[Istio 가이드 ep.9] 2부 트래픽 관리 #3 | Istio Gateway 실전 예제: Ingress 및 Egress 트래픽 제어

🔹 개요

이번 글에서는 Istio의 Gateway를 활용하여 Ingress 및 Egress 트래픽을 제어하는 방법을 다룹니다.
Ingress Gateway는 외부 트래픽을 Kubernetes 클러스터 내부 서비스로 전달하며,
Egress Gateway는 내부 서비스에서 외부로 나가는 트래픽을 제어하는 역할을 합니다.

이 글에서는 Ingress Gateway와 Egress Gateway의 개념을 정리하고,
실제 YAML 예제를 통해 트래픽을 제어하는 방법을 살펴보겠습니다.

---

🔹 1. Istio의 Gateway 개념

✅ 1.1 Ingress Gateway란?

Ingress Gateway는 외부에서 Kubernetes 클러스터로 들어오는 트래픽을 제어하는 Istio 리소스입니다.
Kubernetes의 기본 Ingress 리소스보다 **더 강력한 기능(L7 기반 트래픽 라우팅, TLS/HTTPS 적용, 세밀한 트래픽 관리)**을 제공합니다.

Ingress Gateway의 주요 기능

• 외부 트래픽을 내부 서비스로 라우팅
• VirtualService와 함께 사용하여 정교한 트래픽 라우팅 가능
• TLS/HTTPS 인증을 통해 보안 강화

---

✅ 1.2 Egress Gateway란?

Egress Gateway는 클러스터 내부에서 외부로 나가는 트래픽을 제어하는 Istio 리소스입니다.
보통 클러스터 내부의 서비스가 외부 API 또는 데이터베이스에 접근할 때 사용됩니다.

Egress Gateway의 주요 기능

• 외부 트래픽을 중앙에서 제어
• DNS 기반의 접근 제어 및 보안 설정 가능
• 인터넷 트래픽 및 외부 API 통신 모니터링 가능

---

🔹 2. Ingress Gateway 설정

✅ 2.1 Ingress Gateway 기본 설정

아래 예제에서는 Ingress Gateway를 생성하여 외부 트래픽을 관리합니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway  # Istio Gateway 리소스 정의
metadata:
  name: my-ingress-gateway  # Gateway의 이름
spec:
  selector:
    istio: ingressgateway  # Istio 기본 Ingress Gateway 사용
  servers:
    - port:
        number: 80  # HTTP 80번 포트에서 수신
        name: http
        protocol: HTTP
      hosts:
        - "*"  # 모든 도메인 허용

설명:

• Gateway → Istio의 Ingress Gateway 리소스 정의
• port.number: 80 → HTTP 80 포트에서 외부 트래픽 수신
• hosts: "*" → 모든 도메인 허용

---

✅ 2.2 Ingress Gateway + VirtualService 설정

Ingress Gateway를 설정한 후, VirtualService를 사용하여 트래픽을 내부 서비스로 전달합니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: my-service
spec:
  hosts:
    - "*"  # 모든 도메인의 요청을 수락
  gateways:
    - my-ingress-gateway  # 위에서 생성한 Gateway를 사용
  http:
    - match:
        - uri:
            prefix: "/api"  # "/api" 경로로 들어오는 요청을 my-service로 라우팅
      route:
        - destination:
            host: my-service  # 내부 서비스 이름
            port:
              number: 8080  # 내부 서비스가 수신하는 포트

설명:

• /api 경로로 들어오는 요청은 내부 서비스 my-service로 전달됨

---

✅ 2.3 TLS/HTTPS 적용 Ingress Gateway 설정

TLS를 적용하여 HTTPS 트래픽을 처리하는 Ingress Gateway 설정입니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: my-secure-ingress
spec:
  selector:
    istio: ingressgateway
  servers:
    - port:
        number: 443  # HTTPS 포트
        name: https
        protocol: HTTPS
      tls:
        mode: SIMPLE  # HTTPS 사용
        credentialName: my-tls-secret  # Secret에서 TLS 인증서 로드
      hosts:
        - "example.com"  # 특정 도메인에 대해서만 HTTPS 적용

설명:

• tls.mode: SIMPLE → TLS를 적용하여 HTTPS 활성화
• credentialName: my-tls-secret → Kubernetes Secret에서 TLS 인증서를 로드
• hosts: "example.com" → 특정 도메인(example.com)에만 HTTPS 적용

---

🔹 3. Egress Gateway 설정

✅ 3.1 Egress Gateway 기본 설정

아래 예제에서는 Egress Gateway를 생성하여 내부 서비스가 외부 API에 접근하는 트래픽을 관리합니다.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway  # Istio Egress Gateway 리소스 정의
metadata:
  name: my-egress-gateway
spec:
  selector:
    istio: egressgateway  # Istio의 Egress Gateway 사용
  servers:
    - port:
        number: 443  # HTTPS 트래픽 처리
        name: https
        protocol: HTTPS
      hosts:
        - "*.external.com"  # 특정 도메인으로 나가는 트래픽을 허용

설명:

• Gateway → Egress 트래픽을 제어하는 Istio 리소스
• port.number: 443 → HTTPS 트래픽을 처리하도록 설정
• hosts: "*.external.com" → 특정 도메인(external.com)으로 나가는 트래픽만 허용

---

✅ 3.2 Egress Gateway + VirtualService 설정

Egress Gateway를 설정한 후, VirtualService를 사용하여 특정 도메인으로의 트래픽을 Egress Gateway로 보내도록 설정합니다.

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: allow-external
spec:
  hosts:
    - "*.external.com"  # 외부 API 도메인
  gateways:
    - my-egress-gateway  # 위에서 생성한 Egress Gateway 사용
  http:
    - match:
        - uri:
            prefix: "/api"  # "/api" 경로로 시작하는 요청만 허용
      route:
        - destination:
            host: "*.external.com"
            port:
              number: 443

설명:

• hosts: "*.external.com" → 특정 도메인으로만 Egress 트래픽 허용
• match.uri.prefix: "/api" → 특정 API 경로로 시작하는 요청만 허용

---

📌 결론

• Ingress Gateway는 외부 트래픽을 내부 서비스로 전달하는 역할을 하며, VirtualService와 함께 사용됩니다.
• Ingress Gateway에서 TLS/HTTPS를 적용하여 보안을 강화할 수 있습니다.
• Egress Gateway는 내부에서 외부로 나가는 트래픽을 제어하는 역할을 하며, 특정 도메인 및 API 요청만 허용할 수 있습니다.
• VirtualService와 조합하여, Ingress 및 Egress 트래픽을 세밀하게 제어할 수 있습니다.