Post

eBPF와 Cilium: 사이드카(Sidecar) 없는 서비스 메시는 과연 구원일까, 또 다른 재앙일까?

Posted
eBPF and Cilium: Is Sidecar-less Service Mesh a Salvation or Another Disaster?
eBPF and Cilium: Is Sidecar-less Service Mesh a Salvation or Another Disaster?
By
19 min read
eBPF와 Cilium: 사이드카(Sidecar) 없는 서비스 메시는 과연 구원일까, 또 다른 재앙일까?

eBPF와 Cilium: 사이드카(Sidecar) 없는 서비스 메시는 과연 구원일까, 또 다른 재앙일까?

여러분의 쿠버네티스 클러스터, 지금 Istio Envoy 사이드카가 메모리를 얼마나 집어삼키고 있나요? 솔직해집시다. 서비스 메시는 마이크로서비스 아키텍처의 빛과 소금이라고 배웠지만, 막상 현업에 적용해 보면 수십, 수백 개의 파드(Pod)마다 찰싹 달라붙어 있는 Envoy 프록시들을 보며 “이게 진짜 효율적인 아키텍처가 맞나?” 하는 서늘한 현타가 오곤 합니다. 트래픽은 늘어나고, OOM(Out of Memory) 킬러는 엄한 사이드카를 저격하고, 우리는 또다시 Helm 차트의 리소스 Limit을 올리는 무한 굴레에 빠지죠.

💡 한 마디로 요약하면? eBPF(Extended Berkeley Packet Filter)는 리눅스 커널을 재컴파일하지 않고도 커널 내부 네트워크 계층에 직접 개입할 수 있는 샌드박스 기술입니다. 이를 활용한 Cilium은 무거운 사이드카 프록시 오버헤드를 완전히 걷어내고, 노드 레벨에서 모든 네트워크 패킷과 보안 정책을 O(1)의 속도로 통제해버리는 인프라 생태계의 파괴적 혁신입니다.

🔥 Under the Hood: 커널 레벨에서 패킷을 ‘합법적으로 납치’하다

제가 처음 eBPF 기반 아키텍처를 접했을 때 든 생각은 “이거 까딱하면 커널 패닉 일으켜서 노드 전체가 죽는 거 아니야?” 였습니다. 보수적인 링 제로(Ring 0) 커널 공간에 유저가 작성한 코드를 주입한다니요. 하지만 eBPF는 ‘Verifier(검증기)’라는 지독하게 깐깐한 문지기를 통해 무한 루프나 허가되지 않은 메모리 접근을 원천 차단합니다. 안전성이 보장된 코드만 커널의 이벤트 훅(Hook)에 적재되는 거죠.

기존의 쿠버네티스 네트워킹(kube-proxy)은 철저히 iptables에 의존했습니다. 서비스가 늘어날 때마다 체인 룰이 선형적으로 늘어나고(O(N)), 패킷 하나가 들어오면 이 거대한 룰 셋을 하나하나 통과해야 했죠. 레이턴시 병목이 안 오면 그게 기적입니다. 반면 eBPF는 어떨까요? XDP(eXpress Data Path)라는 네트워크 스택의 가장 밑바닥, 즉 NIC(네트워크 인터페이스 카드)에서 커널의 TCP/IP 스택으로 올라가기도 전에 패킷을 가로챕니다.

📊 아키텍처 벤치마크: iptables vs Istio(Sidecar) vs Cilium(eBPF)

추상적으로 “성능이 좋습니다” 같은 뜬구름 잡는 소리는 하지 않겠습니다. 1,000개의 서비스를 가진 클러스터에서 10,000 req/s의 부하를 줬을 때의 벤치마크를 비교해보죠.

비교 항목kube-proxy (iptables)Istio (Envoy Sidecar)Cilium (eBPF XDP)
패킷 라우팅 복잡도O(N) (규칙에 비례해 느려짐)유저 공간 <-> 커널 공간 반복 전환O(1) (eBPF Map 해시 테이블 조회)
CPU 오버헤드중간 (규칙 많을 시 급증)매우 높음 (파드 당 프록시 존재)매우 낮음 (NIC 레벨 직접 처리)
지연 시간 (Latency)~5ms (베이스라인)~12ms (프록시 홉 추가로 인한 지연)~2ms (TCP/IP 스택 우회)
메모리 사용량 (100 파드)낮음~5GB (Envoy 50MB * 100)~200MB (노드 당 1개 데몬셋)

🛠️ 껍데기만 볼 수 없죠, 코드로 까봅시다

실제 XDP에서 특정 IP 패킷을 분석하고 드롭시키는 eBPF C 코드의 핵심 부분을 볼까요? 현업 개발자라면 이 코드가 얼마나 간결하면서도 폭력적인(?) 퍼포먼스를 낼지 단번에 감이 오실 겁니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

SEC("xdp")
int xdp_drop_prog(struct xdp_md *ctx) {
    void *data_end = (void *)(long)ctx->data_end;
    void *data = (void *)(long)ctx->data;

    // 1. 이더넷 헤더 파싱
    struct ethhdr *eth = data;
    if (data + sizeof(struct ethhdr) > data_end)
        return XDP_PASS;

    // 2. IP 헤더 파싱 및 특정 로직 적용 (커널 네트워크 스택을 타기도 전에!)
    struct iphdr *ip = data + sizeof(struct ethhdr);
    if (data + sizeof(struct ethhdr) + sizeof(struct iphdr) > data_end)
        return XDP_PASS;

    // 3. 예: 특정 악성 IP를 발견했다면 즉시 DROP
    if (ip->saddr == bpf_htonl(0x0A000001)) { // 10.0.0.1
        return XDP_DROP; // iptables까지 갈 필요도 없이 랜카드에서 폐기!
    }

    return XDP_PASS;
}

위 코드가 컴파일되어 커널에 적재되면, TCP 세션을 맺는 과정이나 소켓 버퍼(sk_buff)를 할당하는 오버헤드가 말 그대로 ‘0’입니다. 그냥 하드웨어 드라이버 수준에서 패킷을 찢어버리는 거죠.

덧붙여, eBPF의 진짜 마법은 ‘Socket-Based Load Balancing’에서 나타납니다. 통신하려는 두 파드가 같은 노드 안에 있다면, eBPF는 sock_ops 훅을 이용해 네트워크 스택 전체를 바이패스하고 두 파드의 소켓을 메모리 단에서 직접 연결(Short-circuit)해버립니다. “어? 너네 같은 노드에 있네? 랜카드까지 내려갈 필요 없이 여기서 바로 데이터 주고받아.” 이게 가능해집니다.

🎯 현업 밀착형 시나리오: 우리가 eBPF에 열광해야 하는 진짜 이유

뻔한 튜토리얼 예시가 아닌, 현업에서 피눈물 흘려본 분들이라면 격하게 공감할 시나리오를 준비했습니다.

Case 1: 블랙프라이데이, 수천 개의 파드가 미친 듯이 스케일 아웃될 때

트래픽 스파이크로 인해 HPA(Horizontal Pod Autoscaler)가 작동합니다. 기존 Istio 환경에서는 파드가 뜰 때마다 Envoy 컨테이너도 같이 초기화되어야 합니다. “Envoy가 아직 준비 안 됐어요!” 라며 트래픽을 거부하는 503 에러나 Readiness Probe 실패를 본 적 있으시죠? 반면, Cilium과 같은 eBPF 기반 메시에서는 파드 내부에 프록시를 띄울 필요가 없습니다. 노드에 이미 떠 있는 Cilium 데몬이 eBPF Map(커널과 유저 공간이 공유하는 인메모리 데이터 구조)을 업데이트하는 즉시 모든 네트워크 정책이 적용됩니다. 스케일아웃 속도와 안정성 자체가 아예 다른 차원입니다.

Case 2: “대체 패킷이 어디서 증발한 거야?” - 레거시 연동 시의 딥 트러블슈팅

클라우드 네이티브 환경에서 온프레미스 레거시 DB와 통신할 때 발생하는 간헐적인 딜레이 타임아웃. 원인을 찾으려고 노드에 접속해 tcpdump를 뜨고 Wireshark 파일로 다운받아 눈알 빠지게 분석하느라 밤샌 적 많으시죠? eBPF는 소켓, TCP 스택, 커널 함수 등 모든 곳에 ‘Kprobe(Kernel Probe)’를 박아 넣을 수 있습니다. Cilium의 관측성 툴인 Hubble을 켜면, “A 파드에서 B 레거시 IP로 나가는 SYN 패킷이 리눅스 커널의 어떤 특정 함수(예: tcp_v4_connect)에서 드롭되었는지”를 시각적인 UI로 낱낱이 까발려줍니다. 이거 한 번 맛보면 절대 예전의 눈먼 디버깅 시절로 못 돌아갑니다.

Case 3: 클라우드 벤더 종속성(Lock-in) 탈피

EKS, AKS, GKE… 각 클라우드 벤더마다 제공하는 CNI 플러그인과 보안 정책 문법이 미묘하게 다릅니다. 이기종 클러스터나 하이브리드 클라우드를 운영하는 DevOps 팀은 정책 동기화에 죽어나는 거죠. Cilium을 통합 CNI로 사용하면 밑단이 AWS든 온프레미스 베어메탈이든 완벽하게 동일한 선언적 정책을 적용할 수 있습니다. 예를 들어, L7 레벨에서 특정 HTTP 메서드만 허용하는 정책을 아래와 같이 작성할 수 있습니다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
metadata:
  name: "l7-strict-rule"
spec:
  endpointSelector:
    matchLabels:
      app: backend-api
  ingress:
  - toPorts:
    - ports:
      - port: "8080"
        protocol: TCP
      rules:
        http:
        - method: "GET"
          path: "/public/.*"

이 얌전해 보이는 YAML 파일이 백그라운드에서는 eBPF Map과 노드 레벨의 분산 프록시를 통해 즉각적이고 전역적으로 반영됩니다. 앱을 재시작할 필요 없이 커널이 알아서 GET 외의 요청을 튕겨냅니다.

⚖️ 시니어의 깐깐한 시선: 과연 만병통치약일까요? (Trade-offs)

여기까지 들으면 당장 내일 출근해서 “팀장님, 우리도 당장 Istio 걷어내고 eBPF 도입합시다!” 하고 싶으실 겁니다. 하지만 10년 차 엔지니어의 짬바구니에서 우러나온 경험상, 세상에 은탄환(Silver Bullet)은 절대 없습니다. 도입 전 반드시 뼈저리게 짚고 넘어야 할 현실적인 한계점들을 비판해보겠습니다.

1. 커널 버전의 저주 (Kernel Dependency) eBPF의 강력한 최신 기능(BPF Ring Buffer, 최신 XDP 훅 등)을 제대로 쓰려면 최소 Linux 커널 5.8 이상, 권장 5.15 이상이 강제됩니다. 만약 여러분의 회사가 보수적인 금융권이고 RHEL 7(커널 3.10) 기반의 폐쇄망 시스템을 쓰고 있다면? eBPF는 그림의 떡입니다. 깔끔하게 포기하셔야 합니다.

2. 블랙박스의 공포와 디버깅 툴 체인의 부재 (Observability Paradox) iptables는 구리지만 직관적입니다. 최소한 iptables -L을 치면 룰이 눈에 보이니까요. 그런데 eBPF는 커널 내부에서 컴파일된 바이너리로 은밀하게 동작합니다. 네트워크 라우팅이 꼬였을 때 bpftool 명령어로 eBPF Map의 헥사(Hex) 값을 직접 덤프 떠서 분석할 수 있는 인력이 사내에 몇 명이나 될까요? 추상화 수준이 높은 만큼, 그 추상화가 한 번 깨졌을 때 디버깅의 난이도는 상상을 초월합니다.

3. 완벽한 사이드카의 대체재인가? (L7 딜레마) 커널 레벨에서 L3/L4 네트워크 통제는 예술에 가깝습니다. 하지만 HTTP 헤더 기반 라우팅, gRPC 양방향 스트리밍 트레이싱 같은 복잡한 애플리케이션 계층(L7) 처리는 커널 밖(유저 공간)에서 처리하는 게 아키텍처상 더 효율적입니다. Cilium 역시 복잡한 L7 처리를 위해서는 노드 레벨에 데몬셋 형태로 별도의 Envoy 프록시를 띄워 트래픽을 위임합니다. 즉, 파드마다 붙어있던 프록시를 노드 당 하나로 줄였을 뿐, 아키텍처에서 L7 프록시 자체를 완전히 멸종시킨 것은 아닙니다.

4. 새로운 벤더 락인 (Vendor Lock-in) 클라우드 서비스 제공자(CSP) 종속성에서는 벗어났지만, 역설적으로 Cilium 생태계를 쥐락펴락하는 특정 기업(Isovalent, 최근 Cisco에 인수됨)에 대한 의존도가 극도로 높아집니다. 오픈소스 버전과 엔터프라이즈 버전 간의 핵심 기능 격차(고급 BGP 연동, 멀티 클러스터 보안 가시성 등)를 고려하면 비용 청구서가 또 다른 형태로 날아올 수 있습니다.

🚀 마치며: IT 생태계의 패러다임 시프트, 우리의 스탠스는?

결론을 내리겠습니다. eBPF는 단순하게 “iptables보다 빠른 네트워크 플러그인” 정도로 치부할 기술이 아닙니다. 리눅스 시스템과 쿠버네티스가 소통하는 방식 자체를 밑바닥부터 뜯어고치고 있는 ‘운영체제 레벨의 혁명’입니다.

만약 지금 아무런 기술 부채가 없는 신규 그린필드(Greenfield) 프로젝트를 설계 중이시라면, 주저 없이 eBPF 기반의 Cilium 도입을 검토하시기 바랍니다. 하지만 이미 Istio가 끈끈하게 잘 돌아가고 있는 레거시 클러스터 환경이라면 무리해서 전환할 필요는 없습니다. 섣부른 전환은 ‘eBPF 디버깅 역량 부족’이라는 더 끔찍한 부채를 낳을 수 있으니까요.

분명한 사실은, 파드마다 무거운 프록시를 욱여넣는 사이드카 패턴은 점차 과도기적인 레거시 기술로 기억될 것이며, 클라우드 인프라의 미래는 커널 내부로 깊숙이, 그리고 가볍게 스며들고 있다는 점입니다. 당장 내일 eBPF C 코드를 짜지 않더라도, 이 기술이 마이크로서비스의 ‘물리적 한계’를 어떻게 우아하게 돌파하고 있는지 현업 엔지니어로서 반드시 예의주시해야 합니다.

항상 명심하세요. 기술의 밑바닥(Under the Hood) 작동 원리를 이해하고 치열하게 의심하는 자만이, 다음 세대의 거대한 기술적 파도를 올라탈 수 있습니다.

References

  • https://ebpf.io/
  • https://cilium.io/
  • https://github.com/cilium/cilium
  • https://isovalent.com/blog/
Tech
This post is licensed under CC BY 4.0 by the author.