어쨌건간에 흘러가는 者

유시민이 꽤 오래 전부터 울나라 정치 평론 시 상시 인용하기에 관심을 두게 된 책이다. 침팬지가 정치를 한다는 흥미로울 수 밖에 없는 주제도 그렇지만, 진화론에 기반한다는 점이 더욱 관심을 끌었고. 인간이 행하는 정치적 행동의 원형을 제공할 것이란 점이 기대 포인트. 상시로 마주치기 마련인 인간의 이해하기 어려운 언행과 의도를 파악하는 데 많은 도움이 될 것이란 기대 말이다.

아래는 독후감이라기보다는 의미있게 다가온 구절과 이에 연상된 생각의 나열이다. 책의 구절 또는 이에 대한 패러프레이징이 이텔릭체이고, 연상된 내 생각 또는 기술은 정자체이다.

•

침팬지도 정치한다. 따라서 정치는 인간보다 오래되었다(침팬지가 침팬지와 인간의 공통 조상과 유사 또는 동일 행태를 보인다는 가정에 기반한다).

•

침팬지 사회에서도 은폐, 고자질, 거래, 협상, 연합, 이간질, 포섭 등 온갖 마키아벨리적 정치 술수가 난무한다.

•

침팬지에게 섹스 결정권은 암컷에게 있다.

•

싸움 개입 시 대부분의 침팬지는 친밀도(공감)가 높은 쪽을 편들었다. 딱 두 마리, 이에룬과 라윗만 빼고. 1인자였던 이들 둘은 자신의 권력 증대에 도움이 되는 쪽을 편들었다. 이는 자신들의 지도력이 확고하지 못했던 기간에 도드라졌다. 한편 암컷이나 새끼는 공감에 치우친 개입을 보여주었다. 즉, 한쪽은 보살핌과 개인적 약속을 중시한다면 다른 한쪽은 전략적이며 지위 상승에 민감하다.

•

암컷의 개인적 취향은 수컷의 서열과 늘 일치하는 것은 아니다. 따라서, 서열의 규칙을 교묘하게 피해 가는 것은 암컷이다.

•

인사는 서열 확인 수단이다. 침팬지는 상급자에게 소위 문안 인사를 한다.

•

침팬지 사회에서는 1인자는 있어도 절대 권력자는 없다. 1인자 조차도 나머지 2, 3인자에게 쫓기거나 ‘요청’을 한다. 1인자를 유지하면서도.

•

아주 분명하게도, 다수의 수컷 침팬지들은 높은 사회적 지위를 추구하는 데 막대한 에너지를 소비하며, 심지어 중상을 입을 위험마저 무릅쓴다 - 제인 구달

•

권력 추구 자체는 천성적인 것임이 거의 확실하다. 이것 역시 유전되는 것인지 모른다. 우리는 종종 어떤 사람들을 가리켜서 ‘정치적 본능’을 가지고 있다고 말하는데, 침팬지에게 이 말을 적용시켜서는 안될 이유가 없다.

한 20년만에 소설을 읽은 듯 하다. 마지막 소설은 2~30대에 읽었던 도쿠가와 이에야스였던 듯 싶다. 보게 된 계기는 두말할 나위 없이 노벨 문학상 소식 때문이다. 마침 읽기 딱 좋은 휴가 시점이었고.

•

근 몇 년을 그래왔듯 읽는게 아니라 들었는데, 가면 갈수록 이건 읽어야겠다는 생각이 들었다. 결국 5장부터 마지막은 읽었다. 처음부터 그러하지 않았음이 후회된다. 가벼운 마음으로 보기에는 주제가 너무도 무겁다. 작가 뿐 아니라 작중 인물에게 죄송스러운 마음이 몰려온다. 아니나 다를까, 소년은 실존 인물이었다.

•

운동 와중에 4장을 지나던 어느 지점부터는 땀과 눈물이 함께 떨어졌다. 몰입도가 상당했기에 평소 같으면 운동이 끝난 직후에도 듣기를 이어 나갔겠지만, 무거워진 마음에 함께 멈춰 섰다. 그리고 다시 듣기 시작하기까지는 며칠이 흐른 뒤였다. 그 마음 상태로 복귀하는게 꽤나 무서웠기 때문이다.

•

4장에서의 아픔은 5장에서도 예상치 못한 순간 또다른 형태로 반복된다. 한강이 시인이었기에 심상 생성에 탁월하다는 평을 본 적이 있는데, 이런 식으로 이를 전할 줄은 생각 못했다. 가장 가슴을 쓰리게 만드는 그 부분은 작중 인물의 입을 통해 묘사된다.

•

감정 이입이 뒤로 갈 수록 심해졌는데, 이는 독특한 등장인물 배치에 기인한 듯 보인다. 작중 인물들은 잊혀질 때 즈음이면 다른 이를 통해 언급되며 실상이 전해진다. 이 역시 간접적 접근으로 감정 증폭의 요소로 읽힌다.

•

소설 마지막까지 감정 증폭을 멈추지 않는다. 그렇다고 정리가 안된 것이냐 싶으면 그렇지도 않고. 놀라운게, 소설 직후 이어지는 에필로그는 이를 한번 더 강조, 아니 증폭된 감정을 확정지으려는 듯한 움직임이다. 실화에 기반했던 것이다. 단순 실화도 아니고 작가 개인과 연계된.

•

때 마침 다녀온 내소사(來蘇寺) 템플스테이 의 위치가 전남이었다는 점은, 그리고 많은 이야기를 나눈 템플스테이 가이드가 전남대 출신에 5.18에 관한 많은 기억과 경험을 가진 분이었다는 점은 묘한 우연이다.

•

새삼 소설의 힘을 다시 생각해보았다. 그간 꽤나 많이 5.18에 관한 생각과 미디어를 마주쳤지만, 당사자들의 아픔을 이만큼 느낀적이 없다.

•

불연득 전두환 손자, 전우일을 다시 찾아보았다. 그간의 너무도 고통스러웠던 삶, 그리고 그 고통으로부터의 자유, 떳떳한 삶에 대한 갈망이 그 자리까지 오게 만든 원동력일 터이다. 그 고통의 원인을 끈기있게 쫓고 찾아내고 직시했기에 그 혼돈 속에서 뛰쳐나올 수 있었을 터이다.

•

한편 전우일의 나머지 가족들 역시 그와 유사하게 괴로와 하겠지만… 그와는 달리 그대로 파묻혀 살아가는 이유는, 근본적으로 그와 무엇이 다른지는 잘 모르겠다. 단순히 악인으로 치부하고 정리하기에는, 여전히 많은 의문이 남는다. 하긴, 그가 오히려 예외적인 경우일 것이다. 우리나라에는 이들 나머지 가족들과 같은 종자가 넘쳐 흐른다. 안타깝게도 사회 지도층에 특히나 포진해 있다. 못다한 친일파 청산의 후유증이 아닐까 생각해본다.

Prologue

늦은 여름휴가로 다녀온 내소사(來蘇寺) 템플스테이 후기이다. 2박 3일 일정으로 돌아온 바로 그날 작성하는 것이니 꽤 따끈한거다.

템플스테이에 내소사로 가게 된 동기는 아래 후기 주인장의 추천으로. 휴가지로 딱히 갈 만한 곳이 떠오르지 않던 터에, 예전부터 템플스테이는 관심있던터라 딱이기도 하였고. 누군가 혼자 여행이라서 좋겠다 했는데, 난 혼자라서 혼자간거란 점은 함정. 누군가 함께 있었다면 여길 떠올렸을까는 상당히 의문이다.

내소사 템플스테이

9월 초 2주의 안식휴가 기간 중 무엇을 하면 좋을까 고민하던 나에게 아내는 내소사 템플스테이를 추천했다. 아내는 2009년에 다녀왔는데 너무 좋았다는 이야기를 종종 들려 주었다. 자신을 돌아보기에는 템플스테이처럼 좋은 환경이 없다고 생각해 3박 4일 휴식형으로 신청하고 9월 5일부터 8일까지의 일정으로 다녀왔다. 새벽 5시 50분에 집을 나서 마을버…

http://blog.reshout.com/2017/09/17/5361/

내소사 템플스테이 사이트는 조계종 템플스테이 홈페이지와 연계되어 있기에 여타 다른 절의 그것도 가능하다. 근데 걍 내소사로 간 이유는 추천이 가장 크겠지만, 무엇보다 저 사진에 보이는 대웅보전에 단청이라 불리는 칠이 안되어있단 점이 확신을 주었다. 오랜 절의 느낌을 그대로 전하기 때문. 나중에 가이드에게 들은 바로는, 주지 스님이 일부러 단청을 안하고 보존재만 바르게 했다고. 센스있다.

Body

첫날 3시20분 오리엔테이션에 맞춰 도착. 오리엔테이션은 템플스테이 및 절 소개 정도이다. 첫날은 나 이외에 소통에 관심없어 보이는 여자분 한명 뿐. 둘째날이 되서야 독일인 남매에 노르웨이 세 자매(?), 한국인 자매 또는 모녀 둘로 늘어났다. 별도 활동이 없는 코스였기에 절밥 먹고나면 딱히 할게 없다(휴식형. 체험형은 예약 당시 이미 만석이라서리). 걍 가이드 분 및 이들 참가자들과 꽤 유명한 전나무숲길을 산책하는 것 뿐.

꽤 유명하다는 전나무숲길. 사진과는 달리 상당히 긴데, 확실히 분위기 있다. 이만한 길, 분명 쉽지 않아 보인다.

가이드 분과 상당히 많은 이야기를 나누었는데, 외국인 가이드 전문이라고. 함께 숙식을 하면서 가이드 함에도 놀랍게도 일종의 봉사활동이란다. 따라서 급여가 매우 작다고. 국가 보조를 받는다는데 이게 가능한가 싶었다.

읽으려 가져온 책 중 하나가 소년이 온다 by 한강 이었는데, 마침 이 분이 전남대 출신으로 선배들에게 5.18에 대해 많은 이야기를 들었거니와 이미 읽었다고. 오히려 한강보다도 부친인 한승원 작가를 더 잘 아는데 전라도 출신이기 때문이란다. 어쩌다 한강이 5.18을 다루었지 싶었는데 이해가 가는 지점이다.

광주에서는 5.18을 기려 중고생 대상으로 주먹밥을 먹는 의식이 있다는데, 이러한 의식이 타 지역과는 괘리가 있는게 아닐까 하여 걱정을 하신다. 난 오히려 자랑으로 생각하셔야 한다, 서울-강남에서 살았던 경험에 비추어봤을 때 그런 공감을 가질 기회가 있음에 더 운좋게 생각하셔야 한다고 대답했다. 진심이다.

내소사(來蘇寺) 템플스테이

自省(Introspect) / 세상살이

템플스테이

templestay

내소사

2024/10/25

LG SDC 2024 발표 내용

그간 여기서 한참이나 다루었던 Service Mesh와 OpenTelemetry에 대해 LG SDC(Software Developer Conference) 2024에서 발표한 내용이다.

LG SDC 2024

https://www.lgsdc.com/

LG SDC 2024 홈페이지

제목은 Platform Engineering for ThinQ Cloud이지만 이는 실제 주제인 Service Mesh, OpenTelemetry, Internal Developer Portal에 대한 context에 해당한다. Internal Developer Portal은 동료 팀원이자 다음 블로그의 주인장이 담당했다.

SEOWOO THOUGHTS

개인적인 생각과 공부, 그리고 업무에서 배우는 것들을 정리하여 남기고 있습니다.

https://www.gomgomshrimp.com/

공동 발표한 공서우님의 블로그. Kubernetes에 대해 특히 심도있게 논한다. 이 notion 기반 블로깅 아이디어를 내게 전하기도.

사실 제목이 context가 되어버린 사연이 있다. 원래 Platform Engineering for ThinQ Cloud, Service Mesh/OpenTelemetry, Internal Developer Portal 각각을 각기 다른 세션으로 각기 다른 발표자가 발표하기를 기획했지만, 주최측에서 Platform Engineering for ThinQ Cloud만을 선정한 것이다. 해당 발표자는 아래 블로그 주인장이자 내가 속한 조직의 팀장님.

근데 이 발표를 우리 둘에게 양보했기에 결국 3개 주제가 하나의 발표로 묶이게 된 것이다. 시간에 쫓기는 통에 발표 시 감사 인사 전달을 잊었는데, 대신 이 블로그 글을 통해서나마 감사 인사를 전하고자 한다.

reshout's blog

승부는 거의 출발점에서 정해진다.

http://blog.reshout.com/

발표를 양보해주신 김건우님의 블로그. Web 상의 개인 log란 blog의 탄생 시 목적에 정확히 부합한다.

발표 내용은 공서우님이 담당한 Internal Developer Portal과 극히 일부를 제외하고는 모두 본 블로그에서 다룬 것들이다.

참고로 전체 30분 발표에 둘이서 나누는 그 짧은 시간 대비, 다루는 주제 범위가 너무 컸음을 부인하기 어렵다. 따라서 청자에게 많은 부담을 지우게 된 것이 사실이다. 이러한 컨퍼런스는 지식의 전달 보다는 일종의 ‘장기자랑’ 속성이 강하다는 것을 감안하자면 그럴 수도 있겠다 싶지만 찝질한 마음은 지우기 어렵다.

이 땜시 발표 자료에 이 블로그 소개도 할 겸 참조 문서에 상세 내용 링크를 잔득 달아놨는데, 정작 홈페이지에서 발표 자료가 공유 안되고 있는 점은 안습. 2022, 2023년도 자료를 공유하기는 하기에 언젠간 2024의 것도 공유하긴 할 듯 하지만, 근데 정작 볼만한 사람들이 관심 가질 시점에 없으면 그게 무슨 소용인가. 해서 발표 자료는 아래에 남겨둔다.

•

발표자료

LG SDC 2024 발표: Service Mesh, OpenTelemetry

S/W 엔지니어

Service Mesh

OpenTelemetry

Observability

LG SDC 2024

2024/09/18

Prologue

먼저, 이러한 사설 자격증의 의미를 남에게 보이는 데서 찾으면 답이 안나온다는 것은 익히 알려진 사실이다. 무엇보다도 취득 자체로는 유의미한 이익을 얻기 힘들기 때문이다. 끽해봐야 ‘좀 열심히 했군’ 정도가 일반적인 외부의 인정(?) 정도가 아닐까 싶다. 내 경우 의미는 교육비 지원에 취득 시 고과에 작게나마 명시적으로 긍정 영향을 미친다는 점과, 기왕 공부했던거를 이를 통해서 정리한다는 점이 가장 컸다.

본 글은 후기로서, 최종 취득까지 떠올랐던 본 시험 관련한 몇몇 생각과 도움 받았던 외부 자료의 소개이다.

참고로 75점 커트라인인 본 시험 결과로, 첫 시험에선 74점으로 떨어지고 일주일 후의 2차에서 75점 턱걸이로 붙었다. 첫 시험은 시간에 쫓겨 4문제나 못 풀었던지라 시험 보는 내내 낙제가 예상되었는데, 두 번째는 5분여를 남기고 1문제를 제외한 나머지를 꽤나 확신한 상태로 완료했기 때문에 꽤 높은 점수를 기대했다. 하지만 첫 시험과 달랑 1점 차이… 지금도 이 점수는 이해가 잘 안간다(답안 및 문제 공개가 없기에 어디서 그리 많이 점수를 까먹었는지 알기 어렵다).

시험 구성 & 공략

•

CKA(Certified Kubernates Admistrator)의 그것과 매우 유사한 환경이다. Linux desktop 환경에 기 설치된 chrome에는 Istio 및 Kubernetes 공식 문서 외에는 타 사이트 접근이 안된다. vscode는 지원한다. 상당히 짜증난 부분으로 복붙 단축키가 자꾸 딴키로 매핑되곤 하는 버그가 있는 듯 한데, 이럴 땐 걍 마우스 메뉴를 통해 수행하라고 가이드까지 있다. 이 땜시 시간을 꽤나 까먹었다.

•

2시간 내에 약 5개 정도의 객관식 문제 빼고는 모두 kubectl, istioctl을 써야하는 실습 문제이다. 전체 문항 갯수가 약 20~30개 정도였던 기억. 이들 명령에 대한 단축키 스크립트가 사전 설치 안되어있기에, 시작하자마자 alias k=kubectl 등을 먼저 하는 것이 유리하다.

•

크게 어렵지는 않지만 CKA보다는 어려운 느낌이다(Istio를 꽤 오랜 시간 공부했음에도). 무엇보다 시간이 촉박한게 함정. 문제를 보자마자 바로바로 풀어 낼 수준이어야 시간 내에 전체 풀이가 가능하다.

•

실습 문제는 거의 전부라고 해도 좋을 만큼, Istio 공식 문서를 침조해야한다. 이유는 VirtualService 등의 Istio resource 생성을 요구하기 때문(각 resource 별 문법을 싸그리 외우고 있다면 불필요하겠지만). 다행히도 요구되는 답안 상당수가 공식 문서 내 sample을 거의 그대로 쓰면 되는 수준이다. 따라서 반드시 익혀야 하는 스킬은 필요 문서를 빠르게 찾아 복붙하기.

•

Ambient mode를 제외한 전 영역을 물어본다. 영역 별로 3~4개 문항인데, 예외적으로 설치는 1개, Traffic management 영역은 10개 정도이다. Traffic management 영역 문항이 타 영역에 비해 특히 까다로와 많은 시간을 요구한다. 그렇기에 딴 영역 먼저 풀고 맨 나중에 공략하는게 유리하다.

•

Istio 공식 문서의 Istio 버전은 1.23(24.09.18 기준)이고 시험 버전은 1.18이다. Istio가 1.2X로 넘어오면서 Istio resource 상당수를 apiVersion 을 v1으로 올렸기에 복붙 시 이 버전을 시험 버전으로 맞춰주어야 한다. 시험 버전은 v1beta1 이다.

공부 기간 & 방법

ICA(Istio Certified Associate) 취득 후기

S/W 엔지니어

Istio

ICA

Istio Certified Associate

Service Mesh

2024/09/18

Open source 기반 Observability architecture. 에서 자세히 설명한다.

Introduction

Open source를 기반으로 한 Observability 환경 구축에 대한 논의이다. 본 논의 중심에는 OpenTelemetry 뿐 아니라 Service Mesh(Istio), Prometheus, Grafana가 위치한다.

Motivation

일반적으로 Observability의 vendor 제품 운용 비용은 상당하며, 이로 인한 제약은 커지기 마련이다. 다음은 Hacker news에 올라온 Coinbase의 Datadog 비용 이슈(연간 $65M, 약 867억원)에 대한 논의인데, 성토가 어마어마하다.

A cryptocurrency company had a $65M bill, per Datadog’s Q1 earnings call | Hacker News

1. use Datadog, because it gets you a bunch of stuff without having to really set it up, like anomaly detection, which is poor man's monitoring & alerting

https://news.ycombinator.com/item?id=35837330

상기 논의의 주요 comment 모음(한글 자동 번역)

위 Coinbase는 결국 전담 팀을 꾸려 Open Source 기반으로 전환 중에 Datadog이 ‘거부할 수 없는 거래’를 제시해 Datadog으로 유지했다고. Observability는 사실 상 infra level의 서비스로 app 전반의 영역에 걸쳐 분포하기 마련이라 타 솔루션으로의 전환이 어려울 것은 자명하다.

이런 상황에, OpenTelemetry로의 data export를 못하도록 OTel Datadog receiver PR을 방해한 흔적마저 보인다. 이를 딛고 감행한 해당 PR 작성자로의 응원이 엄청나다.

[receiver/datadog] new component: datadogreceiver by boostchicken · Pull Request #5836 · open-telemetry/opentelemetry-collector-contrib

Description: Added ability to receive DD APM Traces Testing: Tested in real world by adding plugin and sending DDAPM traces through Documentation: https://github.com/boostchicken/opentelemetry-co...

https://github.com/open-telemetry/opentelemetry-collector-contrib/pull/5836#issuecomment-1404724926

Summary

•

Open source 기반 Observability는 vendor의 그것을 대체 가능하다.

•

본 Open source 기반 Observability Architecture에는 OpenTelemetry 및 Istio, Prometheus, Grafana가 중심이다. 이들 모두 각자의 영역에서 오랜 시간 검증 받은 제품이다.

Open Source 기반 Observability via OpenTelemetry, Service mesh

S/W 엔지니어

Observability

Istio

Service Mesh

OpenTelemetry

OpenMetrics

Prometheus

Grafana

2024/09/12

Introduction

Prometheus metric의 특성과 Istio metric의 interval에 대해 논한다. Prometheus는 일반적인 DB와는 달리 pull 방식으로 데이터를 수집함과 동시에, Grafana 등에서 마주치는 데이터에는 (interpolation, extrapolation에 의해 보정된) 가상의 데이터가 포함되다보니, Prometheus에 실제 어떻게 데이터가 저장되어 있는지를 유추하기가 생각보다 어렵다. 그리고 이는 데이터 정확성에 대한 파악 뿐 아니라 용량 산정/예측에도 영향을 미친다.

Summary

•

Prometheus는 Time series identifier 별로 time series를 생성한다. 즉, label value 갯수만큼 time series가 생성 즉, label 갯수에 따라 기하 급수로 time series 갯수가 증가하는 구조이다.

•

Query, 특히 range query에는 가상의 데이터가 포함된다. scrape_interval 보다 step이 작을 경우 특히 그러하다.

•

Istio에는 metric 생성 주기에 영향을 주는 ‘듯’한 여러 parameter가 있다. 그러나 타 metric과 마찬가지로 결국 scrape_interval 에 맞춰 metric sample의 timestamp가 생성된다.

Prometheus Data Model

Data model | Prometheus

An open-source monitoring system with a dimensional data model, flexible query language, efficient time series database and modern alerting approach.

https://prometheus.io/docs/concepts/data_model/

Prometheus의 모든 데이터는 time series로 이루어지며, Time series는 Time series identifier와 Samples로 구성되어, 각 Time series Identifier 마다 단일 time series 생성된다. 단, Query를 위해 임시 time series를 생성할 수도 있다.

이미지 출처: https://training.promlabs.com/training/introduction-to-prometheus/prometheus-an-overview/time-series-data-model/

Time series identifier

Metric name와 key/value 쌍으로 이루어진 Metric label의 집합.

•

notation: <metric name>{<label name>=<label value>, ...}

Prometheus metric에 관한 몇몇 특성 및 Istio의 metric interval에 관하여

S/W 엔지니어

Prometheus

Istio

2024/08/08

Ambient mode에서의 Istio 구조. 에서 자세히 논한다.

Introduction

Istio Ambient mode에 대한 요약이다. (비공식적으로) Sidecar-less mode로도 불리는 Istio Ambient mode는 최근에 와서야 베타 버전이 된 기능이지만, Istio 전반의 구조 변경과 함께 상당한 성능 향상을 이끄는 중요 업데이트이다.

참조한 문서는 글 내부 및 에 달았다.

Summary

•

Ambient mode는 Sidecar mode 하의 Istio 기능을 계승하면서, 더 빠르고 더 적은 리소스를 사용한다. 특히 메모리 사용량 개선은 극적이다.

•

Ambient mode에서는 DaemonSet 인 Ztunnel(L4 대응)과 Deployment 인 Waypoint (L7 대응)가 Istio-proxy sidecar를 대신한다.

•

Waypoint 는 Kubernetes Gateway API의 Gateway 를 통해 Namespace 단위로 생성하는 것이 기본이다. 이는 Waypoint 가 특정 workload 군에 대한 gateway 역할도 함께함을 의미한다.

Why Ambient mode? (over Sidecar mode)

Ambient mode의 목표는 Sidecar mode 하의 Istio 기능 계승과 함께(공식 문서의 두 번째 단락 참조. “mixed mode에 대한 seamless interoperation”은 이를 암시한다), 전체적 구조 변경을 통한 전반의 성능 개선으로 보인다.

왜 Ambient란 이름이 붙었는지는 모르겠는데 어쨌건 Sidecar-less란 비공식 명칭에서 이를 더 유추하기가 좋다. Sidecar mode의 단점(app과의 lifecycle coupling, 중복 및 사전 예약 resource 요구 등)을 제거한 무엇이겠다는 생각으로 자연스럽게 이어지기 때문이다.

아래 링크는 Sidecar mode에 비해 더 작은 duration, 더 적은 리소스로 동작한다는 제 3자의 테스트 결과로, 특히 메모리 사용량 개선은 극적이다.

LiveWyer | Service Meshes Decoded Part Two: Is Istio Ambient worth it?

Is Istio Ambient worth it? | Discovering the fastest service mesh and sharing our comparison experience

https://livewyer.io/blog/2024/06/06/comparison-of-service-meshes-part-two/

Istio Internals: Ambient mode

S/W 엔지니어

Istio

Service Mesh

Ambient mode

Ambient Mesh

Kubernetes Gateway API

API Gateway

Death Star Architecture

2024/06/11

TLS traffic에 대한 Envoy filter chain의 구조. 에서 자세히 논한다.

Introduction

대표적 Service Mesh 제품인 Istio에 대한 overview로 Kubernetes를 배경으로 설명한다.

, Istio overview: Observability 및 Istio overview: Security 에 이어, 마지막으로 Istio의 확장성과 타 Service Mesh 제품에 대해 논한다.

참조한 문서는 글 내부 및 에 달았다.

Summary

•

Istio/Envoy에는 다수의 filter의 연결로 이루어진 Filter chain이 있어, 각 filter를 사용하여 request / response에 대한 다양한 부가적 action을 추가할 수 있다.

•

Envoy에는 다수의 configurable Built-In filters가 있어 별도 프로그래밍 없이도 다양한 요구에 대응이 가능하다.

•

Lua와 WebAssembly(WASM)을 사용하여 Built-In filters 이외의 사용자 정의 기능을 삽입 가능하다.

•

Istio 이외에도 Cilium, Linkerd, Kuma, Consul 등 Service Mesh 제품은 다양하다.

Istio의 확장성에 관하여

Istio에서의 확장은 Istio Proxy에 대한 확장을 의미하는데, 대부분의 Istio proxy 타 기능과 마찬가지로 Envoy에 크게 의존한다. Istio의 역할은 사실 상 Envoy 기능에 대한 interfaces 제공으로, EnvoyFilter 및 WasmPlugin Istio resource가 이들 interface에 해당한다.

Envoy Filter

Customizing Envoy configuration generated by Istio.

https://istio.io/latest/docs/reference/config/networking/envoy-filter/

Istio overview: Extensibility, Etc.

S/W 엔지니어

Istio

Service Mesh

Envoy

EnvoyFIlter

WASM

WebAssembly

2024/06/04

Istio의 사용자, 서비스 보안 구조. Zero Trust Architecture 에서 자세히 논한다.

Introduction

대표적 Service Mesh 제품인 Istio에 대한 overview로 Kubernetes를 배경으로 설명한다.

, Istio overview: Observability 에 이어 Security feature에 대해 다룬다(이후 Istio overview: Extensibility, Etc. 로 이어 진다).

참조한 문서는 글 내부 및 에 달았다.

Summary

•

보안 관점에서 Istio는 ZTA(Zero Trust Architecture)를 추구하는 것으로 보인다.

•

Istio는 사용자 관점 보안으로 JWT/JWK 기반의 OIDC(OpenID Connect)를 지원한다.

•

Istio는 서비스 관점 보안으로 mTLS 및 SPIFFE(Secure Production Identity Framework for Everyone)를 지원한다.

•

AuthorizationPolicy 를 통해 L7 수준에서 access control이 가능하다.

Zero Trust Architecture

Security

Describes Istio's authorization and authentication functionality.

https://istio.io/latest/docs/concepts/security/

Istio는 ZTA(Zero Trust Architecture)를 추구하는 것으로 보이는데, 실제 위 공식 문서는 Zero Trust network를 언급한다. 이는 Istio가 multi clusters 및 외부 host가 포함된 환경도 지원함을 고려하면 충분히 이해되는 부분이다(이들 환경에서는 traffic이 보호되지 않거나 보안 정책이 상이한 구간을 지나기 마련이다).

Istio overview: Security

S/W 엔지니어

Istio

SPIFFE

mTLS

Service Mesh

OIDC

JWT

OAuth2

2024/06/02

Body

Summary

Time series identifier

Summary

Why Ambient mode? (over Sidecar mode)

Summary

Istio의 확장성에 관하여

어쨌건간에 흘러가는 者

Who and Why am I here?

My Cluster & its assets

최근 글

Prologue

Prologue

시험 구성 & 공략

공부 기간 & 방법

Introduction

Motivation

Introduction

Summary

Prometheus Data Model

Introduction

Introduction

Introduction

Summary

Zero Trust Architecture

카테고리 별 글