[Istio] IngressGateway 에 TLS 를 적용해보자!

 

 

Istio (이하 이스티오) 는 쿠버네티스의 대표적인 서비스 메쉬 소스입니다. 뿐만 아니라 이스티오는 인그레스 컨트롤러도 제공해주기 때문에 Nginx 와 같은 별도의 인그레스 컨트롤러가 필요 없어요.

 

이번 글에서 Istio 의 핵심 자원인 IngressGateway 에 TLS 를 적용시켜 보고자 합니다!

Istio 를 설명하는 글이 아니기 때문에 Gateway, VirtualService 와 같은 리소스에 대한 설명은 하지 않겠습니다.

 

그럼 렛츠두더코드~

 

실습 환경은 아래와 같아요.

• 쿠버네티스 v1.26.2
• 이스티오 v1.17.2

 

공식 문서에 나와있는 예제는 불필요한 내용이 많아서 딱 필요한 부분만 실습하려고 합니다.

만약 더 자세한 정보가 궁금하다면 여기를 참고해주세요.

 

TLS 를 적용 할 것이기 때문에 가장 먼저 개인키(key)와 인증서(crt) 를 생성해줍시다.

# 2048 비트의 RSA 키 생성
openssl genrsa -out tls.key 2048 

# 생성한 key 가지고 crt 생성
openssl req -new -x509 -sha256 -key tls.key -out tls.crt -subj "/CN=kingbj0429.com/O=kingbj0429 organization"

 

Organization 은 아무거나 해주셔도 상관 없지만 반드시 CN(Common Name) 은 사용할 도메인을 명시합니다.

 

개인키와 인증서를 생성했습니다.

개인키와 인증서

 

정석적으로 접근해보면, 우선 개인키와 CSR (Certificate Sigining Resquest) 를 생성한 후, CA 를 통해서 CRT 를 받아야 합니다.
Cert-Manager 이용하는 편이 훨씬 수월합니다.

 

이제 생성한 TLS 를 쿠버네티스에 시크릿 리소스로 생성합니다. 

참고로 쿠버네티스 리소스에 대한 TLS 는 모두 시크릿으로 관리됩니다. 여기 참고

k create -n istio-system secret tls kingbj0429-tls --key tls.key --cert tls.crt

 

시크릿은 CLI 명령어로 생성해야 인코딩으로 인한 실수를 줄일 수 있습니다.
또한 반드시 istio-system 네임스페이스에 생성해주세요.

 

 

준비는 다 끝났습니다. 그럼 이제 예제 리소스를 생성해보죠.

apiVersion: networking.istio.io/v1alpha3
kind: Gateway
metadata:
  name: bookinfo-gateway
spec:
  selector:
    istio: ingressgateway 
  servers:
  - port:
      number: 443
      name: https
      protocol: HTTPS
    tls:
      mode: SIMPLE
      credentialName: kingbj0429-tls
    hosts:
    - "*"
---
apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: bookinfo
spec:
  hosts:
  - "*"
  gateways:
  - bookinfo-gateway
  http:
  - match:
    - uri:
        exact: /productpage
    - uri:
        prefix: /static
    - uri:
        exact: /login
    - uri:
        exact: /logout
    - uri:
        prefix: /api/v1/products
    route:
    - destination:
        host: productpage
        port:
          number: 9080

 

.spec.servers[].tls 를 잠깐 설명하자면 mode 는 반드시 SIMPLE 로 하고, credentialName 은 방금 전 생성한 시크릿의 이름으로 해줍니다. 시크릿은 istio-system 네임스페이스에 적용했지만 예제 리소스의 네임스페이스는 아무곳이나 상관없어요.

 

Gateway 에 대한 설명은 여기 참고

VirtualService 에 대한 설명은 여기 참고

 

그리고 여기 예제를 쿠버네티스에 배포해줍니다. 이스티오에서 제공해주는 예제 파일들이며, TLS 연결에 대해 테스트할 때 필요한 파드입니다.

 

리소스 생성도 모두 끝났습니다. 그럼 이제 TLS 가 잘 적용되었는 지 확인해보죠.

 

우선 ingressgateway 의 포트를 확인해봅니다.

k get svc -n istio-system

 

아마 istio-ingressgateway 를 기본값으로 생성했다면 TYPE 이 LoadBalancer 일텐데 저는 로컬에서 진행되기 때문에 NodePort 로 바꿔주었고, 각각의 프로토콜에 맞는 타겟포트들이 지정 되어 있습니다.

istio-ingressgateway

 

TLS 를 사용할 것이기 때문에 443:30407 로 접근할 것입니다. 

 

저 같은 경우 ingressgateway 파드는 k8s-worker-1 에 배포되어 있고, k8s-worker-1 의 ip 는 192.168.0.127 입니다.

따라서 https://192.168.0.127:30407 로 접근하면 될 거 같아요!

 

매번 쓰기 귀찮으니 환경변수로 등록해주었어요.

export INGRESS_HOST=192.168.0.127 # istio-ingressgateway 가 띄어져 있는 노드의 ip
export SECURE_INGRESS_PORT=30407

 

그럼 이제 요청을 보내보죠.

curl https://kingbj0429.com:$SECURE_INGRESS_PORT/api/v1/products -k -v --resolve kingbj0429.com:$SECURE_INGRESS_PORT:$INGRESS_HOST

 

 curl 명령어 옵션에 대해 잠깐 설명하면, 

-k : 인증서가 진짜인지, 가짜인지 신경 안씀

-v : verbose 로 디테일한 정보를 보여줌

--resolve : kingbj0429.com:$SECURE_INGRESS_PORT 로  오는 도메인 질의는 $INGRESS_HOST 로 해석할거임

 

요청 결과

 

성공적으로 응답이 왔습니다.

 

하지만 지금으로는 뭔가 살짝 아쉬워요. 웹 브라우저에서 접근하려면 아래와 같이 IP 로 접근해야해요. 도메인이 가짜이니깐요.

 

IP 를 외우기 귀찮으니 맥의 hosts 를 잠깐 손봐줄게요.

sudo vim /etc/hosts

 

hosts 파일을 수정하고 DNS 의 캐싱을 지웁니다.

sudo killall -HUP mDNSResponder

 

그럼 이제 브라우저에서도 도메인으로 접근할 수 있어요!

 

 

인증서가 가짜이기 때문에 주의 요함은 없어지지 않지만 실제 인증된 도메인을 구매하면 잘 동작할 것 같네요!

 

 

오늘은 Istio Ingressgateway 에 TLS 적용하는 방법에 대해 알아봤습니다. 

 

그럼 오늘은 여기까지!