<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Sidecar on homelab89</title>
    <link>https://blog.homelab89.com/tags/sidecar/</link>
    <description>Recent content in Sidecar on homelab89</description>
    <generator>Hugo</generator>
    <language>ko-KR</language>
    <lastBuildDate>Tue, 09 Jun 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://blog.homelab89.com/tags/sidecar/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Egress route 스코핑 — `metadata.namespace`는 적용 범위가 아니다</title>
      <link>https://blog.homelab89.com/docs/istio/egress/vs-scoping/</link>
      <pubDate>Tue, 09 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/vs-scoping/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;Istio traffic 리소스의 &lt;code&gt;metadata.namespace&lt;/code&gt;는 &amp;ldquo;&lt;strong&gt;어디에 저장했는가&lt;/strong&gt;&amp;quot;(소유 경계)이지 &amp;ldquo;&lt;strong&gt;어느 proxy에 적용되는가&lt;/strong&gt;&amp;quot;(적용 범위)가 아니다. 적용 범위는 &lt;code&gt;gateways&lt;/code&gt; · &lt;code&gt;exportTo&lt;/code&gt; · &lt;code&gt;sourceNamespace/sourceLabels&lt;/code&gt; · &lt;code&gt;Sidecar.egress.hosts&lt;/code&gt; &lt;strong&gt;네 레버의 직교 조합&lt;/strong&gt;으로 따로 결정된다. 이 분리를 모르면 egress 설정이 다른 namespace sidecar로 새거나(전역 누수), gateway가 필요한 route를 못 본다. egress gateway를 &lt;strong&gt;여러 개&lt;/strong&gt;(passthrough용 / mTLS용) 두는 순간 스코핑은 &lt;em&gt;선택&lt;/em&gt;이 아니라 &lt;em&gt;전제&lt;/em&gt;가 된다.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Istio Sidecar CRD 적용 범위(scope) 설정 방법</title>
      <link>https://blog.homelab89.com/docs/istio/egress/sidecar-scope-lab/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/sidecar-scope-lab/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;&lt;code&gt;Sidecar&lt;/code&gt; 리소스는 한 워크로드 Envoy가 받는 설정을 좁혀 &lt;strong&gt;config를 경량화&lt;/strong&gt;하고, &lt;code&gt;outboundTrafficPolicy&lt;/code&gt;와 결합해 &lt;strong&gt;egress 거버넌스&lt;/strong&gt;를 만든다. 멘탈모델 하나: scope는 Mesh / Namespace / Workload 세 단계지만 &lt;strong&gt;어느 Pod에든 적용되는 Sidecar는 정확히 하나 — 가장 좁은 것이 통째로 이긴다&lt;/strong&gt;(merge 아님, override). 이 문서는 그 override 의미론을 세 scope의 **완전한 YAML(주석 포함)**로 따라 만들고, REGISTRY_ONLY 차단을 실측으로 굳힌다. 개념 전반은 &lt;a href=&#34;../../docs/istio/egress/sidecar-scope/&#34;&gt;Sidecar scope 개념 노트&lt;/a&gt;에.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Sidecar 리소스는 &#39;좁은 범위가 넓은 범위를 통째로 이기는&#39; override 계층으로, 사이드카에 푸시할 설정을 좁혀 성능과 egress 거버넌스를 동시에 얻는다</title>
      <link>https://blog.homelab89.com/docs/istio/egress/sidecar-scope/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/sidecar-scope/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;Istio의 기본 가정은 &amp;ldquo;메시 안 모든 워크로드가 다른 모든 워크로드에 접근 가능&amp;quot;이다. 그래서 istiod는 각 Envoy에 &lt;strong&gt;메시 전체 설정&lt;/strong&gt;을 푸시하고, 규모가 커지면 이것이 메모리·xDS push·istiod CPU를 동시에 압박한다. &lt;code&gt;Sidecar&lt;/code&gt; 리소스는 두 개의 &lt;strong&gt;서로 다른 레버&lt;/strong&gt;로 이를 푼다 — &lt;code&gt;egress.hosts&lt;/code&gt;(이 워크로드가 알아야 할 설정의 &lt;em&gt;범위&lt;/em&gt;를 축소 → 성능)와 &lt;code&gt;outboundTrafficPolicy&lt;/code&gt;(레지스트리 밖 트래픽의 &lt;em&gt;차단&lt;/em&gt; 정책 → 거버넌스). 이 문서가 세우려는 단 하나의 멘탈모델: 세 scope(Mesh / Namespace / Workload)는 merge가 아니라 &lt;strong&gt;가장 좁은 하나가 통째로 이기는 override 의미론&lt;/strong&gt;이다. 운영 detail·YAML 전문은 &lt;a href=&#34;../../docs/istio/egress/sidecar-scope-lab/&#34;&gt;Sidecar scope 운영 가이드&lt;/a&gt; 참조.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Sidecar 트래픽 캡처 — iptables/nftables와 15001·15006</title>
      <link>https://blog.homelab89.com/docs/istio/xds-envoy/sidecar-traffic-capture/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/xds-envoy/sidecar-traffic-capture/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;이 문서가 다루는 것&lt;/div&gt;
&lt;p&gt;mesh의 모든 기능(mTLS·route·authz·telemetry)은 &amp;ldquo;app의 모든 패킷이 Envoy를 지나간다&amp;quot;는 단 하나의 전제 위에 서 있다. 그 전제를 app 코드 수정 없이 강제하는 장치가 &lt;strong&gt;커널 netfilter(iptables/nftables) redirection&lt;/strong&gt;이다. 이 문서는 그 redirection을 — 왜 필요한지(배경)부터, 누가 어떻게 rule을 거는지(&lt;code&gt;pilot-agent istio-iptables&lt;/code&gt; → &lt;code&gt;IptablesConfigurator.Run&lt;/code&gt; → &lt;code&gt;iptables-restore --noflush&lt;/code&gt;), REDIRECT mode의 핵심 체인과 proxy UID/GID 1337 무한 루프 방지 불변식, 실제 &lt;code&gt;*nat&lt;/code&gt; 블록·&lt;code&gt;--dry-run&lt;/code&gt;·native nftables 경로·검증 명령까지 — 한 줄기로 따라간다. 결론: app은 평소처럼 &lt;code&gt;service:port&lt;/code&gt;로 connect하지만 모든 트래픽이 app 모르게 투명하게 Envoy를 통과한다.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
