[Istio] 쉿! 우리만의 비밀이야 - mTLS (검증편)

 

 

지난 글에서 Istio mTLS 에 대해 알아보았고, 적용도 해봤습니다. 또 Kiali 를 통해서 실제 mTLS 가 적용 되었는 지도 알아봤죠.

 

Kiali 에서 mTLS 가 적용됐다고 아이콘으로 표시를 해주긴 하는데 제 눈으로 직접 암호화가 되는지 확인하고 싶습니다.

 

그래서 이번 글에서는 Istio 공식 문서에서 제공해주는 예제와 tcpdump 를 이용해서 한번 확인해보죠!

 

렛츠두더코드~

 

 

들어가기 앞서 주의할 점이 있습니다!

istio-proxy container 에서 tcpdump 를 사용하려면 sudo 를 권한을 가질 수 있도록 privilege 를 true 로 주어야 합니다. 

 

따라서 아래 명령어를 통해 istio 를 설치합니다.

$ istioctl install --set values.global.proxy.privileged=true

 

Istio 공식 문서에 제공되는 예제를 전부 설치했는데 우선 평문을 확인하기 위해서 Istio 를 사용하지 않는 파드들을 배포했습니다.

 

httpbin 의 nginx container 에 접근해서 tcpdump 를 실행해보겠습니다.

 

이후 트래픽을 발생시켜서 패킷을 확인합니다. (아래 코드는 공식 문서에서 제공됨)

for from in "foo" "bar" "legacy"; do for to in "foo" "bar"; do kubectl exec "$(kubectl get pod -l app=sleep -n ${from} -o jsonpath={.items..metadata.name})" -c sleep -n ${from} -- curl http://httpbin.${to}:8000/ip -s -o /dev/null -w "sleep.${from} to httpbin.${to}: %{http_code}\n"; done; done

 

응답값이 JSON 형식의 {"origin" : "10.36.0.7"} 인 걸 확인할 수 있습니다.

완전한 평문이죠. 비밀번호라도 있었다면 그대로 노출될 위험이 있습니다.

 

mTLS 를 사용하지 않는다면 파드끼리는 평문으로 통신한다는 걸 알 수 있습니다.

 

그럼 Istio Proxy 를 사용해서 mTLS 가 적용되도록 해보죠.

READY 가 2/2 인 것을 보니 Istio Proxy Container 가 실행되고 있다는 걸 알 수 있습니다.

 

그럼 이번에도 컨테이너에 접근을 해보죠!

k exec -it -n foo httpbin-5c5944c58c-fqxcx -c istio-proxy -- bash

-c 옵션으로 istio-proxy 에 접근해야 합니다!!
istio-proxy 가 결국 암호화, 복호화를 해주기 때문에 httpbin container 에 접근해서 확인하면 여전히 평문으로 보입니다!!

 

 

위에서 privileged=true 를 해줬기 때문에 sudo 명령어를 사용할 수 있습니다.

 

뚜둔!! source 와 destination 을 비교해봤을 때 빨간색 네모가 우리가 찾는 데이터가 맞고, 실제로 암호화가 된 것을 확인 할 수 있습니다.

 

SSL Termination 으로 인해 서버끼리의 통신은 평문으로 되지만, mTLS 을 사용하면 아주 쉽게 인증서를 관리할 필요 없이 암호화를 통한 통신이 가능해집니다! Istio 의 핵심 기능답습니다.

 

예전부터 mTLS 를 사용하면 진짜 암호화가 되는지 궁금했는데, 이번 실습으로 궁금증이 풀렸네요!

 

그럼 오늘은 여기까지!