Home

스터디 시즌 1 목표

istio를 기본적으로 k8s cluster에서 istio CR들을 배포해서 보안(mTLS)까지는 아니지만, traffic management 정도는 경험을 해보았기 때문에 여기서 좀 더 깊게 들어가서 istio의 동작 원리등 필요한 기반 지식들을 습득하는 것을 목표로 하고 있음.

스터디 시즌 1 목표 달성 여부

병훈

week1~7까지 진행하면서 istio를 사용하는 것 뿐만 아니라 sidecar injection이 enable된 이후 pod 생성 요청이 들어왔을 때 어떤 과정을 거쳐서 pod spec이 수정되어 pod가 최종적으로 생성되는 지, 클러스터 외부에서 생성된 파드로 향하는 트래픽이 들어왔을 때 어떻게 트래픽이 sidecar로 주입된 envoy proxy container로 리다이렉트 되는 지 그리고 envoy proxy container로 리다이렉트 된 이후에 envoy 내부에서 어떤 동작을 통해 최종적으로 어플리케이션에 도달하게 되는 지에 대한 큰 그림을 이해하게 되면서 istio 사용에 있어서 필수적인 지식들은 갖춘 것 같습니다.

이 뿐만 아니라 동적으로 설정들이 동기화되는 xDS API들에 대해서도 학습을 하여 season1 스터디 기간 동안 음식을 먹을 때 소화하는 시간이 필요하듯 정보를 소화하는데 시간을 보낸 것 같아 만족스럽습니다.

하지만 아직 envoy 내부 동작 구조 ( istio-proxy container 로 트래픽이 들어왔을 때 어떻게 처리되는가 ? ) 그리고 어떻게 동적으로 configuration들을 동기화하는 지에 대한 완벽한 이해를 하지 못하여 남은 숙제들도 존재합니다.

함께 열심히 참여해준 은소님, 성호님 모두 감사드리고 시즌2에서도 같이 재밌게 스터디했으면 좋겠습니다.

은소

스터디 기간 동안 istio가 무엇이며 왜 사용하는지 알 수 있었고, 학습하면서 발생하는 궁금증을 repositoy에 issue 형식으로 작성하여 함께 궁금증을 해결할 수 있었습니다. 특히 istio-ingressgateway 라우팅 방법과 Istio custom resource들이 어떻게 mesh logic으로 변하는가? 두 issue와 그동안 공부했던 지식들을 바탕으로 istio가 동작하는 전반적인 과정을 이해하게 되면서 스터디 기간 동안 보람 있는 학습을 한 것 같아 기쁩니다. 언급한 issue 외에도 다양한 주제를 통해 istio에 대한 폭넓은 이해를 할 수 있었습니다. 항상 스터디 이끌어주신 병훈님, 자세한 정보로 궁금증을 해결해주신 성호님 감사합니다!

성호

Istio를 공부하게 되면서 Istio의 개념 및 사용 방법을 습득하였고 더 나아가 Istio의 동작원리에 대한 최소한의 지식을 갖추게 된 것 같아 만족합니다. 특히 그동안 리눅스 네트워크 관련 커널 지식 및 시스템 프로그래밍을 복습하는 부분에도 도움이 되었습니다. Istio가 어떻게 작동하고 Envoy가 어떻게 설정되는지 대략적으로 확인할 수 있었습니다. istio의 고가용성을 위한 배포 전략과 같은 상황에 따라 다른 부분에 대하여 Insight를 얻을 수 있었고 iptables 관련해서 자세히 공부할 수 있었습니다. 스터디에서 좋은 자료 공유해 주신 병훈님, Ingress gateway 관련 정보 공유해주신 은소님 감사합니다!

유용한 사이트

• sidecar injection in Istio
• admission controller
• dynamic admission control
• istio-internals-by-xds

생각한 istio 로드맵

1. 어떻게 sidecar pattern으로 파드에 envoy proxy container가 주입되는가?
   • mutating admission controller
   • mutatingwebhookconfigurations
   • istio-sidecar-injector webhook
2. yaml 형식으로 정의된 istio custom resources들이 어떻게 mesh logic이 envoy에 전파되는가?
   • istio custom resources ( gateway, virtualService, destinationRule, authorizationPolicy, envoyFilter 등 )
   • istiod ( istio architecture )
   • xDS API ( Envoy )
   • gRPC
3. 1에서 주입된 Envoy Proxy가 어떻게 트래픽을 가로채는가?
   • iptables
   • netFilter
   • kernel/user 영역
   • init container
4. 3에서 가로챈 이후 envoy 에서 내부적으로 어떻게 동작해서 최종 목적지인 어플리케이션으로 트래픽을 전달하는가?
   • envoy 구조
   • envoy 동작원리
   • 네트워크 지식 ( OSI 7 Layer, TCP/IP stack )

스터디 시즌 2 목표

• 초반에는 시즌1 처럼 Gitlab CI/CD, EKS, AWS 등 필요한 지식 학습 -> 개인별 gitlab CI/CD 환경 세팅은 완료하기
• 실습 준비가 되면 평일 말고 주말에 시간을 더 투자해서 매주 개인 별 환경에 EKS를 직접 띄워가지고 실습 진행 ( 계속 eks를 유지하기엔 비용이 많이 들기 때문 )
  • 실습할 때는 뭐 개인별 각자 다른 배포방식을 지원? ( canary, dark release 등 )
  • season2에 repo를 적극적으로 사용해 eks provisioning 관련 파일이라던지, istio CR yaml 등 실습한 파일들을 올리기
• AWS 루트 계정은 내것을 사용하는 것으로 이미 route53등 필수적인 세팅이 되어있기 때문
  • 만약 본인 계정으로 해보고 싶은 경우도 상관없음
  • aws configure 설정을 본인 계정으로 하는 차이만 있을 뿐이기 때문

---

istio CNCF 자격증

exam review

• https://bluehorn07.github.io/2024/04/10/istio-certificate-associate-exam-review/
• https://www.anyflow.net/sw-engineer/istio-certified-associate

---

resources

• https://medium.com/@wattsdave/istio-certified-associate-ica-exam-prep-51b59bdd372f#:~:text=at%20all%20times.-,Resources%20I%20Used,-Istio%20Fundamentals%3A%20Tetrate

• jimmysong님 블로그

• tetrate

• killercoda