📚 Istio & Service Mesh — Visualizer 카탈로그 ℹ️ 안내 📁 폴더 구조 🌓 테마

Istio & Service Mesh

총 58개 · 🧭 이해의 흐름 · 📚 토픽 목록 · 🕸 문서 관계 323 링크 · 📎 실제 yaml·script 첨부

검색 결과 없음.

토픽이 아니라 '읽는 의도'로 나눈 2-트랙 지도. 📘 지식 트랙(K) = Istio가 어떻게 동작하는가 — 개념·원리·진단, 버전 탄력적. 🔧 작업 트랙(W) = 홈랩에서 무엇을 만들고 검증했는가 — 환경·YAML·결과·결정 근거, 사내 적용용. 지식이 작업의 전제이므로 K1→K4를 먼저, 적용·실험은 W0→W4에 둔다. 실무 적용만 급하면 🔧 작업 트랙부터 봐도 된다 — 각 작업 문서는 필요한 개념을 지식 트랙으로 위임 링크한다.

K1

📘 지식 · xDS / Envoy 내부 (데이터플레인 작동 원리)

데이터플레인이 설정을 받는 원리 — 이걸 모르면 모든 트래픽 진단이 막힌다. 정적/동적 → xDS 5계층 → 트래픽 가로채기 → cluster 해부 → 라우팅 체인 → 동기화 상태 → admin API 진단.

  1. 📖 envoy static vs dynamic config개념부트스트랩(정적) vs 컨트롤플레인 푸시(동적)
  2. 📖 cr xds model정리Istio CR은 입력일 뿐, 진실은 Envoy config — 멘탈모델
  3. 📖 xds api layers개념LDS/RDS/CDS/EDS/SDS 계층과 ADS 단일 스트림 순서
  4. 📖 xds layers and diagnosis정리5계층 + istioctl proxy-config/proxy-status/x describe 진단
  5. 📖 sidecar traffic capture정리iptables/nftables REDIRECT로 15001(out)/15006(in) 가로채기
  6. 📖 cluster anatomy정리cluster 해부: 포트 3종·subset·DestinationRule→cluster 매핑
  7. 📖 envoy routing chain debugging개념listener→route→cluster→endpoint 체인 디버깅
  8. 📖 data plane sync state개념proxy-status SYNCED/STALE = 최종 일관성 동기화
  9. 📖 envoy admin api diagnosis개념config_dump/clusters/stats로 실제 설정 진단
  10. 📖 envoy response flags정리응답 플래그 레퍼런스(503 분류, RESPONSE_FLAGS_LONG)
  11. 📖 envoy filter chain extension개념network/HTTP filter chain과 Lua·Wasm·ext-proc 확장
  12. 📖 file based xds constraints개념파일 기반 xDS의 포맷·move 교체·EDS 제약
K2

📘 지식 · 보안 신원 (SPIFFE·mTLS·인가)

누가 누구에게 말할 수 있는가. SPIFFE 신원이 mTLS의 뿌리 → 세 리소스의 역할 분담 → AuthorizationPolicy 멘탈모델·함정.

  1. 📖 mtls spiffe identity개념SPIFFE로 워크로드 신원을 X.509 SVID SAN에 박는 mTLS 기반
  2. 📖 security resource trio개념PeerAuthentication·RequestAuthentication·AuthorizationPolicy 분담
  3. 📖 authorizationpolicy mental model정리inbound 보호·mTLS identity·HTTP vs TCP DENY 함정·egress
K3

📘 지식 · 트래픽 개념 (Gateway·Egress·Sidecar)

트래픽 in/out의 개념층 — egress gateway 강제 메커니즘·프로토콜별 설정·운영(SNAT·shutdown)·Sidecar scope·회로차단·east-west SNI. 실측 결과·재현은 작업 트랙 W2~W3으로 위임.

  1. 📖 egress gateway정리Egress Gateway 필드 매뉴얼 정본(HTTPS passthrough 중심)
  2. 📖 egress http vs https정리외부 endpoint 프로토콜별(HTTP vs HTTPS) 설정 차이
  3. 📖 egress operations정리Egress 운영 레퍼런스(SNAT/conntrack·graceful shutdown)
  4. 📖 sidecar scope개념Sidecar 리소스로 푸시 범위를 좁혀 성능·egress 거버넌스
  5. 📖 sidecar scope정리Sidecar CRD 적용 범위(scope) 설정 방법(개념 쌍의 실습면)
  6. 📖 egress vs scoping개념namespace≠적용 범위 — gateways·exportTo·sourceLabels·Sidecar 네 직교 축
  7. 📖 circuit breaking mechanisms개념connection pool + outlier detection으로 연쇄 장애 차단
  8. 📖 eastwest gateway sni개념east-west gateway가 클러스터 정보를 SNI에 인코딩해 프록시
K4

📘 지식 · 구조 · 성능 · 대규모 현상

메시를 키웠을 때 드러나는 원리. control/data plane 분리 설치 이유 → istiod 성능 4요인 → phantom workload(엔드포인트 전파 지연) → 대규모 운영 플레이북.

  1. 📖 install cp dp decoupling개념왜 control/data plane을 분리 설치하나 — 업그레이드를 DP에 투명하게
  2. 📖 control plane performance factors개념istiod 성능 4요인(변경률·리소스·워크로드 수·설정 크기)과 Sidecar 레버
  3. 📖 phantom workloads개념엔드포인트 전파 지연으로 사라진 워크로드에 트래픽 가는 현상
  4. 📖 phantom workloads정리Phantom workload 처리 방법(개념 쌍의 실무 정리면)
  5. 📖 operations playbook정리Envoy 컴파일러 모델·multi-cluster·config scope·revision upgrade
W0

🔧 작업 · 환경 복구 · 클린 설치

작업 트랙의 토대. 깨진 control-plane(apiserver LB 이름해석 소실)을 수리하고(하드 선행) 순수 Helm으로 base→istiod→gateway를 클린 설치한 실제 런북.

  1. 📖 controlplane outage런북하드 선행 — apiserver LB 이름해석 소실 수리(없으면 istiod 0/1)
  2. 📖 helm reinstall런북순수 Helm 클린 재설치(base→istiod→ingress/egress) 실행 런북
W1

🔧 작업 · xDS 직접 돌려보기

K1 원리를 손으로 확인. 정적 → 파일 기반 → ADS 동적 설정을 직접 돌려보는 실습.

  1. 📖 envoy static dynamic xds lab정리정적/동적 xDS 직접 돌려보는 실습(Istio in Action 3.2)
W2

🔧 작업 · Ingress + Egress 기본 검증 (진입점)

외부→ingress gateway 200·TLS termination·host/path 분기, egress SNI passthrough 경유 강제를 access log로 실측한 베이스라인. 여기서 egress 심화(W3)로 이어진다.

  1. 📖 ingress egress리포트외부→gateway 200·TLS termination·egress 경유 강제 실측
W3

🔧 작업 · Egress gateway 방법론

egress의 핵심 작업. 4-CRD 직관 → HTTPS 설치 가이드 → ISTIO_MUTUAL(이중 TLS) 실측 → 패턴 정본 → 신원 기반 통제 구성 → passthrough 반론 → 이중 gateway 격리 랩 → DNS resolution 런북. 개념은 K3로 위임, 도입 의사결정·TCP 운영은 W3.5로.

  1. 📖 egress crd mental model가이드Egress 4-CRD 직관 — '한 번의 curl = 두 hop', 정렬 지도·tls/tcp 비대칭 (진입점)
  2. 📖 egress gateway https가이드Egress Gateway 외부 HTTPS 설치·구성·테스트 가이드
  3. 📖 egress mtls리포트ISTIO_MUTUAL egress 실측 — HTTPS over mTLS(이중 TLS)·SPIFFE 검증
  4. 📖 egress https over mtls정리HTTPS over mTLS 구조 정본 — 세 패턴 좌표·CRD 해부·장단점·운영
  5. 📖 egress mtls identity control가이드신원 기반 통제 구성 — SA 2개 차등 allowlist 테스트 클러스터 전체 빌드
  6. 📖 egress identity without mtls개념반론 — 이중 TLS 없이 passthrough+Calico로 egress 신원을 더 싸게 (결정 후기: Q2 요건 확정으로 mTLS 채택)
  7. 📖 egress dual gateway가이드이중 gateway 검증 랩 — 물리 분리 × 논리 스코핑이 곱해져야 격리
  8. 📖 dns resolution리포트ServiceEntry resolution: DNS 동작·진단 런북
W3.5

🔧 작업 · Egress 도입 의사결정 · TCP 운영

W3 방법론이 실전 도입으로 수렴한 단계. Passthrough vs mTLS Passthrough 의사결정 문서(사내 공유본) → L4 proxy가 만드는 TCP 병목 5종의 산술·완화 운영값 → 한계 축소 기법으로 병목을 직접 재현하는 랩.

  1. 📖 egress adoption passthrough vs mtls가이드도입 가이드(사내 공유본) — 비교·채택 근거·표준 1벌·체크리스트·런북
  2. 📖 egress tcp bottlenecks정리TCP 병목 정본 — Envoy 1024→포트 28k/470cps→conntrack 순서·완화 YAML·알람
  3. 📖 egress tcp failure reproduction가이드재현 랩 — 한계를 5~20으로 줄여 UO/UF/무응답/정시절단 시그니처를 직접 관찰
W4

🔧 작업 · 무중단 종료 시리즈 (Graceful Termination)

운영의 핵심 난제 — pod가 죽을 때 트래픽을 흘리지 않기. MOC 진입 → 큰그림·hc FSM·IGW 배포·테스트·사내적용 + walkthrough·HAProxy·drain 실측 + 런북. 통째로 하나의 프로젝트.

  1. 📖 graceful termination인덱스시리즈 전체 목차(진입점)
  2. 📖 w1 big picture정리W1. 트래픽 경로 + 6 events + 4 시나리오 큰 그림
  3. 📖 w2 hc fsm정리W2. backend + hc + drain.sh Go 메커니즘(FSM)
  4. 📖 w3 igw deployment정리W3. IngressGateway 커스텀 Deployment 설계
  5. 📖 w5 test scenarios정리W5. 테스트 시나리오 4종 설계 + artifacts 해석
  6. 📖 w6 production apply정리W6. 사내 적용 가이드(실험 결론 → 온프렘 매핑)
  7. 📖 quickstart정리LEARN-01. 5분 안에 실험 다시 돌리기
  8. 📖 apps walkthrough정리LEARN-02. backend + hc + graceful-drain.sh 워크스루
  9. 📖 manifests walkthrough정리LEARN-03. IGW 커스텀 Deployment/Service/Gateway/VS
  10. 📖 tests walkthrough정리테스트 하니스 코드 워크스루
  11. 📖 haproxy walkthrough정리LEARN-04. HAProxy L7 offload + on-marked-down
  12. 📖 envoy drain listeners정리Envoy graceful drain(listener 드레이닝) 실험 정리
  13. 📖 runbook정리사내 도입 런북(실험 → 적용 가이드)