[Istio 가이드 ep.2] 1부 개념과 기본 설정 #2 | Istio 아키텍처: 데이터 플레인 & 컨트롤 플레인 완전 정복

🔹 개요

이번 글에서는 Istio의 아키텍처를 다루며, 데이터 플레인과 컨트롤 플레인의 구성 요소와 역할을 설명합니다.
Istio는 서비스 메시를 관리하기 위해 두 가지 주요 컴포넌트인 데이터 플레인과 컨트롤 플레인을 사용합니다.
데이터 플레인은 서비스 간 트래픽을 처리하고, 컨트롤 플레인은 전체 네트워크 정책을 관리합니다.
이 글에서는 Istio 아키텍처를 구성하는 핵심 요소들을 설명하고, 데이터 플레인과 컨트롤 플레인의 상호작용에 대해 알아봅니다.

---

🔹 1. Istio 아키텍처 개요

✅ 1.1 Istio 아키텍처의 주요 구성 요소

Istio는 크게 데이터 플레인과 컨트롤 플레인으로 나눠집니다.
데이터 플레인은 서비스 간 트래픽을 처리하고, 컨트롤 플레인은 정책을 관리하며, 이 둘이 협력하여 서비스 메시를 완성합니다.

핵심 요소

• 데이터 플레인(Data Plane): Envoy Proxy가 서비스 간 트래픽을 처리하는 역할을 합니다.
• 컨트롤 플레인(Control Plane): Istio의 정책을 관리하고, 데이터 플레인을 구성하는 Pilot, Citadel, Galley와 같은 컴포넌트로 이루어져 있습니다.

---

✅ 1.2 데이터 플레인 (Data Plane)

데이터 플레인은 서비스 간의 트래픽을 처리하는 역할을 합니다.
Envoy Proxy가 각 서비스의 사이드카 프로시로 배포되어, 서비스 간의 모든 트래픽을 처리하고, 제어합니다.
데이터 플레인은 주로 트래픽 라우팅, 로드 밸런싱, 보안을 담당합니다.

Envoy Proxy

• 트래픽 라우팅: 각 서비스로의 요청을 라우팅하고, 트래픽 제어를 통해 성능을 최적화합니다.
• 보안: mTLS를 사용하여 서비스 간의 암호화된 통신을 처리합니다.
• 트래픽 제어: 리트라이, 타임아웃, 서킷 브레이커를 설정하여 트래픽을 제어합니다.

Envoy는 서비스 메시의 중앙 처리 장치 역할을 하며, Istio의 데이터 플레인에서 트래픽을 처리하는 핵심 요소입니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService  # 트래픽 라우팅 설정
metadata:
  name: my-service  # 리소스 이름 설정
spec:
  hosts:
    - my-service  # 대상 서비스 설정
  http:
    - route:
        - destination:
            host: my-service  # 'my-service' 서비스로 트래픽 전달

설명:

• VirtualService: 트래픽 라우팅 규칙을 정의하는 리소스로, 서비스 간의 트래픽 흐름을 제어합니다.

---

🔹 2. 컨트롤 플레인 (Control Plane)

✅ 2.1 컨트롤 플레인 개요

컨트롤 플레인은 서비스 메시의 정책을 관리하고, 데이터 플레인에 대한 설정을 제공합니다.
Istio의 컨트롤 플레인은 여러 컴포넌트로 구성되어 있으며, 이들은 서비스 메시 내에서의 제어 및 관리를 담당합니다.

주요 컴포넌트

1. Pilot: 데이터 플레인에 구성 정보를 전달하고, 트래픽 라우팅 및 서비스 디스커버리를 관리합니다.
2. Citadel: 서비스 간 인증을 관리하고, mTLS 인증서 발급 및 관리 기능을 제공합니다.
3. Galley: 구성 관리를 담당하며, 정책 및 설정을 데이터 플레인에 전달합니다.
4. Mixer (Istio 1.5 이전 버전): 정책 및 텔레메트리를 처리하고, 서비스 메시의 로깅, 모니터링을 담당합니다.

✅ 2.2 Pilot

Pilot은 데이터 플레인에 트래픽 라우팅 정보와 구성 데이터를 제공하는 역할을 합니다.
Pilot은 VirtualService, DestinationRule과 같은 리소스를 사용하여 트래픽을 라우팅하고, 서비스 간 디스커버리를 수행합니다.

Pilot의 역할

• 서비스 디스커버리: 클러스터 내의 서비스 목록을 관리하고, 서비스 간 연결을 설정합니다.
• 트래픽 라우팅: 트래픽 라우팅 규칙을 정의하여, 서비스 간의 요청 흐름을 최적화합니다.

✅ 2.3 Citadel

Citadel은 서비스 간의 인증과 보안을 담당합니다.
mTLS(Mutual TLS) 기능을 사용하여 서비스 간 통신을 암호화하고, 인증서를 발급하여 서비스의 보안성을 강화합니다.

Citadel의 역할

• mTLS 인증서 관리: 서비스 간 암호화된 통신을 위해 인증서 발급 및 관리.
• 보안 정책: 서비스 간의 인증 및 권한 부여를 처리하여 Zero Trust 보안을 구현합니다.

---

🔹 3. 데이터 플레인과 컨트롤 플레인의 상호작용

✅ 3.1 데이터 플레인과 컨트롤 플레인 협력

데이터 플레인과 컨트롤 플레인은 서비스 메시 내에서 상호작용하며, 트래픽과 정책을 관리합니다.
컨트롤 플레인은 정책을 정의하고, 데이터 플레인은 이를 실행하여 서비스 간 트래픽을 관리합니다.

상호작용 예시

• Pilot은 VirtualService 리소스를 통해 트래픽 라우팅 규칙을 정의하고, 이를 Envoy(데이터 플레인)로 전달하여 서비스 간 트래픽 흐름을 제어합니다.
• Citadel은 Envoy에 mTLS 인증서를 제공하여, 서비스 간의 안전한 통신을 보장합니다.

---

📌 결론

• Istio의 아키텍처는 데이터 플레인과 컨트롤 플레인으로 구분되며, 두 플레인이 협력하여 서비스 메시의 트래픽 관리, 보안, 정책 관리를 수행합니다.
• Envoy Proxy는 데이터 플레인에서 트래픽 흐름을 제어하며, Pilot, Citadel 등의 컨트롤 플레인 컴포넌트는 정책을 관리하고 서비스 메시를 최적화합니다.
• Istio는 서비스 메시를 안정적이고 효율적으로 운영할 수 있는 강력한 기능을 제공합니다.