니다. 이는 개발 편의성을 제공하지만, 보안 측면에서는 큰 위험 요소가 될 수 있습니다.✅ 기본 통신 정책의 문제점쿠버네티스의 기본 네트워킹 모델은 다음과 같은 특징을 가집..