Istiod

Istiod는 서비스 메쉬 플랫폼인 Istio에서 1.5 버전부터 새롭게 도입된 통합 컴포넌트로, 기존의 개별 구성요소였던 Pilot, Citadel, Sidecar Injector 등을 하나로 합친 Istio의 “제어 플레인(Control Plane)” 역할을 수행합니다. Istiod가 등장하기 전 Istio는 여러 개의 마이크로서비스 형태의 제어 플레인 컴포넌트로 구성되어 있었는데, Istiod를 통해 이러한 컴포넌트가 단일 바이너리로 통합되었습니다. 이를 통해 배포·업그레이드 과정을 단순화하고, 운영 복잡도를 줄이는 것이 주요 목표입니다.

Istio의 주요 기능

1. 서비스 디스커버리(Service Discovery)
   • Istio 사이드카(Envoy 프록시)가 네트워크 상에서 트래픽을 보낼 수 있도록 클러스터 내 서비스, 엔드포인트, 워크로드 정보를 수집 및 관리합니다.
   • 적절한 라우팅 규칙이 반영된 Envoy 구성 정보를 사이드카 프록시에 전송(Push)합니다.
2. 구성 관리(Configuration Management)
   • 가상 서비스(VirtualService), 게이트웨이(Gateway), 드루이드(DestinationRule) 등의 Istio 리소스들을 분석하고, Envoy 프록시에 적용할 수 있는 형태의 설정으로 변환해 줍니다.
   • 한 번에 여러 마이크로서비스를 서로 다른 규칙으로 제어해야 할 때 중앙에서 일괄적으로 제어할 수 있도록 합니다.
3. 보안(Security)
   • 이전에는 Citadel이 담당하던 인증서 발급, 키 및 인증서 회전(Rotation) 기능이 Istiod 내부로 통합되었습니다.
   • 워크로드 간 TLS 연결을 위한 SPIFFE 기반의 워크로드 ID 발급 및 인증서를 자동으로 관리하여 보안 수준을 높입니다.
4. 사이드카 주입(Sidecar Injection)
   • 과거에는 Sidecar Injector라는 별도 컴포넌트가 있었으나, Istiod에 통합되었습니다.
   • 애플리케이션 파드(pod)가 생성될 때 자동으로 Envoy 사이드카가 주입될 수 있도록 Kubernetes의 뮤테이팅 웹훅(Mutating Webhook) 등을 사용하여 파드를 변환합니다.

Istiod가 제공하는 이점

1. 운영 단순화
   • 여러 컴포넌트로 나뉘어 있던 제어 플레인을 통합함으로써, 버전 호환성 문제나 각 컴포넌트별 배포·설정 복잡도가 크게 감소합니다.
   • 별도의 Citadel, Pilot, Injector를 개별적으로 운영·업데이트할 필요가 없어집니다.
2. 리소스 사용량 절감
   • 여러 프로세스를 운영할 때 발생했던 중복 리소스 사용이나 네트워크 통신 오버헤드를 줄일 수 있습니다.
3. 배포 및 업그레이드 용이성
   • Istio 제어 플레인을 단일 바이너리로 배포하기 때문에 설치 및 업그레이드 과정이 한층 간단해졌습니다.
   • 관리자 입장에서는 단일 컴포넌트에만 집중해 버전을 올리고 모니터링하면 되므로 메인터넌스가 용이해집니다.
4. 확장성
   • Istio가 멀티클러스터나 다양한 형태의 인프라 환경을 지원할 때, Istiod로 통합된 제어 플레인이 확장 로직을 비교적 단순한 형태로 유지할 수 있습니다.

Istiod 아키텍처

┌─────────────────────────────────────────┐
│             Istiod (Control Plane)      │
│                                         │
│  ┌──────────┐    ┌────────────┐         │
│  │ XDS API  │    │ CA (Citadel)│        │
│  └──────────┘    └────────────┘         │
│   (Pilot)        (보안 기능)              │
└─────────────────────────────────────────┘
                     ↑        ↓
  ┌─────────────────────────────────────────┐
  │        Envoy Sidecar Proxies            │
  │        (Data Plane)                     │
  └─────────────────────────────────────────┘

• Istiod 내부에는 Envoy에 필요한 XDS API(Pilot 기능), 인증서/키 관리(Citadel 기능) 등이 하나로 합쳐져 있습니다.
• 파드가 생성될 때 사이드카 주입을 위한 웹훅이 동작하여 Envoy 프록시 컨테이너를 함께 배치합니다.

마무리

Istiod는 Istio의 제어 플레인을 통합한 컴포넌트로, Istio 1.5부터 기존 Pilot, Citadel, Sidecar Injector 등의 기능을 모두 단일 프로세스 안에 포함하게 되었습니다. 이를 통해 Istio의 설치 및 운영이 훨씬 단순해졌으며, 보안·서비스 디스커버리·인증서 발급 등 서비스를 실제로 제어하는 핵심 로직을 한 곳에서 집중적으로 관리합니다. 또한 Envoy 프록시에 필요한 설정, 인증서, 라우팅 정책 등을 배포하고, Kubernetes 환경에서 자동으로 사이드카가 주입되도록 지원하여 서비스 메쉬를 보다 쉽게 구축하고 운영할 수 있게 합니다.