728x90
반응형
개요
Envoy Proxy는 Lyft에서 개발되고 CNCF(Cloud Native Computing Foundation)에 의해 관리되는 고성능 오픈소스 L7 프록시입니다. 서비스 메시, API Gateway, 로드 밸런서, 보안 게이트웨이 등 다양한 형태로 사용되며, gRPC, HTTP/2, TLS, mTLS 등의 최신 기술을 기본적으로 지원합니다. Istio, AWS App Mesh, Consul Connect 등 주요 서비스 메시 구현체의 핵심 구성 요소로 채택되고 있습니다.
1. 개념 및 정의
| 항목 | 내용 | 비고 |
| 정의 | 서비스 간 통신을 중계하고 제어하는 고성능 L7 프록시 | CNCF Graduation 프로젝트 |
| 설계 목적 | 마이크로서비스 간 신뢰성 있는 트래픽 중계, 로깅, 보안 처리 | 클라우드 네이티브에 최적화 |
| 주요 역할 | 로드 밸런싱, 라우팅, TLS 종단 처리, 정책 실행 | 동적 구성 가능 |
2. 특징
| 항목 | 설명 | 비고 |
| L3~L7 지원 | TCP, HTTP/1.1, HTTP/2, gRPC 등 계층 다양 | L7 필터 체인 구성 가능 |
| xDS API 기반 제어 | 모든 설정을 동적으로 API로 제어 가능 | Istio 등 컨트롤 플레인과 통합 |
| 서비스 디스커버리 | DNS, EDS 등 다양한 서비스 등록 방식 지원 | 외부/내부 서비스 모두 가능 |
| 필터 기반 구조 | 요청/응답 흐름에 다양한 필터 적용 가능 | 인증, 인가, 로깅 등 모듈화 가능 |
→ 유연하고 확장 가능한 구조 덕분에 다양한 유즈케이스에서 활용 가능
3. 구성 요소
| 구성 요소 | 설명 | 예시 |
| Listener | 외부 요청을 수신하는 포트 및 설정 | 0.0.0.0:10000 등 |
| Filter Chain | 수신 요청에 적용되는 처리 체계 | TLS, HTTP, JWT 검증 등 |
| Cluster | 요청을 전송할 백엔드 서비스 집합 | Service-A, External API 등 |
| Route | 요청을 어떤 Cluster로 보낼지 결정하는 규칙 | Path 기반 라우팅 등 |
| Control Plane(xDS) | Envoy 설정을 외부에서 동적으로 관리 | Istiod, Contour, AWS App Mesh 등 |
→ 구성 요소들이 조합되어 복잡한 네트워크 정책과 트래픽 제어 가능
4. 기술 요소
| 기술 요소 | 설명 | 적용 사례 |
| TLS/mTLS 지원 | 통신 구간 암호화 및 상호 인증 지원 | Zero Trust 아키텍처 구현 |
| gRPC 통신 최적화 | HTTP/2 기반 고성능 통신 | Microservices 및 AI 서비스에 적합 |
| WASM 필터 확장 | WebAssembly 기반 커스텀 필터 지원 | 인증, 트래픽 분석용 확장 개발 |
| Telemetry 수집 | OpenTelemetry, Prometheus, Access Logs 등 | 관측성 향상에 기여 |
→ DevSecOps, 관측성, 보안 중심 아키텍처에 필수 요소 제공
5. 장점 및 이점
| 항목 | 설명 | 기대 효과 |
| 고성능 네트워크 처리 | 비동기, 이벤트 기반 아키텍처 | 낮은 지연 시간, 높은 처리량 |
| 동적 구성 가능 | 설정을 API 기반으로 실시간 변경 가능 | 무중단 업데이트 실현 |
| 보안 강화 | TLS, 인증 필터, RBAC 등으로 보안성 향상 | 데이터 유출 방지 |
| 플랫폼 독립성 | 컨테이너, VM, Bare-metal 모두 적용 가능 | 클라우드/온프레미스 공통 운영 가능 |
→ 네트워크 계층에서 보안과 성능, 운영 효율성을 통합적으로 제공
6. 주요 활용 사례 및 고려사항
| 사례 | 설명 | 고려사항 |
| Istio 데이터 플레인 | 서비스 메시 내 각 Pod에 Envoy 배포 | 사이드카 오버헤드 고려 필요 |
| API Gateway 구성 | 외부 트래픽 수용 및 인증/제어 수행 | 필터 체인 설계 중요 |
| 로드 밸런서 대체 | L7 인텔리전스 기반 고급 라우팅 가능 | Legacy 시스템과의 연계성 확인 |
| 보안 게이트웨이 | mTLS 및 JWT 기반 보안 경계 구성 | 인증서/토큰 관리 필요 |
→ 배포 형태, 운영 목적에 따라 Envoy 설정 최적화 전략 수립 필요
7. 결론
Envoy Proxy는 현대적인 마이크로서비스 및 클라우드 환경에서 네트워크 보안, 가시성, 유연한 트래픽 제어를 통합적으로 제공하는 핵심 인프라입니다. 동적 구성과 고성능 구조, 다양한 확장 기능을 통해 DevOps와 보안 운영 팀 모두에게 높은 가치를 제공합니다.
728x90
반응형
'Topic' 카테고리의 다른 글
| Dapr(Distributed Application Runtime) (0) | 2025.10.25 |
|---|---|
| Istio Ambient Mesh (0) | 2025.10.24 |
| Sealed Secrets (0) | 2025.10.24 |
| External Secrets Operator (ESO) (1) | 2025.10.24 |
| PCEP(Path Computation Element Communication Protocol) (0) | 2025.10.24 |