오픈소스 API 게이트웨이 Kong
#3 쿠버네티스 Kong
조대협 (http://bcho.tistory.com)
Kong Kubernetes
API 게이트웨이가 마이크로서비스의 중요 컴포넌트이다 보니, Kong이 마이크로 서비스에 적합한 K8S (aka. 쿠버네티스)에 어떻게 적용될 수 있는지가 궁금해서 아키텍쳐 관련 설명 내용을 찾아보았다. https://konghq.com/blog/kong-kubernetes-ingress-controller/ (아래 그림은, 이 동영상에서 캡춰하여 사용하였다.) 에 보면 Kong summit에서 발표된 영상이 있는데, 정리가 매우 잘되어 있다.
기본 컨셉을 먼저 요약해보자면, Kong의 리소스들은 K8S의 리소스로 등록되어 사용되게 된다. API 게이트 웨이는 Ingress로 등록되고, Plugin들은 CRD (Kubernetes Custom Resource Definition)으로 등록되어 적용된다. 즉 별도의 Kong 설정을 하는 것이 아니라 쿠버네티스 리소스로 쿠버네티스 아키텍쳐에 따라서 등록이 된다는 이야기이다. 별도의 서비스나 서버를 기동하는 것이 아니라 K8S의 일부로 사용할 수 있도록 하고 있다. (동영상에서도 나오지만 Kong이 K8S 1’st citizen임을 계속 강조하고 있다.)
Kong의 쿠버네티스내의 배포 아키텍쳐는 다음과 같다.
먼저 관리 서버 부분인 Control plane과, API 게이트 웨이 부분인 Data plane으로 나뉘어 진다.
Control plane에는 Ingress controller가 있고, 이는 K8S의 API 서버와 통신을 통해서 명령을 받는다. 그리고 이 설정 정보를 psql 데이타 베이스에 저장한다.
저장된 설정 정보는 Data plane 즉, API 게이트웨이 인스턴스에 반영이 된다.
(만약에 psql이 죽어도 dataplane에 있는 프록시는 설정을 저장하고 있기 때문에 문제 없다.)
Kong의 리소스 맵핑
그러면 Kong API 게이트웨이에서 사용하는 리소스들은 어떻게 쿠버네티스 리소스로 맵핑이 될가?
쿠버네티스의 리소스를 Kong의 리소스로 맵핑(Translate) 해서 서비스 한다.
아래는 Kong에서 사용하는 리소스들이다.
이를 쿠버네티스 리소스로 맵핑한것은 다음과 같다.
Route는 Ingress rule로 맵핑이 되고
Service 는 쿠버네티스의 Service로 맵핑 된다.
Target은 쿠버네티스의 pod가 되고
Upstream은 healthcheck와 LB로 정의 된다.
게이트웨이에서 사용되는 플러그인 (라우팅이나 RateLimiting, Logging, 인증등)은 K8S의 CRD로 정의되어 있다. CRD를 사용하게 되면 Ingress 에 반영되어서 사용된다.
아래는 Rate limiting 플러그인을 K8S에서 CRD로 정의해서 사용한 예제이다
플러그인 CRD들은 ingress에 붙어서 사용된다.
Ingress는 CRD와 함께 Limit rating, Logging, Routing등을 제공한다. 이러한 기능들은 대부분 Istio와 같은 Service mesh에도 있는데, Istio와 같은 서비스 메쉬와 비교할 경우, JWT 등 인증이 안되는 부분이 있는데, 이 부분을 보면 다소 차이가 있다.
결론적으로 정리를 해보자면, Kong API 게이트웨이는 K8S에서는 Ingress로 정의되고, 플러그인은 CRD로 제공된다. Control Plane을 통해서 설정 정보가 저장되는 형태이다.
쿠버네티스에 Kong을 설치하는 가이드는 https://docs.konghq.com/install/kubernetes/ 있는데, 설치는 Helm이나 Kustomize로 도 가능한데, 데이타 베이스에 대한 내용을 보면, 다음과 같다.
"We recommend running Kong in the in-memory (also known as DB-less) mode inside Kubernetes as all the configuration is stored in Kubernetes control-plane. This setup drastically simplifies Kong’s operations as one doesn’t need to worry about Database provisioning, backup, availability, security, etc."
별도의 데이타 베이스 설치는 권장하지 않고, DB-less 모드로 설정하기를 권장하고 있다.
YAML 파일로 설정을 정의해서 변경할 경우, 설정이 어떻게 전체 게이트웨이로 전파가되는지 등은 실제 테스트를 해봐야 알 수 있을듯
'클라우드 컴퓨팅 & NoSQL > 도커 & 쿠버네티스' 카테고리의 다른 글
Istio Traffic management (2) | 2019.12.12 |
---|---|
API 게이트 웨이 & Google Cloud Endpoints (1) | 2019.11.19 |
Kong API gateway #2 - 간단한 아키텍쳐와 API 테스트 (0) | 2019.11.11 |
쿠버네티스에서 도메인 이름 설정 방법 (0) | 2019.11.11 |
도커 볼륨 (0) | 2019.11.10 |