[Service Mesh] 2. Envoy Proxy

Service Mesh 알아보기

1. [Service Mesh] 1. Service Mesh란?
2. [Service Mehs] 2. Envoy Proxy
3. [Service Mesh] 3. Istio?
4. [Service Mesh] 4. Istio Traffic Management (1) - Virtual Service & Destination Rule
5. [Service Mesh] 5. Istio Traffic Managerment (2) - Gateway & Service Entry
6. [Service Mesh] 6. Service Monitoring in Istio
7. [Service Mesh] 7. Logging

---

이번 글에서는 Service Mesh에서 Sidecar로 주로 사용되고 있는 Envoy Proxy에 대해서 알아보겠습니다. 

Envoy?

Envoy는 L7 프록시로 현대의 서비스 기반 아키텍처를 위해 만들어졌습니다. Envoy는 다음과 같은 기능을 제공하여 어플리케이션에 대한 투명한 네트워크를 제공합니다. 

Out of Process Architecture
Envoy는 어플리케이션 서버와 함께 실행되도록 설계된 self-contained 프로세스입니다. 각 Envoy는 투명한 네트워크를 형성하고 각 애플리케이션은 Localhost과 메세지를 주고받습니다. 이 때, 애플리케이션은 네트워크 토폴로지에 대해 알지 못한 상태입니다. Out of Process 아키텍처는 다음과 같은 장점을 가질 수 있습니다.

• Envoy는 애플리케이션에 사용된 언어에 상관없이 동작하게 됩니다.
• Envoy는 빠르게 배포되고 업그레이드 될 수 있습니다.

L3/L4 Filter Architecture
Envoy의 핵심은 L3/L4 네트워크 프록시입니다. 플러그인 방식의 필터 체인을 통해 TCP/UDP 프록시 작업을 수행 및 삽입할 수 있습니다.

HTTP L7 Filter Architecture
Envoy는 L3/L4 계층 이외에도 L7 네트워크 프록시도 지원합니다. 이를 통해 QoS와 같은 좀 더 세밀한 제어가 가능합니다.

HTTP/2 & gRPC
HTTP/2 및 gRPC를 지원함으로써 요청과 응답을 멀티플렉싱할 수 있는 환경을 제공합니다.

Service Discovery & Dynamic Configuration
동적으로 변경하는 네트워크 환경에 대한 동적 설정 및 이를 통한 서비스 디스커버리를 제공합니다. 

---

작동 방식

다음으로 메세지 처리 구조를 간단하게 살펴보겠습니다. Envoy는 다음과 같은 순서로 메세지를 처리합니다.

Downstream ⇒ Listener ⇒ Filter ⇒ Cluster(Upstream)

• Downstream : Envoy에게 요청을 보내는 호스트를 의미합니다.
• Listener : Downstream에게 요청을 받는 부분을 의미합니다. Envoy는 하나 이상의 Listener을 노출하여 Downstream과 연결됩니다.
• Filter : 수신된 메시지에 대해 라우팅, 프로토콜 변환, 통계 생성과 같은 다양한 작업을 수행하는 부분을 의미합니다.
• Upstream : Envoy가 요청을 보내는 호스트를 의미합니다.
• Cluster : Upstream 호스트의 그룹을 의미합니다.

---

Envoy 실행 (Docker)

Docker를 통해 Envoy Proxy를 간단하게 실행시켜 보도록 하겠습니다. Docker Image를 통해 Envoy를 쉽게 실행할 수 있습니다. 먼저 Envoy Docker Image를 Pull 받습니다. 이 때, latest tag가 존재하지 않으니 Envoy 문서를 확인하여 필요한 태그명을 사용하시길 바랍니다.

> docker pull envoyproxy/envoy:v1.16-latest

다음으로 Envoy 실행에 사용되는 envoy.yaml 파일을 확인해보면 다음과 같다.

admin:
  access_log_path: /tmp/admin_access.log
  address:
    socket_address:
      protocol: TCP
      address: 0.0.0.0
      port_value: 9901
static_resources:
  listeners:
  - name: listener_0
    address:
      socket_address:
        address: 0.0.0.0
        port_value: 10000
    filter_chains:
    - filters:
      - name: envoy.filters.network.http_connection_manager
        typed_config:
          "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager
          stat_prefix: ingress_http
          access_log:
          - name: envoy.access_loggers.file
            typed_config:
              "@type": type.googleapis.com/envoy.extensions.access_loggers.file.v3.FileAccessLog
              path: /dev/stdout
          http_filters:
          - name: envoy.filters.http.router
          route_config:
            name: local_route
            virtual_hosts:
            - name: local_service
              domains: ["*"]
              routes:
              - match:
                  prefix: "/"
                route:
                  host_rewrite_literal: www.envoyproxy.io
                  cluster: service_envoyproxy_io
  clusters:
  - name: service_envoyproxy_io
    connect_timeout: 30s
    type: LOGICAL_DNS
    # Comment out the following line to test on v6 networks
    dns_lookup_family: V4_ONLY
    load_assignment:
      cluster_name: service_envoyproxy_io
      endpoints:
      - lb_endpoints:
        - endpoint:
            address:
              socket_address:
                address: www.envoyproxy.io
                port_value: 443
    transport_socket:
      name: envoy.transport_sockets.tls
      typed_config:
        "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContext
        sni: www.envoyproxy.io

간단하게 설정 내용을 살펴보도록 하겠습니다.

• admin
  envoy admin 페이지 설정으로 address를 통해 접속 가능한 IP를, port를 통해 admin page의 port를 설정합니다.

docker를 통해 실행할 경우, 127.0.0.1은 bridge network의 localhost를 의미하기 때문에 모든 IP를 허용하는 0.0.0.0로 변경하였습니다.

• listeners
  리스너가 수신할 포트와 주소에 대한 설정을 나타냅니다.
• filter_chains
  수신한 메세지를 처리할 filter에 대한 설정값으로 현재 설정값은 / 경로로 가는 모든 요청을 service_envoyproxy_io로 라우팅하게 됩니다.
• clusters
  envoy가 요청을 보낼 호스트로 현재 설정값은 envoyproxy.com으로 라우팅 하도록 설정되어 있습니다.

Envoy Container 실행

위에서 적용했던 admin 변경 사항을 적용한 설정파일을 마운트하여 컨테이너를 실행합니다. 저는 docker run의 -v 옵션으로 마운트를 시도했으나 envoy에 대한 설정값 위치를 찾는 것이 번거로워 새로운 이미지를 만들어서 진행하였습니다.

Dockerfile

FROM envoyproxy/envoy:v1.16-latest
COPY envoy.yaml /etc/envoy/envoy.yaml
RUN chmod go+r /etc/envoy/envoy.yaml

 

Image Build & Run

> docker build -t envoy:local .
> docker run --rm -d -p 10000:10000 -p 9901:9901 envoy:local

 

localhost:10000(Envoy Listener)으로 접속한 결과는 다음과 같습니다. 위의 설정에서 /으로 보내지는 모든 요청은 envoyproxy.io로 보내도록 설정하였기 때문에 envoyproxy.io 홈페이지가 나온 모습을 확인할 수 있습니다.

Envoy Proxy Test

localhost:9901(Envoy Admin)에 접속한 결과는 다음과 같습니다.

Envoy Admin

 

이번 글에서는 Service Mesh에서 Sidecar Proxy로 사용되는 Envoy에 대해서 알아보고 간단하게 Docker를 사용하여 실행시켜 보았습니다. 다음 글에서는 Service Mesh 플랫폼인 Istio에 대해서 알아보도록 하겠습니다. 

참고자료

1. Istio로 시작하는 서비스 메시 - 에이콘 출판사
2. Envoy Document