Ssoon
[8주차] 가상 머신 워크로드를 Mesh 에 통합 : 에이전트 동작 사용자 지정 본문
CloudNet@ 가시다님이 진행하는 Istio Hands-on Study [1기]⚙️ Istio-Agent 동작 커스터마이징하기
🌐 Istio-Agent 설정 옵션
- istio-agent는 service mesh 내에서 sidecar proxy의 동작을 제어하며, 다음과 같은 설정을 커스터마이징할 수 있습니다:
- 로깅: 로그 출력 레벨과 형식을 조정합니다.
- 인증서 관리: 인증서의 수명(TTL)을 설정합니다.
- 기타 동작: 프록시의 세부 동작을 조정합니다.
- 예시로, 다음 두 가지를 변경해 보겠습니다:
- DNS proxy의 로깅 레벨을 debug로 설정해 더 자세한 로그를 확인합니다.
- 인증서 수명을 12시간으로 줄입니다.
- 이러한 설정은 /var/lib/istio/envoy/sidecar.env 파일을 수정해 적용합니다.
istio-agent는 로깅, 인증서 수명 등 다양한 설정을 커스터마이징할 수 있습니다.
🛠️ Sidecar 설정 수정
- DNS proxy의 로깅 레벨을 debug로 설정하고, 인증서 수명을 12시간으로 변경하려면 /var/lib/istio/envoy/sidecar.env 파일에 다음 내용을 추가하거나 수정합니다:
root@forum-vm:~# echo 'ISTIO_AGENT_FLAGS="--log_output_level=dns:debug"' >> /var/lib/istio/envoy/sidecar.env
root@forum-vm:~# echo 'SECRET_TTL="12h0m0s"' >> /var/lib/istio/envoy/sidecar.env
root@forum-vm:~# grep "^[^#]" /var/lib/istio/envoy/sidecar.env
ISTIO_AGENT_FLAGS="--log_output_level=dns:debug"
SECRET_TTL="12h0m0s"- ISTIO_AGENT_FLAGS: --log_output_level=dns:debug는 DNS proxy의 로그를 debug 레벨로 설정합니다.
- SECRET_TTL: 인증서 수명을 12시간(12h0m0s)으로 지정합니다.
sidecar.env 파일을 수정해 DNS proxy 로깅 레벨과 인증서 수명을 설정합니다.
🔄 Istio 서비스 재시작
- 설정 변경을 적용하려면 istio-agent 서비스를 재시작해야 합니다. VM에서 다음 명령어를 실행합니다:
root@forum-vm:~# systemctl restart istio- 재시작 후, DNS proxy의 debug 로그가 생성되기 시작합니다. 또한, 인증서가 갱신될 때 새로운 인증서의 만료 시간이 12시간으로 설정됩니다.
변경된 설정을 적용하기 위해 istio 서비스를 재시작합니다.
✅ 변경 사항 확인
- 설정 변경이 적용되었는지 확인하려면 다음 단계를 수행합니다:
- DNS proxy 로그 확인: debug 레벨 로그가 생성되었는지 확인합니다. 로그는 /var/log/istio/istio.log에 저장됩니다:
root@forum-vm:~# tail -f /var/log/istio/istio.log
2025-05-26T07:23:01.762133Z debug dns response for hostname "www.google.com." not found in dns proxy, querying upstream
2025-05-26T07:23:01.763795Z debug dns upstream response for hostname "www.google.com." : ;; opcode: QUERY, status: NOERROR, id: 34565
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.google.com. IN AAAA
;; ANSWER SECTION:
www.google.com. 131 IN AAAA 2404:6800:400a:804::2004- debug 레벨의 DNS 관련 로그가 표시됩니다.
- 인증서 만료 시간 확인: 인증서 갱신 후, /etc/certs/cert-chain.pem 파일의 만료 시간을 확인합니다. 갱신 시점이 되지 않았다면, 다음 갱신 주기를 기다려야 합니다.
root@forum-vm:~# openssl x509 -in /etc/certs/cert-chain.pem -noout -enddate
notAfter=May 26 19:17:07 2025 GMTdebug 로그와 인증서 파일을 확인해 설정 변경이 적용되었는지 검증합니다.
📌 핵심 요약
- 설정 옵션: istio-agent는 로깅 레벨, 인증서 수명 등 다양한 설정을 지원합니다.
- 설정 수정: sidecar.env 파일에 dns:debug와 SECRET_TTL=12h를 추가해 DNS proxy 로깅과 인증서 수명을 변경합니다.
- 서비스 재시작: 변경 사항을 적용하기 위해 istio 서비스를 재시작합니다.
- 변경 검증: debug 로그와 인증서 파일을 확인해 설정이 올바르게 적용되었는지 확인합니다.
- 추가 참고: Istio 문서에서 모든 설정 옵션을 확인할 수 있습니다.
'Istio Hands-on Study [1기]' 카테고리의 다른 글
| [8주차] Istio Traffic Flow : IP테이블 조작 분석 (0) | 2025.05.28 |
|---|---|
| [8주차] 가상 머신 워크로드를 Mesh 에 통합 : Mesh 에서 WorkloadEntry 제거 (0) | 2025.05.26 |
| [8주차] 가상 머신 워크로드를 Mesh 에 통합 : DNS Proxy 이해 (0) | 2025.05.26 |
| [8주차] 가상 머신 워크로드를 Mesh 에 통합 : VM으로 Mesh 확장 (0) | 2025.05.26 |
| [8주차] 가상 머신 워크로드를 Mesh 에 통합 : Istio의 VM 지원 (0) | 2025.05.26 |
'Istio Hands-on Study [1기]' Related Articles
more
Comments