Post

사이드카(Sidecar)의 시대는 끝났다: eBPF가 커널을 해킹(?)해 인프라를 지배하는 방식

Posted
The End of the Sidecar Era: How eBPF Hacks the Kernel to Dominate Infrastructure
The End of the Sidecar Era: How eBPF Hacks the Kernel to Dominate Infrastructure
By
15 min read
사이드카(Sidecar)의 시대는 끝났다: eBPF가 커널을 해킹(?)해 인프라를 지배하는 방식

[References]

  • eBPF Official: https://ebpf.io/
  • Cilium Project: https://cilium.io/
  • eBPF Paper: “The BSD Packet Filter: A New Architecture for User-level Packet Capture” (McCanne & Jacobson)

🔥 솔직히 까놓고 말해봅시다. 쿠버네티스(Kubernetes) 환경에서 서비스 메시(Service Mesh) 한 번이라도 제대로 운영해 보신 분?

Istio나 Linkerd를 도입하고 나서, 파드(Pod)마다 거머리처럼 달라붙은 Envoy 사이드카(Sidecar) 프록시 때문에 메모리 사용량이 미친 듯이 치솟아 새벽에 PagerDuty 알람을 받아본 경험, 현업 실무자라면 분명 있으실 겁니다. 엔드포인트가 수천 개로 늘어나면 Kube-proxy가 쏟아내는 수만 줄의 iptables 룰 때문에 네트워크 레이턴시는 요동치고 디버깅은 지옥이 됩니다. ‘MSA가 원래 이렇지 뭐’ 하고 넘기기엔 우리 서비스의 응답 시간이 너무 처참해지죠.

한 마디로 요약하자면? eBPF(Extended Berkeley Packet Filter)는 리눅스 커널을 재부팅하거나 소스 코드를 수정하지 않고도, 사용자 정의 코드를 커널 샌드박스 안에서 미친 듯한 속도로 실행하게 해주는 ‘합법적 백도어’입니다.

더 이상 애플리케이션의 유저 스페이스(User Space)에서 네트워크 패킷을 가로채기 위해 불필요한 컨텍스트 스위칭(Context Switching)을 반복할 필요가 없습니다. eBPF는 인프라의 패러다임을 근본적으로 뒤집고 있습니다. 오늘 이 글에서는 뻔한 개념 설명은 집어치우고, eBPF가 정확히 어떤 원리로 사이드카 프록시를 관짝으로 보내고 있는지 그 밑바닥을 뜯어보겠습니다.

🛠️ Deep Dive: Under the Hood (사이드카의 비극과 eBPF의 O(1) 마법)

기존 사이드카 모델의 가장 큰 문제는 ‘추상화의 저주(Curse of Abstraction)’입니다. 파드 A에서 파드 B로 패킷 하나가 날아가는 과정을 볼까요? 패킷은 NIC(네트워크 인터페이스 카드)를 거쳐 커널의 TCP/IP 스택을 타고 올라온 뒤, iptables의 복잡한 라우팅 룰을 뒤져 유저 스페이스에 있는 Envoy 프록시로 넘어갑니다. Envoy가 정책을 검사하고 다시 커널로 패킷을 밀어 넣으면, 또다시 iptables를 거쳐 목적지 애플리케이션으로 전달됩니다.

이 과정에서 발생하는 메모리 복사(Memory Copy)와 컨텍스트 스위칭 비용은 트래픽이 몰릴수록 기하급수적으로 팽창합니다. 특히 Kube-proxy가 사용하는 iptables는 선형 탐색(Sequential Search) 구조이기 때문에 룰이 늘어날수록 성능은 O(N)으로 저하됩니다.

반면, eBPF(특히 Cilium 같은 CNI)는 이 과정을 어떻게 우회할까요? 이들은 XDP(eXpress Data Path)Sockmap이라는 강력한 무기를 사용합니다.

커널을 우회하는 BPF Sockmap

eBPF는 소켓 계층에 직접 훅(Hook)을 걸 수 있습니다. 두 개의 로컬 파드가 통신할 때, eBPF 프로그램은 TCP/IP 스택의 하위 계층을 완전히 생략하고 송신 소켓에서 수신 소켓으로 데이터를 직접 꽂아버립니다. 복잡한 iptables? 거치지 않습니다. 사이드카? 필요 없습니다.

아래는 아주 단순화한 XDP 기반의 eBPF 패킷 드랍 의사코드(Pseudo-code)입니다. NIC 드라이버 레벨에서 악성 IP를 차단하여 커널 스택 자체에 진입하지 못하게 막는 로직이죠.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>
#include <linux/if_ether.h>
#include <linux/ip.h>

// O(1) 조회를 위한 eBPF BPF_MAP_TYPE_HASH 선언
struct {
    __uint(type, BPF_MAP_TYPE_HASH);
    __uint(max_entries, 10000);
    __type(key, __u32);   // Source IP
    __type(value, __u8);  // Block Flag
} drop_ips SEC(".maps");

SEC("xdp")
int xdp_firewall_func(struct xdp_md *ctx) {
    void *data_end = (void *)(long)ctx->data_end;
    void *data = (void *)(long)ctx->data;
    
    struct ethhdr *eth = data;
    if (data + sizeof(*eth) > data_end) return XDP_PASS;
    
    struct iphdr *ip = data + sizeof(*eth);
    if ((void*)(ip + 1) > data_end) return XDP_PASS;
    
    __u32 src_ip = ip->saddr;
    __u8 *is_blocked = bpf_map_lookup_elem(&drop_ips, &src_ip);
    
    // 해시 맵 조회 결과 악성 IP라면 NIC에서 즉시 패킷 파기 (Drop)
    if (is_blocked) {
        return XDP_DROP;
    }
    return XDP_PASS;
}
char _license[] SEC("license") = "GPL";

이 코드가 커널 내부에서 JIT(Just-In-Time) 컴파일되어 네이티브 머신 코드로 실행된다고 상상해 보세요. iptables의 수만 줄짜리 체인을 순회하는 대신, O(1) 복잡도의 해시 맵 조회 단 한 번으로 네트워크 정책이 결정됩니다.

📊 아키텍처 및 성능 비교표

비교 항목기존 사이드카 모델 (Istio + Kube-proxy)eBPF 기반 모델 (Cilium + eBPF)
네트워크 처리 경로커널 -> 유저 프록시 -> 커널 -> 유저 앱커널 소켓 맵(Sockmap) 우회 -> 유저 앱
TCP/IP 스택 통과 횟수송수신 시 최소 3~4회 통과1회 또는 생략 (로컬 통신 시 완전 바이패스)
레이턴시 오버헤드높음 (사이드카 경유 시 수 ms 추가)매우 낮음 (마이크로초 단위의 오버헤드)
메모리/CPU 사용량파드당 프록시 컨테이너 리소스 필요노드당 커널 훅 하나로 처리 (리소스 획기적 절감)
룰 탐색 시간 복잡도O(N) (iptables 순차 탐색)O(1) (eBPF BPF_MAP 해시/배열 조회)

🎯 Pragmatic Use Cases: 현업에서는 과연 어떻게 써먹을까?

이론이 훌륭한 건 알겠는데, 과연 현업 트러블슈팅에서도 잘 먹힐까요?

1. 블랙 프라이데이, 대규모 트래픽 스파이크 방어 과거에는 트래픽이 폭주하여 노드의 CPU가 100%를 치면 애플리케이션 로그를 남길 여력조차 없었습니다. L7 로드밸런서가 터져나가는 건 덤이죠. eBPF의 XDP 훅을 활용하면 초당 수백만 개의 SYN Flood 공격이나 비정상 트래픽을 커널 공간이 할당되기도 전인 NIC 드라이버 단계에서 XDP_DROP으로 버릴 수 있습니다. K8s 클러스터 전체가 마비되는 상황을 노드 엣지 단에서 하드웨어 성능에 가깝게 방어하는 것입니다.

2. Zero-Instrumentation, 소스 코드 수정 없는 분산 트레이싱 기존에는 옵저버빌리티를 위해 개발자가 애플리케이션 코드에 OpenTelemetry 라이브러리를 임포트하고, span을 감싸는 노가다를 해야 했습니다. 하지만 eBPF를 사용하면 커널 레벨에서 함수 호출을 추적(kprobes, uprobes)하거나 네트워크 패킷을 스니핑하여, 개발팀의 레거시 코드 단 한 줄도 건드리지 않고 HTTP 레이턴시, 데이터베이스 쿼리 시간, DNS 응답 지연 등을 정확하게 매핑해 낼 수 있습니다. 기획자나 인프라 팀 입장에서는 개발팀과 얼굴 붉힐 일이 하나 줄어드는 셈이죠.

⚖️ Honest Review & Trade-offs: 시니어의 깐깐한 시선으로 본 한계

자, 장점만 늘어놓으면 약장수죠? 산전수전 다 겪은 엔지니어 입장에서 뼈 때리는 단점 들어갑니다. eBPF는 결코 모든 문제를 해결하는 은탄환(Silver Bullet)이 아닙니다.

  1. 지옥 같은 eBPF Verifier와 러닝 커브 처음 C나 Rust로 eBPF 코드를 짜서 커널에 적재하려다 보면, 악명 높은 eBPF Verifier 때문에 모니터를 부수고 싶을 겁니다. 커널 패닉을 방지하기 위해 Verifier는 무한 루프 금지(최근 버전에서 일부 허용되긴 했으나 여전히 깐깐함), 스택 사이즈 512 바이트 제한, 엄격한 메모리 접근 검사(DAG 형태의 제어 흐름 분석)를 강제합니다. 코드가 조금만 복잡해져도 로드 자체를 거부당하죠. 실무 레벨에서 커스텀 eBPF 프로그램을 직접 유지보수하는 건 극소수의 커널 해커들만 가능한 영역입니다.

  2. 커널 버전에 대한 무자비한 종속성 eBPF의 최신 기능(특히 BTF - BPF Type Format)을 제대로 맛보려면 최소 리눅스 커널 5.8 이상이 필요합니다. 아직도 보수적인 금융권이나 대기업 레거시에서 돌아가고 있는 CentOS 7 (커널 3.10대) 같은 환경에서는 eBPF 도입은 꿈도 꿀 수 없습니다. 클러스터 OS 자체를 엎어야 하는 대공사가 필요합니다.

  3. 새로운 형태의 벤더 락인(Vendor Lock-in) 현업에서 eBPF를 직접 짠다고요? 아니요, 보통은 Cilium이나 Pixie, Tetragon 같은 상용/오픈소스 솔루션을 도입할 겁니다. 결국 이 복잡한 기술 스택의 트러블슈팅을 특정 벤더(예: Isovalent)의 엔터프라이즈 지원에 의존하게 되는 미묘한 락인 현상이 벌어지고 있습니다. eBPF 맵 누수나 커널 패닉 버그가 발생하면 내부 인력으로는 원인 규명조차 벅찬 상황에 직면할 수 있습니다.

💡 Closing Thoughts: 우리의 스탠스는 어때야 할까?

솔직하게 제 의견을 말씀드리자면, eBPF는 일시적인 유행(Hype)이 아닙니다. 지난 10년간 클라우드 네이티브 생태계에서 일어난 변화 중 컨테이너(Docker) 등장 이후 가장 거대한 지각변동입니다. 이미 AWS, GCP, Azure 등 주요 클라우드 벤더들의 내부 네트워크는 eBPF를 기반으로 갈아엎어졌고, Kube-proxy를 제거한 ‘Cilium 100% 기반’의 쿠버네티스 클러스터가 엔터프라이즈의 표준으로 자리 잡고 있습니다.

실무자로서 우리가 당장 eBPF C 코드를 능숙하게 짤 필요는 없습니다. 하지만 “애플리케이션 계층 위에서 사이드카를 통해 문제를 해결하던 시대가 저물고, 커널 레벨에서 투명하게 통제하는 시대가 왔다”는 패러다임의 전환만큼은 명확히 인지해야 합니다. 다음 분기 아키텍처 고도화를 기획하고 계신가요? 그렇다면 무거운 사이드카 프록시 대신, 인프라의 밑바닥을 지배하는 eBPF 솔루션 도입을 진지하게 검토해 볼 때입니다. 🚀

References

  • https://ebpf.io/
  • https://cilium.io/
  • https://github.com/cilium/cilium
Tech
This post is licensed under CC BY 4.0 by the author.