Amazon EKS에서 Istio Ambient Mode 구축

이 게시물은 Amazon EKS 환경에서 Istio 1.28 Ambient Mode를 설치하고 구성하여 리소스 효율성을 확보하는 방법에 대해 설명합니다.

Ambient Mode 아키텍처 및 주요 구성요소

• Ztunnel: 노드 레벨에서 TCP 수준의 보안 터널링과 mTLS 암호화를 제공하는 경량 프록시
• Waypoint Proxy: 선택적 Layer 7 프록시로 고급 트래픽 관리와 정책 적용 지원

기존 사이드카 방식과의 차이점

• Pod마다 사이드카 주입 대신 노드당 하나의 Ztunnel 실행으로 리소스 소비 대폭 감소
• Pod 재시작 없이 Namespace 라벨만으로 Ambient Mesh 참여 가능하여 무중단 배포 지원
• 서비스 간 통신은 SPIFFE 기반 mTLS로 자동 암호화되며 낮은 레이턴시 유지

설치 및 운영 가이드

• Istio 1.28 Ambient 프로파일을 이용해 istioctl로 간편 설치
• Bookinfo 샘플 애플리케이션 배포 및 사이드카 없는 서비스 메시 동작 검증
• Waypoint Proxy를 이용한 세밀한 Layer 7 트래픽 라우팅 및 정책 적용 방법

결론

Ambient Mode는 EKS 환경에서 서비스 메시의 리소스 오버헤드와 운영 복잡도를 개선하는 혁신적인 아키텍처로, 각 조직의 요구에 맞춰 사이드카 방식과 병행하여 유연하게 도입할 수 있음을 보여줍니다.