<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>Sni on homelab89</title>
    <link>https://blog.homelab89.com/tags/sni/</link>
    <description>Recent content in Sni on homelab89</description>
    <generator>Hugo</generator>
    <language>ko-KR</language>
    <lastBuildDate>Mon, 08 Jun 2026 00:00:00 +0000</lastBuildDate>
    <atom:link href="https://blog.homelab89.com/tags/sni/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Test Report — Egress Gateway &#34;HTTPS over mTLS&#34; (ISTIO_MUTUAL)</title>
      <link>https://blog.homelab89.com/docs/istio/egress/report-egress-mtls/</link>
      <pubDate>Mon, 08 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/report-egress-mtls/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;egress gateway에서 &lt;strong&gt;sidecar↔gw 구간만 Istio mTLS(&lt;code&gt;ISTIO_MUTUAL&lt;/code&gt;)로 감싸 게이트웨이가 호출자의 SPIFFE 신원을 검증&lt;/strong&gt;하면서, 앱이 보낸 &lt;strong&gt;HTTPS는 외부까지 end-to-end로 보존&lt;/strong&gt;되는 &amp;ldquo;이중 TLS&amp;rdquo; 패턴을 홈랩에서 실측 검증한 리포트. 결론: 동작하지만(200), 처음 manifest 그대로는 깨졌고 그 실패 두 개가 이 패턴의 핵심 원리를 그대로 드러낸다 — &lt;strong&gt;종단하면 SNI가 소비된다&lt;/strong&gt;는 한 문장에서 모든 설정 결정과 두 함정이 따라 나온다.&lt;/p&gt;</description>
    </item>
    <item>
      <title>east-west gateway는 목적지 클러스터를 SNI에 인코딩해, mTLS를 복호화하지 않고 암호화된 채로 원격 워크로드까지 프록시한다</title>
      <link>https://blog.homelab89.com/docs/istio/egress/eastwest-gateway-sni/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/eastwest-gateway-sni/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;east-west gateway는 mTLS를 &lt;em&gt;풀지 않고&lt;/em&gt; 봉투 겉면(ClientHello의 SNI)에 적힌 목적지만 읽어 다음 hop으로 넘기는 &lt;strong&gt;L4 SNI 라우터&lt;/strong&gt;다. 멀티클러스터(network 분리) 메시에서 한 클러스터의 sidecar가 다른 클러스터의 워크로드를 부를 때, sidecar는 목적지 식별자를 &lt;strong&gt;SNI 필드에 인코딩&lt;/strong&gt;해 보내고, 게이트웨이는 그 SNI만 읽어(&lt;code&gt;AUTO_PASSTHROUGH&lt;/code&gt;) 암호 바이트를 그대로 흘린다. 종단을 안 하므로 워크로드↔워크로드 mTLS가 관통해 보존된다. 이 문서는 그 &lt;strong&gt;메커니즘과 왜&lt;/strong&gt;를 다룬다(운영 매니페스트는 위임).&lt;/p&gt;</description>
    </item>
    <item>
      <title>Istio 1.30 Egress Gateway — 외부 HTTPS 통신 설치·구성·테스트 가이드</title>
      <link>https://blog.homelab89.com/docs/istio/egress/gateway-https/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/gateway-https/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;homelab(kubespray bare-metal, k8s v1.30.6, CNI &lt;strong&gt;Calico&lt;/strong&gt;, Istio &lt;strong&gt;1.30.0&lt;/strong&gt;)에서 egress gateway를 Helm으로
구성하고, 앱이 직접 &lt;code&gt;https://&lt;/code&gt;를 호출하는 &lt;strong&gt;TLS Passthrough(SNI 라우팅)&lt;/strong&gt; 시나리오를 끝까지 구성·검증한다.
머릿속에 담을 한 장의 그림: &lt;strong&gt;메시의 모든 외부 송신을 egress gateway라는 단일 choke point로 모으되, TLS는
끝까지 암호화된 채로 두고 gateway는 SNI만 보고 라우팅한다(2-홉: mesh→gateway, gateway→external).&lt;/strong&gt;
핵심 결론: egress의 &amp;ldquo;완료&amp;quot;는 200이 아니라 &lt;strong&gt;트래픽이 egress gateway를 실제로 경유했음을 증명&lt;/strong&gt;하는 것이며,
호출 결과 / proxy-config / access log 세 가지를 교차 확인한다.&lt;/p&gt;</description>
    </item>
    <item>
      <title>Test Report — Ingress / Egress Gateway 동작 검증</title>
      <link>https://blog.homelab89.com/docs/istio/egress/report-ingress-egress/</link>
      <pubDate>Sun, 07 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://blog.homelab89.com/docs/istio/egress/report-ingress-egress/</guid>
      <description>&lt;div class=&#34;callout abstract&#34;&gt;
&lt;div class=&#34;ct&#34;&gt;ABSTRACT&lt;/div&gt;
&lt;p&gt;홈랩 클러스터에서 Ingress·Egress gateway 동작을 실측 검증한 리포트.
&lt;strong&gt;하나의 그림:&lt;/strong&gt; gateway는 메시 경계에 선 전용 Envoy proxy다. &lt;strong&gt;ingress는 자기가 TLS를 끝내므로(termination) L7 전체가 보여 host/path로 분기&lt;/strong&gt;하고, &lt;strong&gt;egress는 나가는 HTTPS를 복호화하지 않고 SNI만 보고 L4로 한 chokepoint를 거치게 강제&lt;/strong&gt;한다 — 이 &lt;em&gt;L7 vs L4&lt;/em&gt; 비대칭이 두 gateway 검증법까지 갈라놓는다.
&lt;strong&gt;결론 — Ingress&lt;/strong&gt;: host/path 라우팅 + TLS termination PASS. &lt;strong&gt;Egress&lt;/strong&gt;: HTTPS SNI PASSTHROUGH로 외부 호출이 egress gateway를 강제 경유함을 access log로 입증(200). REGISTRY_ONLY 미등록 차단은 메시 전역 영향 탓에 의도적 보류.&lt;/p&gt;</description>
    </item>
  </channel>
</rss>
