<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Gateway on homelab89</title>
    <link>https://blog.homelab89.com/tags/gateway/</link>
    <description>Recent content in Gateway on homelab89</description>
    <generator>Hugo</generator>
    <language>ko-KR</language>
    <lastBuildDate>Mon, 08 Jun 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://blog.homelab89.com/tags/gateway/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Egress &#34;HTTPS over mTLS&#34; (ISTIO_MUTUAL) — 구조·CRD·장단점·활용·운영</title>
      <link>https://blog.homelab89.com/docs/istio/egress/https-over-mtls/</link>
      <pubDate>Mon, 08 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/https-over-mtls/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;&lt;strong&gt;머릿속에 넣을 한 장의 그림:&lt;/strong&gt; 이 패턴은 &amp;ldquo;&lt;strong&gt;end-to-end 암호화 보존&lt;/strong&gt;&amp;ldquo;과 &amp;ldquo;&lt;strong&gt;egress에서 호출자 신원 식별&lt;/strong&gt;&amp;ldquo;이라는
서로 독립인 두 축의 &lt;em&gt;교집합&lt;/em&gt; 칸이다 — 둘 다 Yes일 때만 정답인 좁은 셀. 구현은 &lt;strong&gt;이중 TLS&lt;/strong&gt;: 앱은 그대로
&lt;code&gt;https://&lt;/code&gt;(inner end-to-end TLS)로 호출하고, &lt;strong&gt;sidecar↔egress 구간만 Istio 메시 mTLS(&lt;code&gt;ISTIO_MUTUAL&lt;/code&gt;)로
한 겹 더 감싸&lt;/strong&gt;(outer) gateway가 그 outer를 &lt;strong&gt;종단&lt;/strong&gt;하며 호출 워크로드의 &lt;strong&gt;SPIFFE 신원을 암호학적으로 검증&lt;/strong&gt;하되,
안쪽 앱 TLS는 풀지 않고 &lt;code&gt;tcp_proxy&lt;/code&gt;로 외부까지 그대로 흘린다. passthrough(신원 없음)와 TLS origination(앱 평문화)의
&lt;strong&gt;사각지대를 메우는&lt;/strong&gt; 패턴이며, 실측 검증은 &lt;a href=&#34;../../docs/istio/egress/report-egress-mtls/&#34;&gt;Egress mTLS 리포트&lt;/a&gt;, 운영 정본은
&lt;a href=&#34;../../docs/istio/egress/operations/&#34;&gt;Egress 운영&lt;/a&gt;, 개념 정본은 &lt;a href=&#34;../../docs/istio/egress/gateway/&#34;&gt;Egress Gateway 정본&lt;/a&gt;,
이 신원 &lt;strong&gt;위에 올라가는 통제&lt;/strong&gt;(AuthorizationPolicy·테스트 매트릭스)는 &lt;a href=&#34;../../docs/istio/security/egress-mtls-identity-control/&#34;&gt;Egress 신원 기반 통제 가이드&lt;/a&gt; 참조.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Istio 1.30 Egress Gateway — 외부 HTTPS 통신 설치·구성·테스트 가이드</title>
      <link>https://blog.homelab89.com/docs/istio/egress/gateway-https/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/gateway-https/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;homelab(kubespray bare-metal, k8s v1.30.6, CNI &lt;strong&gt;Calico&lt;/strong&gt;, Istio &lt;strong&gt;1.30.0&lt;/strong&gt;)에서 egress gateway를 Helm으로
구성하고, 앱이 직접 &lt;code&gt;https://&lt;/code&gt;를 호출하는 &lt;strong&gt;TLS Passthrough(SNI 라우팅)&lt;/strong&gt; 시나리오를 끝까지 구성·검증한다.
머릿속에 담을 한 장의 그림: &lt;strong&gt;메시의 모든 외부 송신을 egress gateway라는 단일 choke point로 모으되, TLS는
끝까지 암호화된 채로 두고 gateway는 SNI만 보고 라우팅한다(2-홉: mesh→gateway, gateway→external).&lt;/strong&gt;
핵심 결론: egress의 &amp;ldquo;완료&amp;quot;는 200이 아니라 &lt;strong&gt;트래픽이 egress gateway를 실제로 경유했음을 증명&lt;/strong&gt;하는 것이며,
호출 결과 / proxy-config / access log 세 가지를 교차 확인한다.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Test Report — Ingress / Egress Gateway 동작 검증</title>
      <link>https://blog.homelab89.com/docs/istio/egress/report-ingress-egress/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/report-ingress-egress/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;홈랩 클러스터에서 Ingress·Egress gateway 동작을 실측 검증한 리포트.
&lt;strong&gt;하나의 그림:&lt;/strong&gt; gateway는 메시 경계에 선 전용 Envoy proxy다. &lt;strong&gt;ingress는 자기가 TLS를 끝내므로(termination) L7 전체가 보여 host/path로 분기&lt;/strong&gt;하고, &lt;strong&gt;egress는 나가는 HTTPS를 복호화하지 않고 SNI만 보고 L4로 한 chokepoint를 거치게 강제&lt;/strong&gt;한다 — 이 &lt;em&gt;L7 vs L4&lt;/em&gt; 비대칭이 두 gateway 검증법까지 갈라놓는다.
&lt;strong&gt;결론 — Ingress&lt;/strong&gt;: host/path 라우팅 + TLS termination PASS. &lt;strong&gt;Egress&lt;/strong&gt;: HTTPS SNI PASSTHROUGH로 외부 호출이 egress gateway를 강제 경유함을 access log로 입증(200). REGISTRY_ONLY 미등록 차단은 메시 전역 영향 탓에 의도적 보류.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
