week4

[ByeongHunKim]

1. Issue 및 PR 체크

2. istio-monitor-operator 간략하게 공유 Repository

---

차주 논의

• CCWeek 관련
  • 직접 만나는 날짜 논의
  • Cloud Club 6기 시즌1 스터디 중간점검 -> 회고 구글폼 작성
  • 미션 가을 제철 음식 먹기

[ByeongHunKim]

Istio custom resource들이 어떻게 mesh logic으로 변하는가?

• xDS API 에 대한 학습을 아직 못했네요
• 코드 를 보고 새로운 configuration이 있을 때마다 호출됨으로써 동기화되는 과정을 찾고 있습니다

Envoy Proxy가 어떻게 트래픽을 가로채는가?

• istio-init container가 pod의 iptables rule을 수정함으로써 트래픽을 리다이렉트하는 부분은 이해한 상태이나 iptables 와 netfilter와 같은 기초가 부족한 상태
• JIMMY SONG - Understanding IPTables 를 읽어보겠습니다

Istio의 Custom Resource들이 mesh logic으로 변환된 이후 적용 순서가 어떻게 보장 되는가?

• 이 이슈는 아직 진행하지 못했네요
• 아마 첫번째 Istio custom resource들이 어떻게 mesh logic으로 변하는가? 를 해결하면서 알게될 것 같네요

Envoy Proxy가 Application Pod에 injection 되는 상세 과정은?

• Mutating Admission Webhook의 개념
• admission controller 쪽을 아직 확인을 못했네요

Istio init container 와 pause container의 연관성

• 아직 제대로 보진 못했지만 pause container는 pod 네트워크 설정을 필수적으로 하는거라 istio injection과는 관련없이 동작하는 정도로 이해한 상태네요. pause container가 먼저 실행됩니다

[opp-13]

iptables traffic hijacking에서 iptables 몇 계층까지 처리 되는지?

• 이 부분은 ip tables 구조 상 L5까지 들어가진 않는 것으로 알고 있습니다. 다만 L4계층은 확실히 처리된다고 할 수 있습니다.

위의 그림에서 INPUT 체인을 트리거하는 Netfilter의 NF_IP_LOCAL_IN 후에 ip_local_deliver_finish 함수가 있는데 그 함수의 주 업무는 입력된 ip 패킷 헤더의 protocol 필드를 기반으로 해서 적절한 프로토콜 헨들러를 찾고 핸들러에게 패킷을 전달하는 역할을 가집니다. 즉 L3에서 L4로 패킷을 전송하는 역할을 가지고 있고 커널에서 NF_HOOK함수에 인자로 ip_local_deliver_finish 함수가 담겨서 실행되기 때문에 L4계층까지는 확실히 처리 된다고 할 수 있습니다.

다만 NF_HOOK함수는 아직 살펴보지 않아서 엄밀한 의미의 iptables 동작은 확인 못 했습니다.
iptables는 결국 netfilter hook이 걸릴 때마다 호출되는데 이 페이지도 같이 보시면 좋을 듯 합니다.

Iptables에서 NAT(SNAT) 테이블이 INPUT 체인을 정확히 어느 상황에서 쓰는지?

• SNAT 사용 시 Incoming packet의 출처가 로컬호스트거나 목적지가 로컬호스트면 INPUT Chain에 걸립니다.
• 정확한 건 커널 코드를 일일이 뜯어보는 건데 이 부분은 시간이 많이 걸릴 것 같습니다.

[ByeongHunKim]

todo

• 성호님 Iptables 정리 보기, JIMMY Iptables도 함께보기
• xDS API 호출 부분 학습
• 코드 단에서 configuration 어떻게 참조하여 proxy 한테 전파하는 지 이해하기