YG Tech Blog

이 글에서는 Cilium을 활용하여 L7(애플리케이션 계층) 수준에서 HTTP 트래픽을 제어하는 방법을 실습합니다. 지금까지 살펴본 L3/L4 정책이 IP와 포트 기반으로 트래픽을 제어했다면, L7 정책은 HTTP 요청의 경로(Path), 호스트(Host), 메서드(Method) 등 더 세부적인 요소를 기반으로 트래픽을 필터링할 수 있습니다. Envoy 프록시를 활용한 이 기능은 Cilium의 가장 강력한 기능 중 하나로, 마이크로서비스 환경에서 세밀한 보안 정책을 구현할 수 있게 합니다.📌 L7 네트워크 정책의 필요성✅ L3/L4 정책의 한계L3/L4 정책만으로는 다음과 같은 세부적인 제어가 불가능합니다:특정 URL 경로(/admin, /api/v1)만 차단하기HTTP 메서드(GET, POST, DE..

이 글에서는 Cilium의 핵심 기능 중 하나인 네트워크 정책 설정에 대해 알아보겠습니다. 특히 L3(IP) 및 L4(포트) 수준에서 트래픽을 제어하는 CiliumNetworkPolicy 리소스의 기본 사용법과 실제 적용 방법을 실습을 통해 상세히 다룹니다. 전체 트래픽을 차단하는 기본 정책부터 시작하여 특정 Pod와 포트 기반의 허용 정책 작성, 그리고 정책 적용 후 상태 확인 및 로그 분석 방법까지 실무에 바로 적용할 수 있는 내용을 소개합니다.📌 네트워크 정책의 필요성쿠버네티스 환경에서는 기본적으로 모든 Pod 간 통신이 허용됩니다. 이는 개발 편의성을 제공하지만, 보안 측면에서는 큰 위험 요소가 될 수 있습니다.✅ 기본 통신 정책의 문제점쿠버네티스의 기본 네트워킹 모델은 다음과 같은 특징을 가집..

이 글에서는 Cilium의 강력한 네트워크 관측 도구인 Hubble을 설치하고 활용하는 방법에 대해 알아보겠습니다. Hubble은 쿠버네티스 클러스터 내의 네트워크 트래픽을 실시간으로 관찰하고 분석할 수 있게 해주는 도구로, 복잡한 마이크로서비스 환경에서 발생하는 네트워크 문제를 효과적으로 디버깅하고 보안 이슈를 모니터링하는 데 큰 도움이 됩니다. Docker Desktop 기반의 환경에서 Hubble을 설치하고, UI를 통해 네트워크 흐름을 시각화하며, Pod-to-Pod 통신을 추적하는 방법까지 상세히 살펴보겠습니다.📌 Hubble 개요 Hubble은 Cilium의 확장 기능으로, eBPF를 활용하여 쿠버네티스 클러스터 내의 네트워크 트래픽을 관찰하고 분석할 수 있는 도구입니다.✅ Hubble의 주..

이 글에서는 Cilium을 실제로 설치하고 구성하는 방법에 대해 알아보겠습니다. 특히 개발자들이 쉽게 접근할 수 있는 Docker Desktop 기반의 쿠버네티스 환경에서 Cilium을 설치하는 과정을 상세히 다룹니다. Cilium CLI, Helm, YAML 등 다양한 설치 방법을 비교하고, 설치 후 올바르게 구성되었는지 확인하는 방법까지 알아보겠습니다.📌 Cilium 설치 옵션 비교Cilium을 설치하는 방법은 크게 세 가지가 있습니다. 각 방법의 특징과 장단점을 이해하면 여러분의 환경에 가장 적합한 설치 방법을 선택할 수 있습니다.✅ Cilium CLICilium CLI는 Cilium 프로젝트에서 공식적으로 제공하는 명령줄 도구로, 설치와 운영을 간소화합니다. ▶️ 장점:가장 간단한 설치 방법자동..

이 글에서는 쿠버네티스 네트워킹의 핵심 개념인 CNI(Container Network Interface)에 대해 알아보고, 다양한 CNI 플러그인들의 특징과 차이점, 그리고, 최근 주목받고 있는 eBPF 기반 CNI인 Cilium의 장점에 대해 살펴보겠습니다. 쿠버네티스를 처음 접하는 분들도 이해할 수 있도록 기본 개념부터 차근차근 설명하겠습니다.📌 CNI(Container Network Interface)란?CNI는 쿠버네티스와 같은 컨테이너 오케스트레이션 시스템에서 네트워크 리소스를 설정하고 관리하기 위한 표준 인터페이스입니다. 컨테이너 간 통신, 외부와의 통신 등 컨테이너 네트워킹의 모든 측면을 처리합니다. ✅ CNI의 기본 정의 CNI는 Linux 컨테이너를 위한 네트워킹 표준으로, Cloud ..

🔹 개요이번 글에서는 Istio CNI(Container Network Interface) 플러그인을 활용하여 네트워크 성능을 개선하는 방법을 살펴보겠습니다.기본적으로 Istio는 Sidecar Proxy(Envoy)를 사용하여 트래픽을 관리하지만,이 과정에서 istio-init 컨테이너를 활용한 iptables 규칙 설정이 추가적인 오버헤드를 발생시킬 수 있습니다.Istio CNI를 사용하면 iptables 설정 과정 없이 Sidecar Proxy를 동작시킬 수 있어,네트워크 성능을 최적화하고 보안성을 강화할 수 있습니다.이 글에서는 Istio CNI의 개념, 설치 방법 및 성능 최적화 적용 사례를 설명하겠습니다.🔹 1. Istio CNI란?✅ 1.1 Istio CNI(Container Networ..